見出し画像

Detection Engineering 101

Hisashi Yamaguchi

サイバーセキュリティに携わっている方の中には、"Detection Engineering(以下DE)"という言葉をご存知の方が多いのではないでしょうか?

私は数ヶ月前まで、この言葉を聞きかじったことがある程度で、何のことかよくわからず悶々としていました。

DEとは、サイバー脅威の検出をエンジニアリングする手法で、根本的な考え方はソフトウェアエンジニアリングと同等、つまり、サイバー脅威の検出を、ソフトウェアコードで実装することと理解しています。

よくわからない説明ですね。まだ理解が足りない証拠です。


以下、よくわかっていないなりに実験した内容です。


先ずpipxをHomebrewでMacBookにインストールします。

$ brew install pipx


pipxでsigmatoolsのパッケージをインストールします。Sigmaプロジェクトが開発しているPythonのパッケージです。詳細は割愛。

$ pipx install sigmatools


念の為インストールできたか確認します。

$ pipx list
venvs are in /Users/hyamaguchi/.local/pipx/venvs
apps are exposed on your $PATH at /Users/hyamaguchi/.local/bin
manual pages are exposed at /Users/hyamaguchi/.local/share/man
   package sigmatools 0.23.1, installed using Python 3.13.2
    - merge_sigma
    - sigma2attack
    - sigma2misp
    - sigma_similarity
    - sigma_uuid
    - sigmac


SigmaのGithubリポジトリをMacBookにクローンします。

$ git clone  git@github.com:SigmaHQ/sigma.git
$ cd sigma
$ ls -ls
total 56
8 -rw-r--r--@  1 hyamaguchi  staff  1962 Oct 25 13:29 CONTRIBUTING.md
8 -rw-r--r--@  1 hyamaguchi  staff   384 Oct 25 13:29 LICENSE
24 -rw-r--r--@  1 hyamaguchi  staff  8850 Oct 25 13:29 README.md
16 -rw-r--r--@  1 hyamaguchi  staff  5278 Oct 25 13:29 Releases.md
0 drwxr-xr-x@  9 hyamaguchi  staff   288 Oct 25 13:29 deprecated/
0 drwxr-xr-x@  5 hyamaguchi  staff   160 Oct 25 13:29 documentation/
0 drwxr-xr-x@ 20 hyamaguchi  staff   640 Oct 25 13:29 images/
0 drwxr-xr-x@  5 hyamaguchi  staff   160 Oct 25 13:29 other/
0 drwxr-xr-x@ 12 hyamaguchi  staff   384 Oct 25 13:29 rules/
0 drwxr-xr-x@  3 hyamaguchi  staff    96 Oct 25 13:29 rules-compliance/
0 drwxr-xr-x@  3 hyamaguchi  staff    96 Oct 25 13:29 rules-dfir/
0 drwxr-xr-x@ 14 hyamaguchi  staff   448 Oct 25 13:29 rules-emerging-threats/
0 drwxr-xr-x@  5 hyamaguchi  staff   160 Oct 25 13:29 rules-placeholder/
0 drwxr-xr-x@  8 hyamaguchi  staff   256 Oct 25 13:29 rules-threat-hunting/
0 drwxr-xr-x@ 13 hyamaguchi  staff   416 Oct 25 13:29 tests/
0 drwxr-xr-x@ 10 hyamaguchi  staff   320 Oct 25 13:29 unsupported/


Sigma Ruleで実装しているDEとATT&CKのマッピングを作成します。ATT&CKの詳細は割愛。

$ sigma2attack --rules-directory ~/sigma/rules-threat-hunting


JSONファイルが出力されます。これをATT&CK Navigatorで見てみます。ATT&CK Navigatorの詳細は割愛。

$ ls -ls
total 32
32 -rw-r--r--@ 1 hyamaguchi  staff  13808 Dec 12 13:25 heatmap.json


ChromeでATT&CK Navigatorにアクセス。

出力されたJSONをアップロード。穴だらけですね。DEだけでは全てのTTPsをカバーすることは不可能かと。



おわりです。お気付きなどコメント頂けると嬉しいです。

いいなと思ったら応援しよう!