How to enter the world of logs and cybersecurity.

🇨🇿 Česká verze je níže / Czech version is below.

Although it hasn’t been a long time since I joined the cyber-sec team in TeskaLabs, I started calling it “unicorn”. All members of the team are constantly exploring and working on their “superpowers” and hence becoming a unique part of the group. Just like unicorns.

As soon as I jumped on a cyber company’s imaginary surfboard and started riding these endless waves of information containing unfamiliar terms such as logs, enrichment, MITRE, OWASP, JSON, VPN and much more, I started having mixed feelings. The first was a fearful thought – what if I fall from the surfboard and drown? But my anxiety was quickly defeated by a stronger sensation that filled me with adrenalin and gave me energy from something new that made sense. Precisely like when you ride a wave and know that after a high tide there is always a low tide which washes everything irrelevant out (in my case some doubts). So I instinctively knew that the waves of information are eventually going to make sense.

Get deeply into a subject always pays out

I was going through the MITRE database together with all the techniques and tactics on how to defeat a cyber security enemy. Then I cross referenced this database with the OWASP project and information about security risks and threats. Suddenly a log was no longer an unknown term for me but a powerful asset containing valuable information that could be extracted and visualized.

World championship in dashboards

One of the first tasks was to acquaint myself with dashboards and start creating them neatly, if possible. “Create a new dashboard for Microsoft Office 365 in Kibana, please” was the assignment. Even though I knew from my previous UX what is Microsoft Office 365 about and what does it consists of (such as sharepoint, onedrive, exchange and more), it was still a completely abstract request for me because I didn’t know how to proceed and create a correct dashboard.

I took it one step at a time, starting with what I already knew, which were logs. Going through them, looking for information that I would easily recognize.

microsoft-office-365-events.png

Don't forget to choose the right dataset, enter the filters and there you go. I added the first visualization in the form of a pie chart into the dashboard and I finally understood. Dashboards make it possible to track and see instantly all the information I want to see as a security or IT professional, such as KPIs, trend identification and more, without having to spend hours reading logs. Almost everyone uses Microsoft Office 365, so it's worth having a nice visual display of all the important values so that we can easily detect deviations from the normal state, which in the case of Microsoft Office 365 can be excessive file downloads, too many failed logins, etc.

However, my slight OCD tendencies kept me up at night and I wondered how to make the dashboard even better. I tried changing widget types (visualizations) hundreds of times, but it still wasn't perfect. What helped me was the fact that I imagined who would actually view the dashboard and what they would want to see in it. This way I don't need to try to create the best dashboard in the world myself, but feedback is essential to improve it.

microsoft-office-365-dashboard.jpg

JSON is only the beginning

As soon as I got better in visualizations in Kibana the time has come to start writing in JSON syntax and create dashboards in LogMan.io that way. My head was spinning after the workshop with Franta, but as soon as I reviewed some information about widget configuration everything got apprehensible. Writing JSONs has its own laws just as any other data format. You cannot make up your own syntax in English either. The idea is to automate everything and follow the procedures where, for example, data is represented in pairs, compound brackets contain objects and each name is followed by a colon, and square brackets contain arrays and values are separated by a comma.

After a few lines I started to understand my text and I automatically projected its visual form, in this case which dashboard or what widgets am I creating. I felt like a wonderwoman with unlimited hacking capabilities during the first days.

However, I know that the journey as a cyber-specialist is a long one, and although I would like to bring some super awesome news from the world of cyber-security at the end of this article, as a "cyber-security rookie" I will at least share the knowledge and feelings that I gradually collect. Besides creating dashboards and writing in a new language, it is also essential to stay alert, keep up and discover possible and impossible cyber threats. Every year, this is how the most "trending" and current threats are picked out from the otherwise plethora of threats. And what are they this time? Well one of them is ... or you know what? You'll find out in the next article, and maybe I’ll throw in some extra news as well.

So don’t forget to follow github, linkedin a twitter.

🇨🇿 Jak vkročit do světa logů a kybernetické bezpečnosti

Je to jen sice chvilka, co jsem nastoupila do Teskalabs, do cyber security týmu, kterému ráda říkám „unicorn‟. Každý člen si zde postupně buduje a objevuje své „superpowers‟, a stává se tak do jisté míry jedinečným článkem. Přesně jako jednorožci.

Jakmile jsem naskočila na pomyslné surfařské prkno kybernetické bezpečnosti a začala sjíždět po nekonečné vlně informací, obsahující pro mě dosud neznámé pojmy jako logy, enrichment, MITRE, OWASP, JSON, VPN a mraky dalších, začaly se ve mě míchat pocity. Tím prvním byla obava, že z toho prkna spadnu a „utopím se‟? Rychle ji ale vystřídal další pocit – adrenalin z něčeho nového, co mi jakýmsi intuitivním způsobem dávalo smysl. Přesně jako když sjíždíte vlnu a víte, že po přílivu vždy přijde odliv a smete s sebou zbytečnosti (v mém případě pochyby), i já jsem věděla, že se mi informace spojí a začnou dávat smysl.

Zavrtat se do hloubky se vyplácí

Procházela jsem databázi MITRE spolu s obsaženými technikami a taktikami protivníka při kybernetických hrozbách. Pak to proložila projektem OWASP a informacemi o bezpečnostních rizicích a hrozbách. A najednou pro mě nebyl log jenom jednou z neznámých, ale věděla jsem, že v sobě skrývá informace, které můžu vytáhnout a vizualizovat.

