Entretien avec le Développeur : Lee Archinal

[post-views]
juillet 17, 2019 · 6 min de lecture
Entretien avec le Développeur : Lee Archinal

Nous commençons une série d’interviews avec des participants du Developer Program (https://my.socprime.com/en/tdm-developers) pour vous présenter ces personnes formidables qui recherchent sur le web des menaces pertinentes et créent un contenu unique pour leur détection. Rencontrez Lee Archinal !

Bonjour Lee, j’espère que vous êtes suffisamment inspiré aujourd’hui pour écrire un peu à propos de vous et de votre expérience avec le Developer Program.
Prenez un café et laissez-moi vous en dire un peu plus sur votre expérience en cybersécurité.

Mon expérience en cybersécurité a commencé en 2015, lorsque j’ai quitté mon poste précédent en tant qu’administrateur réseau junior. Un très bon ami à moi a entendu que je cherchais à progresser dans ma carrière et m’a introduit à la vie d’analyste sécurité travaillant dans un Security Operations Center. Depuis, je n’ai jamais regardé en arrière ! J’ai commencé comme analyste niveau I en répondant simplement aux événements des cas d’utilisation lorsque j’ai découvert Sysmon, ce qui a focalisé ma carrière et tracé un chemin. J’ai commencé à rechercher et tester Sysmon sur mon ordinateur portable personnel, puis j’ai intégré un groupe de test dans mon organisation et j’ai fini par déployer Sysmon à l’échelle de l’entreprise et on m’a attribué le titre (responsabilité) de SME sur les points de terminaison (j’essaie toujours de vivre en accord avec ce titre). Depuis lors, j’ai également été chargé de commencer à créer du contenu autour de la détection sur les points de terminaison, ce qui m’a conduit à SOC Prime. Ensuite, le parcours a pris un autre tournant quand j’ai mis en place un laboratoire de malware au travail et ai commencé à détoner et analyser différentes pièces de malware et techniques d’attaque (Red Tests). Cela nous amène à ma situation actuelle, et mon objectif est de devenir un analyste plus complet et de tenter d’acquérir une expertise au-delà des seuls points de terminaison.

Parlez-nous s’il vous plaît de Sigma – quelle a été votre première expérience avec Sigma, quand avez-vous commencé à l’utiliser.

J’ai commencé à faire des recherches sur Sigma en 2017. Un collègue analyste était revenu d’une conférence de sécurité et m’avait dit que je devrais m’intéresser à SOC Prime ainsi qu’au langage Sigma. Une fois que j’ai compris ce que proposait SOC Prime, principalement le Threat Detection Marketplace, j’ai été accroché. J’ai continué à rechercher Sigma pendant que Jorda Camba me contactait. Nous avons discuté des capacités de SOC Prime et de la façon dont Sigma pourrait être un outil puissant lors de la conception de contenu. Une fois que j’ai saisi l’idée principale et acquis un peu d’expérience, j’ai commencé à concevoir du contenu pour mon SOC strictement en Sigma. Cela nous offrait une flexibilité future quant au SIEM que nous utilisions ET cela m’a donné beaucoup d’expérience en développement dans le langage Sigma.

Qu’en est-il de votre expérience avec Sigma UI. Avez-vous des idées sur comment le rendre plus utile/pratique pour les développeurs ?

Depuis que j’ai commencé à écrire en Sigma au début de 2018, j’ai créé de nombreux contenus en l’utilisant. Mon SOC dispose maintenant d’un joli dépôt des règles que j’ai créées au cas où nous changerions de SIEM et pour maintenir le contenu que nous possédons encore. La seule chose à laquelle je peux penser pour augmenter la commodité pour les développeurs serait soit des fiches de référence sur les mappages de champs de Sigma à d’autres SIEM (principalement pour un analyste junior ou un chercheur comme moi qui n’a pas beaucoup d’expérience en dehors de deux SIEM), ou bien, sur le site Uncoder.io, peut-être fournir des listes déroulantes ou des onglets pour donner aux développeurs des idées possibles de champs qui pourraient être utilisés. Personnellement, je suis vraiment resté fidèle aux champs que je connais, mais à l’avenir je souhaite en apprendre davantage.

Combien de temps vous faut-il pour créer une règle ?

Selon ma source, je peux créer une règle en moins de 10 minutes (Cela serait à partir d’un rapport qui est TRÈS analytique) à plus de 4 heures. Les règles qui me prennent des heures à créer sont celles dont la source est un morceau de malware que j’ai téléchargé d’une source, comme le site Any.Run. Je vais récupérer plusieurs morceaux du même type, les faire exploser dans un bac à sable et un laboratoire de malware. De cette manière, je peux prendre les résultats du bac à sable, les comparer aux résultats manuels et trouver les processus et actions communs. Une fois que je me sens à l’aise avec mes résultats (des heures plus tard), j’écris la règle en Sigma puis je la traduis dans le SIEM de mon choix. Ensuite, j’efface toutes les données et relance le malware à partir d’un instantané et teste ma traduction sigma pour déterminer si elle peut trouver les résultats que j’attends. Si c’est le cas, je la publie, sinon, je recommence tout.

Comment prenez-vous la décision de quelle règle créer ?

Je ne décide vraiment pas, je laisse internet le faire. Je me tiens au courant des sites web de sécurité et de leurs rapports et si je lis à propos d’un nouveau malware, je fais de mon mieux pour trouver un échantillon ou un rapport analytique et le créer. Une fois que j’ai épuisé ces rapports (ce qui arrive rarement), je me tourne alors vers le Threat Detection Marketplace de SOC Prime. Après que Jordan m’ait introduit aux RedCanary Red tests, mon objectif est de créer un contenu qui reflète le côté blue team de ces red tests. Mon journal principal, pour l’instant, est Sysmon, donc beaucoup de mon contenu se concentrera sur la détection aux points de terminaison.

Que pensez-vous, le Developer Program peut-il aider les organisations du monde entier à améliorer leur cybersécurité ?

C’est un simple « Oui ». Le Developer Program offre une place ouverte aux développeurs du monde entier ayant différents niveaux d’expérience pour aider à suivre les acteurs malveillants. Un siège dans le Developer Program n’est pas seulement un honneur, mais vraiment une responsabilité envers les équipes de sécurité et les organisations du monde entier, et il ne devrait pas être pris à la légère.

Vous pouvez explorer le contenu de détection développé par Lee Archinal ici.
Interviews avec d’autres participants du Threat Bounty Program : https://socprime.com/tag/interview/

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Entretien avec le D̩veloppeur de Threat Bounty РMehmet Kadir CIRIK
Blog, Entrevue — 8 min de lecture
Entretien avec le D̩veloppeur de Threat Bounty РMehmet Kadir CIRIK
Alla Yurchenko
Entretien avec le D̩veloppeur de Threat Bounty РAung Kyaw Min Naing
Blog, Entrevue — 6 min de lecture
Entretien avec le D̩veloppeur de Threat Bounty РAung Kyaw Min Naing
Alla Yurchenko
Entretien avec le d̩veloppeur de Threat Bounty РMustafa Gurkan Karakaya
Blog, Entrevue — 6 min de lecture
Entretien avec le d̩veloppeur de Threat Bounty РMustafa Gurkan Karakaya
Alla Yurchenko