Entretien avec le Développeur : Sreeman Shanker

Rencontrez Sreeman, l’un des participants les plus actifs de SOC Prime Programme Bounty de Menaces. Sreeman participe au Programme Bounty de Menaces depuis décembre 2019.

Avant de commencer à publier son propre contenu développé sur le Marché de la Détection de Menaces, Sreeman avait contribué à un grand nombre de modifications et d’améliorations des traductions de contenu TDM existantes pour Azure Sentinel et Microsoft Defender ATP.

Consultez le lien pour voir les règles développées par Sreeman : https://tdm.socprime.com/?searchValue=tags.author:sreeman

Sreeman, parlez-nous un peu de vous et de votre expérience en cybersécurité.

Ma première introduction à la sécurité a eu lieu lorsque j’ai regardé le film culte « Wargames ». J’ai su immédiatement que la sécurité de l’information serait ma spécialité à l’université. Je travaille dans le secteur de la sécurité depuis environ 6 ans maintenant, en commençant comme analyste en sécurité et actuellement en me concentrant davantage sur la recherche de menaces et la réponse aux incidents. Je passe beaucoup trop de temps par semaine à lire, rechercher et essayer de comprendre la logique des nouvelles méthodes d’exploitation. Je suis également un membre actif de l’équipe de la conférence de sécurité Hack In The Box.

Est-il difficile de maîtriser le langage Sigma avec une expérience dans l’écriture de règles pour différents systèmes de sécurité ?

Honnêtement, c’est aussi facile qu’apprendre à faire du vélo. Une fois que vous comprenez les bases et que vous enlevez les roues stabilisatrices, c’est à peu près pareil en avançant, car le format et les syntaxes deviennent rapidement familiers. C’est étonnant qu’il n’ait pas été créé beaucoup plus tôt, mais Florian Roth a pensé hors des sentiers battus et a proposé une idée qui aide vraiment tout le monde qui travaille dans un environnement de blue team/SOC. Différents SIEM ont différentes manières d’écrire des règles, mais la logique de base est essentiellement la même. C’est exactement ce que fait SIGMA. Nous écrivons simplement ce que doit être la stratégie de détection en termes simples, et ensuite les gens le convertissent dans le langage de requête de leur SIEM.

Je dois admettre que je fais encore un certain nombre d’erreurs de syntaxe, et je suis sûr que l’équipe de TDM est probablement agacée par mon impatience – mais heureusement, elle prend le temps de me faire savoir ce qui ne va pas afin que je puisse le corriger.

Vous participez activement au développement de la communauté : vous ne publiez pas seulement votre contenu de détection, mais vérifiez également les autres règles communautaires publiées et proposez vos propres traductions aux plateformes si la règle ne peut pas être traduite via Uncoder automatiquement. Combien de temps cela prend-il ?

Comme mentionné précédemment, la logique transmise par une règle SIGMA est assez facile à comprendre. Si nous savons de quoi la règle parle, il est vraiment simple de la reproduire sur d’autres plateformes. C’est savoir comment écrire des requêtes efficaces sur cette plateforme qui détermine le temps. Certaines requêtes peuvent prendre aussi peu que quelques minutes, et d’autres un peu plus longtemps.

Tout le contenu de détection de menaces que vous avez contribué au Marché de la Détection de Menaces est disponible gratuitement et aide les spécialistes en cybersécurité du monde entier à détecter des menaces. Qu’est-ce qui vous motive à publier uniquement des règles communautaires ?

La grande chose à propos de la communauté de la sécurité est que tout le monde partage ses connaissances et ses découvertes. Vous trouvez des gens comme Samir Bousseaden, Florian Roth, @hexacorn, Oddvar Moe et bien d’autres encore qui prennent le temps d’expliquer et de démontrer une exploitation ainsi que d’écrire des règles pour la chasse. J’ai beaucoup appris de toutes ces personnes, et sans débourser un centime. Je pense qu’il est juste que je contribue à la communauté sans rien demander après avoir absorbé toutes ces connaissances.

Quel est, selon vous, le plus grand avantage du Programme Bounty de Menaces de SOC Prime ?

C’est une très bonne plateforme (peut-être la seule ?) qui aide les membres de l’équipe bleue/les chasseurs de menaces à travers le monde à venir à une seule interface pour identifier et utiliser les règles de détection de menaces dont ils ont besoin. Non seulement cela, mais c’est peut-être le plus grand référentiel mondial de règles de détection qui répondent à tous les SIEM/collecteurs de journaux existants. Un SOC qui débute peut tirer parti de ces règles et obtenir un démarrage immédiat dans la maturité de ses règles. Le mappage MITRE ATT&CK permet également aux équipes d’intégrer les règles de détection adaptées à leur secteur et d’augmenter le nombre de règles de détection pour les tactiques qui faisaient défaut. SOC Prime et les développeurs indépendants ajoutent des règles quotidiennement en se basant sur de nouvelles découvertes en matière de sécurité.

De plus, le marché TDM permet aux organisations de demander des règles de détection qui sont plus adaptées à leurs besoins organisationnels (règles spécifiques à un APT qui peuvent ne pas être disponibles). Cela apporte non seulement un avantage à l’organisation, mais aussi des incitations aux développeurs qui créent des règles. Pensez-y comme un programme de « bug bounty » pour les règles de détection, ce que je ne pense pas que beaucoup d’autres plateformes offrent !

Consultez notre dernier Digest de Règles et regardez l’exemple de contenu développé par Sreeman : https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

Lisez des interviews avec d’autres développeurs : https://socprime.com/en/tag/interview/