Mistrovství světa v dashboardech

Jedním z prvních úkolů bylo rozkoukat se a vnořit se, pokud možno ladně, do tvorby dashboardů. „Vytvoř v Kibaně nový dashboard pro Microsoft Office 365 prosím‟, znělo zadání. Sice jsem již věděla, čím se Microsoft Office 365 vyznačuje a co vše do něj spadá, jako Sharepoint, Onedrive, Exchange a další, ale stejně jsem si neuměla představit, co z toho mám zaznamenat a jak vlastně zhmotním odpovídající dashboard.

Šla jsem na to pěkně postupně, od toho, co už znám, a to jsou logy. Procházela jsem jimi a hledala v nich informace, které na mě z dálky mávnou.

microsoft-office-365-events.png

​ Stačilo nezapomenout zvolit správný dataset, zadat filtry a bylo to tady! Přidala jsem první vizualizaci v podobě koláčového grafu do dashboardu a už chápu. Díky dashboardům lze sledovat a na první pohled vidět všechny informace, které jako bezpečnostní či IT specialista chci znát, jako jsou KPI, identifikace trendů a další, a nemuset tak trávit hodiny čtením logů. Microsoft Office 365 používají skoro všichni, proto je tak důležité mít dobrý vizuální nástroj, kde můžeme lehce odhalit odchylky od normálního stavu, kterými mohou být v případě Microsoft Office 365 třeba nadměrné stahování souborů nebo příliš mnoho chybných přihlášení.

Avšak mé lehké OCD sklony mě nenechávaly v noci klidně spát a já přemýšlela, jak dashboard ještě vylepšit. Zkoušela jsem měnit typy widgetů (vizulizací) snad stokrát a stále to nebylo dokonalé. Pomohlo mi představit si, kdo vlastně bude daný dashboard sledovat a co by v něm chtěl vidět. Netřeba se tak snažit vytvořit nejlepší dashboard na světě sama, ale zásadní je zpětná vazba, díky které ho mohu vylepšovat.

microsoft-office-365-dashboard.jpg

JSON je teprve začátek

Jakmile jsem si natrénovala vizualizace v Kibaně, přišel na řadu další krok, a to začít psát syntax JSON, a tvořit tak dashboardy ve LogMan.io. Po workshopu s Frantou mi sice zase chvíli šla hlava kolem, ale nakonec jsem zjistila, jak na konfigurace widgetů. Psaní JSONů má své zákonitosti jako každý jiný datový formát. Angličtinu také nepíšete ve slovosledu, který vás zrovna napadne. Jde o to si vše zautomatizovat a pochopit, že data jsou reprezentována ve dvojicích, složené závorky obsahují objekty a za každým jménem následuje dvojtečka a hranaté závorky obsahující pole a hodnoty, které jsou odděleny čárkou.

Po pár napsaných řádcích mi začalo docházet, jakou budou mít vizuální podobu, tedy v tomto případě jaký dashboard a widgety tvořím. První dny jsem si připadala jako wonderwoman s nekonečnými schopnostmi hackera.

Nicméně vím, že cesta kyber-specialisty je dlouhá, a i když bych na konci tohoto článku chtěla přinést nějakou super úžasnou novinku ze světa cyber-security, tak jako „cyber-security benjamín‟ se s vámi alespoň podělím o poznatky a pocity, které postupně sesbírám. Mimo tvorbu dashboardů a psaní v novém jazyce, je také potřeba být ve střehu, držet krok a objevovat možné i nemožné kybernetické hrozby. Každoročně se objevují nejvíc „trendy‟ a aktuální hrozby z té jinak nepřeberné škály. A jaké, že to jsou tentokrát? No jednou z nich je… anebo víte co? To se dozvíte v dalším článku a možná k nim přihodím ještě o novinku navíc.

Tak nezapomeňte sledovat github, linkedin a twitter.

About the Author

Karolína Mozgová

Junior Cyber Security Specialist at TeskaLabs. Logs enthusiast and cyber threats hunter.




You Might Be Interested in Reading These Articles

White box vs. Black box penetration testing

When it comes to hacking, there are many technical aspects that can be difficult to grasp without an extensive background in the field. One of the most common sources of confusion is the comparison between black box penetration testing and white box penetration testing.

Continue reading ...

security audit security

Published on January 15, 2019

How DDoS Attacks Can Sink Your Business

Distributed Denial of Service (DDoS) is a form of cyberattack which makes the target internet service inaccessible. “Distributed” refers to the fact that the attack comes from multiple sources, to have a bigger impact on the target, as it cannot cope with such a large amount of traffic. In recent years, DDoS attacks have become more and more complex, with many combinations of different attach approaches being used.

Continue reading ...

security

Published on February 07, 2017

The Security Vulnerability That Puts Millions of Application Backends at Risk. Yours Included

FoxGlove Security researchers published a serious vulnerability that can put millions of application backend, including mobile backend, at risk. Mobile applications use the same web-app technology for their backends, thus suffer the same vulnerability. Mobile application servers are inherently insecure because they consist of extensive stacks of software. Each piece can contain risky zero-day vulnerabilities.

Continue reading ...

mobile security

Published on December 15, 2015