脅威バウンティ成功事例: キョー・ピーニェ・ヘット
今日は、コンテンツ作成者として4年以上勤めているチョー・ピィッ・テットさんの物語をお伝えしたいと思います。 Threat Bounty Program に所属しています。私たちは チョー・ピィッ・テット をブログで紹介し、彼の個人的および専門的な背景についていくつかの情報を述べました。
今、チョー・ピィッ・テットさんの話を聞くのはとても興奮しますし、彼のプロとしての成長、キャリアの進展、将来の計画について学べます。
ご自身について、現在の会社、および会社でのポジションについてお聞かせください。
私はチョー・ピィッ・テットです。私の名前は少し発音が難しいです。現在、私はオーストラリアのXDRサービスであるLMNTRIXでシニア脅威アナリストとして働いています。同社はAPACと北米の地域にサイバー防御サービスを提供しています。私の日常の業務はEDR/XDRを利用した脅威の対応に主に焦点を当てています。これが私の現在の立場で、水日常の業務です。
Threat Bounty Programに参加する前は、L1アナリストとして働いていました。検出ルールを微調整し、シグネチャとリアクティブ監視に依存していました。脅威検出エンジニアがどのように運用するか、サイバーインシデントを効果的に特定する方法も学びました。
Threat Bounty Programのメンバーになってどのくらいですか?あなたの最大の成果と節目をThreat Bountyのコンテンツ作成者として考えられることは何ですか?
私は3年8ヶ月からThreat Bountyプログラムに参加しており、今でも貢献を続けています。私の最大の成果と節目は、2022年の8月、10月、11月にTop著者にランクインしたことです。これは 月刊レポートで報告されました。最近では、 認識されました SOC Primeのトップ20の貢献者の一人として。
ルールの貢献についてお聞かせください。プログラム参加中にどれくらいのルールを提出したか教えてください。
現在、脅威検出マーケットプレイスに成功裏に 公開されたルールが189件あります。全体の提出は200件を超えているかもしれませんが、残念ながら詳細を思い出すことはできません。多くの提出が拒否されました。多くの拒否を受けましたが、高品質なSigmaルールを作成するための経験を得ることができました。
ルールの提出に関する個人的なスケジュールやマイルストーンはありますか?Threat Bountyコミュニティの活動を観察すると、積極的に公開している著者の提出数は週に5から50+と大きな違いがあります。どのようにされていますか?
私は特に固定した目標はありません。そして月に50+の提出はしていません。しかし、私のアプローチについてお話しすることはできます。
まず最初に、オープンソースの脅威レポートを読みます。例えば、Unit 42、Cybereason、Cisco Talosなどです。通常、私はレポートを読み、いくつかの検出アーティファクトを探します。例えば、レジストリキー作成や脅威アクターによるスケジュールされた操作があるかなどです。それからその検出アーティファクトを取り、 Sigmaルールを作成して、Threat Bountyプログラムに貢献します。
並行して、私はホームラボ環境でカスタムC2フレームワークを研究し、そこで他の重要な検出アーティファクトを見つけることができます。現時点では、私自身の内部研究による検出ルールがSOC Primeプラットフォームにいくつか存在します。
私が貢献する検出ルールを書くために使用している二つのアプローチです。
脅威ハンティングにおいて非常に情熱を持ち、興味を持っている特定のトピックや方向性はありますか?
脅威インテリジェンス レポートを読んで 時、私は最初に妥協の指標ではなく、攻撃の指標を探します。堅牢な検出コンテンツを作成する必要がある場合、攻撃の指標に依存する必要があります。なぜなら、攻撃者の観点から変えることが難しいからです。
例えば、IPアドレスやドメイン名などのIOCに基づいてSigmaルールを書いた場合、長期的な検出としては信頼性が低いです。
それが理由で、攻撃者の操作では変えることが困難なコマンドライン実行や他のキーとなるレジストリアーティファクトに注意を払っています。
コンテンツ提出の中で最も心地よくない部分、つまりコンテンツ拒否についてお話しください。どんな経験がありますか?
