開発者インタビュー：トーマス・パツケ

私たちは、脅威バウンティプログラム（https://my.socprime.com/en/tdm-developers）の開発者にインタビューを続けており、サイバーセキュリティ専門家がより多くのSigmaルールを開発し、彼らの脅威検出コンテンツを共有し、より強力なコミュニティを構築することを奨励しています。前回のインタビューはこちら https://socprime.com/blog/interview-with-developer-florian-roth/

Thomas Patzkeを紹介します

Thomasはサイバーセキュリティコミュニティで最も刺激的な専門家の一人であり、情報セキュリティの分野で13年以上の経験を持ち、ThyssenKrupp CERTでブルーチームおよび脅威ハンターとして働き、Florian Rothと共にSigmaを創設しました。Thomas PatzkeはSigmaプロジェクトの貢献者であるだけでなく、Sigmacのコードを書く経験豊富な開発者であり、コミュニティとサイバーセキュリティ関連のツールを共有しています（https://gist.github.com/thomaspatzke).

あなた自身についてと、あなたのスレットハンティングの経験について教えてください。

私は2006年に情報セキュリティにおいて、様々なプロジェクトを手掛けるコンサルタントとして活動を開始しました。すぐに、攻撃的セキュリティ、具体的にはアプリケーションセキュリティにシフトし、時折、インシデント対応プロジェクトでログやフォレンジック分析を行いました。これらのIR案件は非常に小規模ではありましたが、そのタスクは非常に興味深いものであり、防御的なトピックへの関心は時を経て増してゆき、2015年にCERTで働き始め、興味深いインシデントや脅威アクターと常に接触するようになると一層高まりました。膨大なデータの中から攻撃者を見つけ出す作業は当初から私を魅了し、最終的には攻撃的セキュリティから完全に脅威ハンティングとインシデント対応にシフトしました。

あなたはSigmaの発明者の一人ですが、Sigmaというアイデアを完成したコンセプトにするのにどれだけの時間がかかりましたか？ なぜ「Sigma」という名前が選ばれたのですか？ 当時、Sigmaが世界中の何千人ものサイバーセキュリティ専門家に使用されると予想していましたか？

Sigmaの構築は流麗で非常にアジャイルなプロセスでした。Florianが初めてログイベントのシグニチャ形式のアイデアを持って私に連絡してきたとき、彼のアイデアは既に非常に具体的でした。私たちは声のメッセージを送り合いながらアイデアを洗練し、翌日にはFlorianが最初のSigmaルール（https://github.com/Neo23x0/sigma/commit/87deb349adb22331aae1b923420d382fea278d2c）を書いており、それは今日書かれているSigmaルールとあまり変わりませんでした。「Sigma」という名前はFlorianのアイデアで、彼に聞けばきっと何かのストーリーがあるでしょう 😉 私もその名前が気に入っていたので、それを選ぶことに決めました。

その後、私たちはSigmaをさらに洗練し、異なるフィールド命名規則など、ログシグニチャ共有における多くの課題を発見し、それらをシグニチャ言語と変換ツールで解決しました。2〜3ヶ月後、公開準備が整ったと考えられるものができましたが、初版のリリース後も新しいコンセプトが追加され、将来的にも続くでしょう。

Sigmaが役立つのは一部の人々にとってだろうと予想していましたが、それはFlorianと私がインシデントのハンドリングで経験した困難に基づいて構築されており、この分野の他の人々も同じ困難を抱えていることを知っていたからです。多くの人々からの肯定的なフィードバックや、様々な組織のインシデント対応チームによる採用は、私の予想をはるかに超えたものでした。

Thomas、Sigmaが脅威ハンティングツールとしての主な利点は何ですか？

Sigmaの主な利点は、特定イベントのログシグニチャという脅威ハンティングの結果を一つとして分配できる点にあります。Sigmaルールとして表現することができれば、異なる検出インフラを持つ組織内で簡単に配布できます。大規模な組織では、歴史的に築かれたITインフラや、異なる目的で使われる異なるソリューションのために、異なるSIEMシステムを持っていることが一般的です。Sigmaを使えば、ルールを一度書くだけで、それをSiEMs用のSplunkやArcSightクエリ、データレイク用のElasticsearchクエリ、疑わしいシステムをトリアージするためのGrepやPowerShellのワンライナーに変換し、コミュニティと共有することができます。

新しいSigmaルールを書く上で最も複雑で時間のかかる部分は何だと思いますか？平均してどの程度の時間がかかりますか？

私にとって、Sigmaルールを書くのは数分しかかかりませんが、それは通常、ログシグニチャにつながる研究に費やす時間のほんの一部です。Florianと私はSigmaを人に優しい、簡単に書けるように設計するためにある程度の努力をしました。私はSigmaの複雑な部分を特定するには偏りすぎていると思います。これはユーザーからのフィードバックに依存しており、改善が必要と思われることがあればGitHubの問題を通じて、または直接的に私たちに連絡してください。

Sigmaは世界中でますます人気が高まっていますが、業界に与える影響や、Sigmaの将来についてどのように考えていますか？その開発に関する具体的な考えはありますか？

一部のSigmaユーザーから、彼らはSigmaをセキュリティ製品のRFPに要求項目として挙げており、その理由は彼らがSigmaを信頼しているからだと聞いています。また、Sigmaサポートを製品に統合したいと考えている様々なセキュリティベンダーとも既に接触しています。多くの製品にYARAやSnortが既に統合されているように、セキュリティ製品へのネイティブなSigmaサポートが見られると素晴らしいことです。私はSigmaコンバーターの大部分を開発しましたが、ネイティブなSigmaサポートがあればそれが不要になってもまったく問題ありません！

SOC Primeでは、サイバーセキュリティ専門家間のコンテンツ共有を奨励するThreat Bounty Programを立ち上げました。Thomas、Sigmaルールや他の脅威検出コンテンツの共有に対して開発者を報酬で支払うというアイデアは気に入りますか？

はい！攻撃的なセキュリティ研究者として、リサーチの報酬を受け取るか、それを公開して評判を高めるかを選択することが長年可能でした。Threat bountyはこれを防御的な研究にも拡張し、両領域の報酬の不均衡を修正する良い一歩です。私は研究結果を自由に公開することの大きな支持者であり、これからも人々がそうするだろうと信じています。脅威の報奨金は、より多くの人々が防御的なセキュリティ研究に時間を費やし、全体的な状況を改善するよう促すことすらできるかもしれません。

Sigmaルールを書くことを学んでいるサイバーセキュリティの専門家に何を勧めますか？Sigmaの執筆をマスターするためのヒントはありますか？

コンテンツが重要です！Sigmaルールを書くことは比較的簡単で、学習曲線はかなり急です。YAMLサポートのあるエディタがあれば十分であり、SOC Prime Sigma UIのようなウェブベースのツールが、Sigmaルールを書くアナリストをサポートしています。なので、私のSigmaの学習へのアドバイスは非常にシンプルです：先に進んで、クールなリサーチを行うか、既存のリサーチを取って（クレジットを忘れずに！）それをSigmaルールにしてみてください。そうすると、気づかぬうちにSigmaに堪能になるでしょう。