開発者とのインタビュー: Sreeman Shanker

SOC Primeの最も活発な参加者の一人、Sreemanを紹介します Threat Bounty プログラム。Sreemanは2019年12月以来、Threat Bounty プログラムに参加しています。

Threat Detection Marketplaceに自身で開発したコンテンツを公開する前に、SreemanはAzure SentinelとMicrosoft Defender ATPの既存のTDMコンテンツの翻訳に、大量の変更と改善を貢献しました。

Sreemanによって開発されたルールを表示するには、リンクを確認してください： https://tdm.socprime.com/?searchValue=tags.author:sreeman

Sreeman, サイバーセキュリティでの経験と自己紹介を少し教えてください。

私のセキュリティへの初めての紹介は、カルト的なお気に入りである『ウォー・ゲーム』を観た時でした。大学で情報セキュリティを専攻することをその時にすぐ思いました。セキュリティ分野に身を置いてからはちょうど6年ほどになりますが、最初はセキュリティアナリストとして始め、現在は主にスレットハンティングとインシデント対応を行っています。一週間で過剰なまでに読書、研究、そして新しいエクスプロイト手法の理解に多くの時間を費やしています。私はまた、Hack In The Boxセキュリティカンファレンスのアクティブなクルーメンバーでもあります。

異なるセキュリティシステムのルールを書く経験を持ちながら、Sigma 言語を習得するのはどれほど難しいですか？

正直、これは自転車に乗ることを学ぶのと同じくらい簡単です。一度基本を理解し、補助輪を外せば、その形式や構文がすぐに馴染んでくるので、進んでいく上でほぼ同じです。それがもっと早く作られなかったのは驚きですが、Florian Rothが枠からはみ出し、全てのブルーチーム/SOC環境で働く人々を本当に助けるアイデアを考案しました。異なるSIEM は異なるルールの書き方を持っていますが、基本のロジックは本質的に同じです。これがまさにSIGMAが行うことです。私たちはただ検出戦略が基本的で一般の人々にも分かる形であるべきことを記述し、その後、人々は単にそれを彼らのSIEMクエリ言語に変換するのです。

まだ多くの構文ミスをすることを認めますが、私の軽率さにTDMの人々はおそらく苛立っていることでしょう。しかし、私が間違っていることを教えてくれる時間を取ってくれることに感謝しています。

コミュニティの発展に積極的に参加していますね。あなたは自分の検出コンテンツを公開するだけでなく、他の公開されたコミュニティルールをチェックし、Uncoderで自動翻訳できない場合にプラットフォームに自分の翻訳を提供しています。それにどれくらいの時間がかかりますか？

前述のように、SIGMAルールが伝えるロジックは非常に理解しやすいです。ルールが何についてなのか分かれば、それを他のプラットフォームで再現するのは本当に簡単です。そのプラットフォームで効率的なクエリを書けるかどうかが時間を決めます。いくつかのクエリは数分で済むこともあり、少し長引くこともあります。

Threat Detection Marketplaceへのあなたによるすべての脅威検出コンテンツは無料で提供され、世界中のサイバーセキュリティ専門家たちが脅威を検出するのに役立っています。なぜコミュニティルールのみを公開することに動機づけられるのでしょうか？

セキュリティコミュニティの素晴らしい点は、すべての人が知識や発見を共有することです。サミール・ブーセーデン、フロリアン・ロス、@hexacorn、オッドヴァル・モーなど、多くの人々がエクスプロイトを説明し、実演し、狩猟のためのルールを書くことに時間をかけています。これらの人々から多くのことを学び、1セントも支払っていません。それに吸収した知識を返すためには、何も要求せずに貢献するのが公平だと感じます。

SOC Prime Threat Bounty Programの最大のメリットは何だと思いますか？

それは、世界中のブルーチームメンバーやスレッドハンターが単一のガラスのパネルに集まり、必要な脅威検出ルールを特定して使用できる非常に良いプラットフォーム（おそらく唯一のもの？）です。その上、SIEM/ログ収集ツールのすべてに対応できる検出ルールの世界最大のリポジトリかもしれません。開始したばかりのSOCは、これらのルールを活用して、ルール成熟度をすぐに向上させることができます。MITRE ATT&CKマッピングもあり、業界に適した検出ルールを搭載し、欠けていた戦術のための検出ルールを増やすことができます。SOC Primeとフリーランスの開発者は、最新のセキュリティ発見に基づいて毎日ルールを追加しています。

さらに、TDMマーケットは、組織が自分たちのニーズにより適した検出ルール（APT特定のルールなど）を要求することを可能にします。これは、組織への利益を提供するだけでなく、ルールを作成する開発者へのインセンティブも提供します。他の多くのプラットフォームが提供していないであろう「バグバウンティ」プログラムとして考えてください。

最新のルールダイジェストをチェックし、Sreemanによって開発されたコンテンツの例を見てください： https://socprime.com/en/blog/rule-digest-trojans-cyberspies-and-raticate-group/

他の開発者とのインタビューを読む： https://socprime.com/en/tag/interview/