脅威バウンティ開発者へのインタビュー – PHYO PAING HTUN

今日は、SOC Primeのコミュニティに、才能があり献身的なメンバーをご紹介したいと思います。 Threat Bounty Program および検出コンテンツ著者のPhyo Paing Htunです。彼は2022年12月からSOC Primeプラットフォームに検出を公開しています。

Phyo Paing Htunによるルール

• 自己紹介とサイバーセキュリティの専門家になろうと決めた理由を教えてください。

私の名前はPhyo Paing Htunで、Chi Laiと呼んでください。ミャンマーで生まれ、ミャンマーの市民権を持っています。しかし、現在はタイのバンコクに移り住み、バンコクで働いています。私の現在の職位は、タイのマネージドセキュリティサービスプロバイダーの1つでのサイバーセキュリティインシデント対応担当L2です。私の責任は、SOCアナリストによってエスカレーションされたすべてのインシデントと脅威に対応し、CVE攻撃行動を研究することです。主な焦点は、セキュリティ情報イベント管理（SIEM）を使用して潜在的な攻撃行動を理解し、軽減する方法です。

• あなたの専門的な教育と資格、そしてどのようにして職業的に発展したのかを教えてください。

セキュリティブルーチームによるBlueTeamレベル1（BTL1）を既に取得し、2023年にINE Securityのスレットハンティングプロフェッショナル試験にも合格しました。

• Threat Bounty Programについてどうやって知ったのですか？参加を決めた理由は何ですか？

プログラムのメンバーでもあるミャンマーの先輩たち（コ Kyaw Pyiyt Htet、コ Zaw Min Htun、およびコ Aung Kyaw Min Naing）から知りました。彼らはSigmaルールをSOC Primeに寄稿しており、Sigmaルールの書き方やサイバーセキュリティニュースの見つけ方などをサポートしてくれました。また、Splunk SPL、Kibanaクエリ、KQLなどでのスレット検出クエリを書きたいと思いましたが、すべての言語を詳細に学んで理解するのは難しいです。そのため、Sigma言語を選んでさらに学ぶことにしました。Sigmaは任意のSIEMまたはEDRルールに変換することができます、 uncoder.io.

• 今ルールを書くのが難しいですか？

私はソフトウェア開発者のバックグラウンドを持っており、YAMLのような複数のクエリ言語に精通しています。今は難しくありません。アダム・スワンによる記事 Sigma Rule for Beginnersから学び始めました。条件の書き方、ログソースの識別方法、Sigmaがサポートするログソースの種類など、基本を理解できました。

• Threat Bountyのルールを作成するとき、アイデアから公開までどれくらい時間がかかりますか？

多分2時間以内にはなると思います。脅威レポートから、どのような戦術や技術を検出目的で書くことができるのかを理解する必要があります。重要なアーティファクトを見つけ、レポートを読み、明確に理解しました。その後、Sigmaルールを書きます。

• 最近公開されたルールの例を使って、ルール作成プロセスを説明していただけますか？調査から公開、レビュープロセスを含めて？

今のところ、これは私の最新のルールです – “Modified Registry Valuesによる可能性のあるBlotchyQuasar RAT [別名Hive0129のバンキングトロイの木馬]防御回避活動が検出されました。（Registry_Event経由）”。防御回避活動について書くことに決めました。レポートを読み始めました。このレポートはBlotchyQuasarマルウェアについてであり、その活動はすでにHive0129 APTグループと関連しています。このレポートは、初期アクセスの検出、防御回避、C2通信など、検出チェーンを書く際のいくつかのアイデアを提供してくれました。

レポートの一部に基づいて、レジストリ値変更プロセスの防御回避技術を選びました。しかしルールを書く前に、Lucene検索を使ってSOC Primeプラットフォーム上で既存のルールを検索する必要があります。まず、重複ルールを書かないことを確認する必要があります。『TamperProtection』の検索でいくつかのルールがヒットしたため、別のルールを選んで新しいルールを作成することにしました。

最初、私のルールは値の詳細部分が間違っていたために拒否されました。しかし、迅速に必要な変更を行い、ルールは公開されました。

私は IBM X-Force Exchange Osint Advisory を使用して新しい脅威レポートを検索します。

• あなたが個人的に受け取るコンテンツ拒否の最も頻繁な理由は何ですか？

それはおそらく「低耐性ルール」です。レポートは時々振る舞いIOCを含んでおり、それに基づいてルールを書くと、それは拒否されます。頑健な検出ルールを作成して承認を得る必要があります。

• 大きな専門コミュニティの一員として、あなたがプラットフォームに公開しているルールの最大の価値は何だと思いますか？

組織が SOC Prime に検出コンテンツを依頼するとき、検出ルールが単なる“一般”ルール、IOCルール、または行動IOCルールではないことを確認できます。組織にとって、一般的な検出ルールのような頑強な検出を持つことは非常に重要です。

• Threat Bountyプログラムの新メンバー、新しくプログラムを始めたコンテンツ開発者への推奨は何ですか？

新メンバー全員が SOC Primeプラットフォーム で既存のコンテンツを確認することをお勧めします。また、低レベルのIOCルールを書かないでください。これらのルールは短期間で効率的ではありません。また、 SigmaHQ はSigmaルールを作成するための一般的な基礎を学ぶのに良いリソースかもしれません。

• 多数のコンテンツの出版拒否を受けた後にプログラムに参加する動機は何ですか？

拒否メッセージが多すぎると、通常、Threat Bountyプログラムの Discord チャンネルで聞いています。例えば、彼らがなぜ私のルールを「低耐性」として拒否し続けるのか理解できなかったとき、Discordチャンネルでチームにそれを説明してもらうように頼みました。それは非常に明確になり、ルールをやり直すだけでした。ルールをレビューに出しましたが、再び拒否されました！本当に苦しい時間でしたが、ルールを分析する時間を取り、再びいくつかの変更を加え、レビュー後に最終的にルールは公開されました。検証チームが修正可能な場合にいくつかの詳細を提供してくれると非常に助かります。

• Discordで他の著者に返信することは役立ちますか？例えば、他の著者が自分のルールが拒否された疑問を抱いたとき。

それは私にとって非常に役立ちます。特に、Discord上の会話からルールが拒否される理由を学びました。また、それらの会話は、どのようなミス（低耐性）を避ける必要があるのか、どのような頑健な検出ルールを作成できるのかを理解するのに役立ちました。

• あなたは最初に、ルールを最初に公開し始めた友人たちの助けを借りてThreat Bounty Programに参加し始めたと述べました。これは、サイバーディフェンスの可能性を高める新メンバーを支援する地域の専門コミュニティの素晴らしい例です。その方たちとどのようにして知り合ったのですか？間で競争はありますか？

私たちはDiscordや他のチャンネルを使って、私たちにとって興味深い脅威検出のアイデアをチャットしました。私たち（ミャンマー脅威検出開発者コミュニティ）グループ内で競争がなく、互いに助け合い、サポートし合うことが、それぞれの成長を助けています。

お時間をいただき、非常に有意義な会話をありがとうございました！Phyo Paing Htunが今後のコンテンツ公開で成功することを願っています！

参加してみたいですか SOC Prime Threat Bounty Program？ぜひ今すぐ参加申し込みを！