開発者インタビュー:リー・アーチナル

[post-views]
7月 17, 2019 · 7 分で読めます
開発者インタビュー:リー・アーチナル

開発者プログラムの参加者とのインタビューシリーズを始めます(https://my.socprime.com/en/tdm-developers)これらの素晴らしい人々を紹介し、関連する脅威をウェブで探し、検出のためのユニークなコンテンツを作成している皆様にお届けします。リー・アーチナルさんをご紹介します!

こんにちは、リーさん。今日はご自身のことや開発者プログラムでの経験について少し書いていただけることを願っています。
コーヒーを飲みながら、あなたのサイバーセキュリティ経験について少し教えてください。

私のサイバーセキュリティ経験は2015年に始まりました。当時はジュニアネットワーク管理者としての役職を離れ、キャリアの次のステップを探していたところ、非常に親しい友人が私をセキュリティオペレーションセンターで働くセキュリティアナリストとしての生活に紹介してくれました。それ以来、私は後ろを振り返ることはありませんでした。最初はレベルIアナリストとしてユースケースイベントへの対応をしていたとき、Sysmonに出会い、それが私のキャリアの焦点と進路を与えてくれました。個人のラップトップでSysmonを研究しテストし始め、やがて組織内のテストグループに移り、最終的にはSysmonを企業全体に展開するに至り、エンドポイントのS.M.E(専門家としての責任ある)タイトルを与えられました(まだその肩書きに応えるべく努力しています)。その後、エンドポイント検出に関するコンテンツ作成の責任を与えられ、それがSOC Primeにつながりました。その後、勤務先にマルウェアラボを立ち上げ、さまざまなマルウェアや攻撃手法を起動し分析し始めました(レッドテスト)。これが私の現在の位置であり、目標はより多面的なアナリストになることと、エンドポイント以外の専門性を身につけることです。

どうぞ教えてください Sigma – 初めてSigmaに触れたのはいつでしたか、それを使い始めたときの経験について教えてください。

Sigmaの研究を始めたのは2017年です。同僚のアナリストがセキュリティ会議から戻り、SOC PrimeとSigma言語を調査すべきだと教えてくれました。SOC Primeが提供するもの、特に Threat Detection Marketplaceを知ったとき、私は魅了されました。Sigmaを研究し続けていたところ、ジョーダン・カンバさんが連絡を取り、SOC Primeの能力やSigmaを使ってコンテンツをデザインする際にどのように強力なツールになるかについて話し合いました。基本的な考えと少しの経験を得た後、私は自分のSOC向けにSigmaのみでコンテンツのデザインを始めました。これにより、将来使用するSIEMを選ぶときの柔軟性が得られ、またSigma言語での開発経験を積むことができました。

での経験について教えてください Sigma UI。開発者向けにより便利にするためのアイデアはありますか?

2018年初頭からSigmaでの執筆を始め、多くのコンテンツを作成しました。私のSOCは現在、将来SIEMを切り替える場合に備えて、私が作成したルールの良いリポジトリを持っています。開発者のための利便性を向上させるために考えられることは、Sigmaと他のSIEMのフィールドマッピングに関するチートシート(主に私のような2つのSIEM以外にあまり経験のないジュニアアナリストやリサーチャー向け)か、Uncoder.ioサイトで開発者が使用できる可能性のあるフィールドのアイデアを提供するドロップダウンやタブを設けることです。個人的には知っているフィールドにこだわっていますが、将来的にはもっと学びたいと思っています。

1つのルールを作成するのにどのくらいの時間がかかりますか?

何を情報源とするかによって異なりますが、非常に分析的な報告書からなら10分以内でルールを作成することができますし、それ以上かかる場合もあります。時間がかかるルールとは、Any.Runのようなサイトからダウンロードしたマルウェアのピースをソースとするものです。同じタイプのものを複数引き下ろし、サンドボックスとマルウェアラボで起動します。こうしてサンドボックスの結果と手動の結果を比較し、共通のプロセスとアクションを見つけます。結果に納得したら(数時間後)、Sigmaでルールを書き、選択したSIEMに翻訳します。それから全てのデータを消去し、スナップショットから再びマルウェアを実行して、Sigmaの翻訳で期待した結果を見つけられるかをテストします。見つければ公開し、見つけられなければ、再び始めからやり直します。

どのルールを作成するかをどのように決定しますか?

実際には私自ら決めません、インターネットに任せます。セキュリティウェブサイトやそのレポートを追いかけ、新しいマルウェアについて読んだ場合は、サンプルや分析レポートを探し出し、それを作成します。これらのレポートが尽きると(めったにありませんが)、SOC PrimeのThreat Detection Marketplaceに目を向けます。ジョーダンがRedCanaryのレッドテストを紹介してくれた後、私の目標はそれらのレッドテストのブルーチーム側を反映したコンテンツを作成することです。現在のメインログはSysmonなので、私の多くのコンテンツはエンドポイント検出コンテンツになります。

あなたの考えでは、開発者プログラムは世界中の組織がサイバーセキュリティを改善するのに役立つでしょうか?

これは「はい」と簡単に答えられます。開発者プログラムは、異なるレベルの経験を持つ世界中の開発者に対して、悪意ある行為者に立ち向かうための席を与えています。開発者プログラムの席はただの名誉の座ではなく、実際には世界中のセキュリティチームや組織に対する責任であり、軽んじるべきではありません。

リー・アーチナルによって開発された検出コンテンツを探索できます こちら.
Threat Bounty Programの他の参加者とのインタビュー: https://socprime.com/tag/interview/

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事