開発者へのインタビュー：アリエル・ミラウエル

私たちはもう一度 インタビュー をSOC Primeの開発者プログラムの参加者の一人と行いました（https://my.socprime.com/en/tdm-developers）。私たちはアリエル・ミラウエルを紹介したいと思います。アリエル、自己紹介とあなたの脅威ハンティングの経験について教えていただけますか？私はアルゼンチンのブエノスアイレス出身のアリエル・ミラウエルで、30歳です。
2年前にSOCからブルーチームの仕事に移ったときに脅威ハンティングの世界に入りました。これが私の出発点で、今ではそれが私の情熱の一つとなっています。脅威ハンティング業界について話しましょう。現在、最も重要なトレンドと弱点は何だと思いますか？私の意見では、最も重要なトレンドはマルウェアハンティング、Sysmonログ、クラウド技術です。業界における機械学習の統合が最も弱点だと思います。Sigmaに関するあなたの経験について教えてください。いつ、なぜ使い始めたのですか？初めてSigmaを見たのはTDMで、ルールを探索している時でした。この時点で、約5か月前にSysmonとプロセスモニタリングについて学び始めました。簡単なSigmaルールを書き始めるまでに少なくとも3ヶ月かかりました。あなたの意見では、Sigmaの脅威ハンティングツールとしての主な利点は何ですか？Sigmaはどのように組織のサイバー防御の構築方法を変えられますか？Sigmaの主な利点は、業界で最も重要なSIEMとの統合、そして新たな脅威が主要な舞台に上がるたびにコンテンツを絶えず作成する機会にあります。
Sigmaは組織のサイバー防御の構築方法を変えるのではなく、ブルーチームとレッドチームの全体のシナリオを変えることができるでしょう。新しいSigmaルールを書く上で最も複雑で時間がかかる部分はどこだと思いますか？最も複雑で時間がかかるのは、特定のルールに入れるものを検証することです。私はこれを仮想ラボで行っています。新しいSigmaルールを書くのにどれくらいの時間が必要ですか？どのルールを作成するかの決定はどうやって行われますか？全工程にはルールごとに少なくとも2時間かかります。これはサンドボックスで分析するマルウェアに新しい振る舞いを見て気づく時に起こります。あなたの意見では、Sigmaで改善できる点は何ですか？Sigmaは使用開始以来成長してきました、そしてあなた方がしていることを見るのは素晴らしかったです。翻訳エラーや「不明」エラーについてのフィードバックがUncoderにあると素晴らしいと思います。そういったエラーを見たことがあり、時には何が正しくないかを見るのが難しいと感じます。CybersecurityスペシャリストがSigmaルールの書き方を学ぶ際に、何かアドバイスはありますか？Sigma書き方をマスターするためのヒントは？これらの人々にはSysmonを深く学ぶように、そして常に攻撃者がどのように考え、どのように動くかを学ぶように勧めます。Sigma UIを使用したことがありますか？それはどのように改善される可能性がありますか？Sigma UIは強力なツールで、とても完璧です。ArcSightで生のSigmaコードがどのように見えるか見るのに使っています。ラボはありますか？ルールをどのようにテストし、どのログソースと作業することを好みますか？小さいけれど効果的なラボがあり、そこでルールをテストしています。私は常にSysmonログを好んでいます。あなたはSOC Primeの開発者プログラムの参加者です、開発者プログラムは世界中の組織のサイバーセキュリティ向上に役立つと思いますか？TDMとSOC Primeの開発者プログラムは大いに役立ち、開発者にお金を払う優れたアイデアで大きな変化をもたらすでしょう。SOC Primeでサイバーセキュリティプロフェッショナル間のコンテンツ共有を促進するThreat Bounty Programを開始しました。アリエル、Sigmaルールやその他の脅威検出コンテンツを共有することで開発者に報奨を与えるというアイデアは好きですか？はい、100％です。これが私をこのプログラムに参加するように説得したポイントの一つです。これから進むべき道を決める若いサイバーセキュリティスペシャリストにどのようなアドバイスがありますか？どの道を選択するにしても、常に情報を得て学び続けることを若いセキュリティ愛好家に勧めます。この世界では決して十分ではありません。アリエル、あなたはTwitterに自身のルールを最初に投稿した開発者です、それは素晴らしいです。新しいルールについての情報が掲載されるTwitter/Telegramの『フィード』はサイバーセキュリティコミュニティにとって興味深いでしょうか？TDMにSigmaルールプレビュー付きの「シェア」ボタンは非常に興味深いでしょう。フィードも素晴らしいものになるでしょう。これはおそらくルールを促進し、開発者やSOC Primeにとっても利益となります。Twitter… あなたのフィードを誰が読んでいるかをどうやって管理できますか？あるアイデアや検出が必要なものを提供すると、悪者がそれを読んで誰かに対して利用可能なのです。時に良いアプローチが正しくない方法で使用されることがあります… これについてどう思いますか？これには100％同意します。新しいアイデアをTwitterに投稿するのは、Sigmaルールや仕事用のコンテンツを作成するまで控えています。これはアイデアの悪用を防ぐ良い方法です。もう一つ特定の質問があります。マルウェアの分析は通常反応的な行動で、そのマルウェアで既にハッキングされている組織もあります。アリエル、予測検出についてどう思いますか？可能でしょうか？もし可能なら、どのようにして検出が必要な新しい考えを探しますか？予測検出は複雑ですが不可能ではありません。なぜなら「野生」には多様なマルウェアの動作があるからです。組織がセキュリティを真剣に考え、サンドボックスのようなアプリでマルウェア分析を行うなら優れた予測マトリックスを成し遂げることができます。