Interview mit Entwickler: Lee Archinal

[post-views]
Juli 17, 2019 · 5 min zu lesen
Interview mit Entwickler: Lee Archinal

Wir beginnen eine Reihe von Interviews mit Teilnehmern des Developer Program (https://my.socprime.com/en/tdm-developers) um Ihnen diese wunderbaren Menschen vorzustellen, die im Internet nach relevanten Bedrohungen suchen und einzigartige Inhalte für deren Erkennung erstellen. Treffen Sie Lee Archinal!

Hallo Lee, ich hoffe, Sie sind heute inspiriert genug, um ein wenig über sich selbst und Ihre Erfahrungen mit dem Developer Program zu schreiben.
Nehmen Sie sich einen Kaffee und erzählen Sie mir bitte ein wenig über Ihre Cybersecurity-Erfahrung.

Meine Cybersecurity-Erfahrung begann 2015, als ich meine vorherige Position als Junior-Netzwerkadministrator verließ. Ein sehr guter Freund von mir hörte, dass ich nach einem nächsten Schritt in meiner Karriere suche und führte mich in das Leben als Security Analyst ein, der in einem Security Operations Center arbeitet. Seitdem habe ich nie zurückgeblickt! Ich begann als Analyst der Stufe I, der einfach auf Use-Case-Ereignisse reagierte, als ich zufällig auf Sysmon stieß, das meinem Karriereweg und meiner Karriere einen Fokus gab. Ich begann, Sysmon auf meinem privaten Laptop zu erforschen und zu testen, wechselte dann zu einer Testgruppe in meiner Organisation und endete schließlich damit, Sysmon unternehmensweit einzusetzen. Ich erhielt den Titel (Verantwortung) als Endpunkt-SME (versuche immer noch, diesem Titel gerecht zu werden). Seitdem erhielt ich auch die Verantwortung, Inhalte zur Erkennung von Endpunkten zu erstellen, was mich zu SOC Prime führte. Dann nahm die Straße eine weitere Wendung, als ich ein Malware-Labor bei der Arbeit errichtete und begann, verschiedene Malware-Stücke und verschiedene Angriffstechniken (Rote Tests) zu detonieren und zu analysieren. Das bringt uns dahin, wo ich heute stehe, und mein Ziel ist es, ein abgerundeterer Analyst zu werden und zu versuchen, Fachwissen in mehr als nur Endpunkten zu erlangen.

Bitte erzählen Sie uns über Sigma – was war Ihre erste Erfahrung mit Sigma, als Sie es zu nutzen begannen.

Ich begann 2017, Sigma zu erforschen. Ein befreundeter Analyst war von einer Sicherheitskonferenz zurückgekehrt und sagte mir, ich solle mir sowohl SOC Prime als auch die Sigma-Sprache ansehen. Sobald ich erfuhr, was SOC Prime bietet, vor allem den Threat Detection Marketplace, war ich begeistert. Ich forschte weiter an Sigma, während sich Jorda Camba bei mir meldete. Wir diskutierten die Fähigkeiten von SOC Prime und wie Sigma ein mächtiges Werkzeug bei der Gestaltung von Inhalten sein könnte. Sobald ich die Hauptidee verstanden und ein wenig Erfahrung gesammelt hatte, begann ich, Inhalte für mein SOC ausschließlich in Sigma zu entwerfen. Dies würde uns zukünftige Flexibilität geben, welches SIEM wir verwenden, UND es gab mir viel Erfahrung in der Entwicklung der Sigma-Sprache.

Wie war Ihre Erfahrung mit Sigma UI. Haben Sie irgendwelche Ideen, wie man es für Entwickler nützlicher/praktischer machen kann?