正直に言うと、以前はIOCに依存してSigmaルールを作成していましたが、これがルールが拒否された主な理由でした。他の理由としては、時には非常に遅くルールを作成して他の貢献者のコンテンツが私の前に検証を通過してしまっていることもありました。
拒否を受けるたびに、SOC Primeの検証チームが理由を明示しました。彼らは私に高品質で高精度な検出ルールを作成することに焦点を当てることを勧めてくれました。この経験を通じて、私は多くの拒否を受けたにもかかわらず、経験を積むことができました。
IOCベースのルールから行動ベースのコンテンツにどのようにシフトしましたか?
後に私は Piramyd of Painモデル を適用し始めました。このモデルを使用することで、攻撃者の能力を難易度のレベルに基づいて評価することができます。つまり、Pyramid of Painのアーティファクトのレベルが高いほど、検出ルールの精度が高くなります。
脅威レポートを読んだり、自分で調査を行うときに常にPyramid of Painモデルを適用しています。良いアーティファクトを見つけたときには、Sigmaルールを作成し、提出しています。
この経験はあなたのプロとしての成長に役立ちましたか?
はい、まさにそうです。例えば、SOC Primeチームが私のルールが弱いとか、一部の検出パラメータを調整する必要があると言うとき、私はその推奨に非常に注意を払っています。この種の推奨は、仕事に非常に役立っています。私はより良い微調整を行い、誤検知警報を減らすことができます。Threat Bountyプログラムに参加した経験から多くを得たと思います。
Threat Bountyに参加する主な動機は何でしたか?お金、自分の成長、または挑戦ですか?
Threat Bountyプログラムのためにルールを作成するためには、新たな脅威についてのニュースを読む必要があります。これは私の日常の仕事に非常に役立ちます。なぜなら、私の仕事の責任にはサイバー脅威インテリジェンス操作が含まれているからです。つまり、新たな脅威に関する情報に接し続け、ほぼ毎日検出ルールを作成する必要があります。実際に、Threat Bountyプログラムに参加することと日常の仕事を行うことは密接に関連しており、大きな差はありません。それが、私がすべての人にThreat Bountyプログラムに参加することを勧める理由であり、これは私たちのスキルを向上させ、勤務している会社にも貢献するでしょう。
Threat Bountyに継続的にルールを貢献する個人的な動機は何ですか?
まず第一に、私は国際的なコミュニティに貢献したいと思っており、これは私の個人的な動機であり、私のエゴです。もちろん、追加の収入を得て、欲しいものを購入できるようになりたいという思いもあります。もう一つの重要な動機は 私のキャリアとスキルを披露すること であり、Threat Bountyプログラムに参加することでこれをCVに追加して、国際的なサイバーセキュリティ市場で新しい仕事に応募するときのアピールポイントにできます。
あなたのコミュニティについてお話しください。経験を共有したり、友人や同僚にThreat Bountyプログラムへの参加を勧めたりしていますか?
はい、もちろん、私の友人の中にはすでにThreat Bountyプログラムに活発に貢献している人がいます。このプログラムのメンバーではない人たちには、参加することを常に勧めています。最初は多くの拒否を受けるでしょうが、すでに述べたように、これは成熟した検出ルールを作成する方法を学ぶための素晴らしい機会です。あきらめないで!
もう一つの利点は、Sigmaルールを作成することにより、異常な活動が何であるかを理解し、既存のルールをより良く微調整できることです。これは、Threat Bountyプログラムに参加することによって得られるスキルアップの一種です。
今後どのようにプロとしての発展を計画していますか?SOC Primeに依存していますか?
SOC Primeの支援を受けて、そしてこれが私のキャリア開発の本当に重要な部分の一つであることですが、5年以内にサイバー脅威インテリジェンスの専門家になりたいと思っています。SOC Primeの支援を受けて、Discordサーバーで国際コミュニティと関わりを持ち、検証チームからフィードバックを受け取る可能性を得ました。これは自己改善においても重要な部分です。
また、 Uncoder AIを使用することで、会社で使用しているEDR言語にSigmaルールを簡単に変換でき、これも役に立ちます。
あなたの経験は非常に興味深く、刺激的です。キャリアを始めたばかりの多くのエンスージアストは、あなたの例とアドバイスに従って Threat Bountyプログラムに参加するべきです.