Seit ich Anfang 2018 begann, in Sigma zu schreiben, habe ich viele Inhalte damit erstellt. Mein SOC hat jetzt ein schönes Repository der Regeln, die ich erstellt habe, falls wir jemals SIEMs wechseln und die Inhalte beibehalten, die wir noch haben. Das Einzige, was ich denke, um die Bequemlichkeit für Entwickler zu erhöhen, sind eventuell Spickzettel bezüglich der Feldzuweisungen von Sigma zu anderen SIEMs (hauptsächlich für einen Junior-Analysten oder Forscher wie mich, der nicht viel Erfahrung außerhalb von zwei SIEMs hat) oder, auf der Uncoder.io-Seite vielleicht Dropdowns oder Registerkarten bereitzustellen, um Entwicklern mögliche Ideen zu geben, welche Felder verwendet werden könnten. Persönlich habe ich wirklich an den Feldern festgehalten, die ich kenne, aber in Zukunft möchte ich mehr lernen.

Wie lange dauert es, eine Regel zu erstellen?

Abhängig von meiner Quelle kann ich eine Regel in unter 10 Minuten erstellen (Dies wäre von einem Bericht, der SEHR analytisch ist) bis zu über 4 Stunden. Die Regeln, die mich Stunden kosten, sind die Regeln, bei denen meine Quelle ein Stück Malware ist, das ich von einer Quelle wie der Any.Run-Website heruntergeladen habe. Ich ziehe mehrere Stücke herunter, die vom gleichen Typ sind, bringe sie in einer Sandbox und in einem Malware-Labor zur Detonation. Auf diese Weise kann ich die Sandbox-Ergebnisse nehmen, sie mit den manuellen Ergebnissen vergleichen und die gemeinsamen Prozesse und Aktionen finden. Sobald ich mit meinen Ergebnissen zufrieden bin (Stunden später), schreibe ich die Regel in Sigma, dann übersetze ich sie in das SIEM meiner Wahl. Dann lösche ich alle Daten und führe die Malware erneut von einem Snapshot aus, um meine Sigma-Übersetzung zu testen, um festzustellen, ob sie die erwarteten Ergebnisse finden kann. Wenn ja, veröffentliche ich sie, und wenn nicht, fange ich ganz von vorne an.

Wie entscheiden Sie, welche Regel Sie erstellen?

Ich entscheide eigentlich nicht, ich lasse das Internet entscheiden. Ich halte mich über Sicherheitswebseiten und deren Berichte auf dem Laufenden und wenn ich von einer neuen Malware lese, gebe ich mein Bestes, eine Probe oder einen analytischen Bericht zu finden und sie zu erstellen. Sobald ich diese Berichte erschöpft habe (was selten passiert), wende ich mich dem SOC Prime Threat Detection Marketplace zu. Nachdem Jordan mich in die RedCanary Red Tests eingeführt hatte, ist mein Ziel, Inhalte zu erstellen, die die Blue-Team-Seite dieser roten Tests widerspiegeln. Mein Hauptprotokoll ist vorerst Sysmon, daher wird ein Großteil meiner Inhalte Endpunkt-Erkennungsinhalte sein.

Was denken Sie, kann das Developer Program Organisationen weltweit helfen, ihre Cybersecurity zu verbessern?

Das ist ein klares „Ja“. Das Developer Program bietet Entwicklern weltweit mit unterschiedlichen Erfahrungsstufen einen offenen Platz, um mit den bösartigen Akteuren Schritt zu halten. Ein Platz im Developer Program ist nicht nur eine Ehre, sondern wirklich eine Verantwortung für Sicherheitsteams und Organisationen weltweit und sollte nicht auf die leichte Schulter genommen werden.

Sie können die von Lee Archinal entwickelten Erkennungsinhalte hier.
Interviews mit anderen Teilnehmern des Threat Bounty Program: https://socprime.com/tag/interview/

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK
Blog, Interview — 6 min zu lesen
Interview mit Threat-Bounty-Entwickler – Mehmet Kadir CIRIK
Alla Yurchenko
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing
Blog, Interview — 5 min zu lesen
Interview mit Threat-Bounty-Entwickler – Aung Kyaw Min Naing
Alla Yurchenko
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya
Blog, Interview — 5 min zu lesen
Interview mit Bedrohungsprämien-Entwickler – Mustafa Gürkan Karakaya
Alla Yurchenko