カテゴリー: Security

【体験記】2回目でSC-200に合格!実体験から学ぶ効果的な勉強法とおすすめ教材

🎯 はじめに

Microsoft認定試験 SC-200(Microsoft Security Operations Analyst Associate) に、ついに 2回目の挑戦で合格 しました!

この試験は、セキュリティ運用・分析・調査の実務スキルを問う内容で、
SOC(Security Operations Center)で働くエンジニアには必須レベルの知識を求められます。

これから受験を考えている方に向けて、私が実際に使った教材や学習の進め方、
そして「1回目に落ちた理由」と「2回目で合格できたポイント」をまとめます。

📘 SC-200とは?

SC-200は「Microsoft Security Operations Analyst Associate」としてのスキルを証明する試験で、主に以下の製品と分野を扱います。

  • Microsoft Sentinel
  • Microsoft Defender XDR(Defender for Endpoint / Identity / Cloud Apps / O365)
  • Microsoft Defender for Cloud(旧Azure Defender)
  • KQL(Kusto Query Language)
  • インシデント対応、ハンティング、調査、ロールと権限の理解

単なる座学ではなく、実際の運用・調査プロセスを理解しているかが問われます。
そのため「操作経験+設計・分析の知識」両方が必要になります。

💥 1回目で落ちた理由:時間配分ミスと見直し地獄

1回目の受験では、途中まで順調に進めていたものの、途中にそれまでに回答した問題の一覧が出てきたので質問は全て回答し終わったものと勘違い。
残り3分でまだ長文が残っていることい気づいた時にはジ・エンドでした。

700点まであと14点というところだったので、すべて問題を解き終わっていたら合格していたかもとおもうととてもくやしい思いをしました。

🚀 2回目で合格できたポイント

2回目は、前回の出題内容をしっかり思い出し、弱点を徹底的に潰す学習法に切り替えました。

  • 1回目の出題傾向を思い出して復習
  • 特にSecurity for COPILOT はあまり勉強していなかったにもかかわらず結構出題されていたので重点的に勉強
  • ExamTopicsで似た問題を反復練習
  • ChatGPTで不明点を深掘り(公式ドキュメントもあわせて確認)

結果、問題を見直すことなく時間にも余裕を持って合格できました。合格点はそれでもぎりぎりでしたが。。。

📚 使用した教材・サイトまとめ(全紹介)

🧩 ① Microsoft Learn(公式)

公式教材は基礎理解に最適。無料で体系的に学べます。特に以下のモジュールは試験に直結します。

  • Mitigate threats using Microsoft Defender XDR
  • Create detections and perform investigations using Microsoft Sentinel
  • Protect Azure resources with Microsoft Defender for Cloud

🧠 ② ExamTopics

https://www.examtopics.com/exams/microsoft/sc-200

最も実践的な学習サイト。的中率が非常に高いです。
一方で、解答に誤りが混じることもあるので、ChatGPTやMicrosoft Learnで裏付け確認をしながら使うのがコツです。

💬 ③ ChatGPT(学習パートナー)

自分はChatGPTを解説とドキュメント確認用としてフル活用しました。特にExamTopicsは明確な正解が記載されていなので、ChatGPTに正解とその根拠を質問しながら勉強を進めました。

💡 学習の進め方(実践ステップ)

1️⃣ まずMicrosoft Learnで全体像を把握
2️⃣ ExamTopicsで問題形式に慣れる
3️⃣ ChatGPTで「なぜこの答えなのか」を理解する

⚠️ 試験の印象と難易度

正直に言うと、SC-200はかなり難しい試験です。
KQLの理解だけでなく、「どの製品のどの機能で何ができるか」を細かく把握する必要があります。
特にひっかかりやすいのは以下の部分ではないかと思います。

  • 「Security Admin」「Owner」「Contributor」の権限違い
  • Sentinelのトリガー(Playbook, Automation rule, NRT rule)
  • Defender for Servers / Endpoint / Cloud の有効化条件

🎓 まとめ:2回目で掴んだ教訓

  • 1回落ちても気にしない。 出題傾向を覚えておけば、2回目で必ず突破できる。
  • ExamTopicsの的中率は高いが、理解を伴わせることが重要。
  • ChatGPTは「解答確認+理解補強」に最適な学習パートナー。

🔜 次の目標

SC-200を取ったことで、Microsoftセキュリティ系の基盤が理解できました。
次は SC-100(Cybersecurity Architect Expert) などを目指し、よりアーキテクチャ設計寄りの知識を深めていきます。

✍️ 最後に一言

SC-200は決して簡単ではありませんが、実務にも直結する内容なので、取得の価値は非常に高いです。

1回で受からなくても諦めず、ChatGPT・ExamTopics・Microsoft Learnを組み合わせて勉強すれば、必ず合格できます!

HTML/ExpKit.Gen6 をAvira が検知したので駆除(削除)してみた

先週あたりから Mac にインストールしている Avira Free Security がHTML/ExpKit.Gen6というマルウェアを検知し始めたようなので、削除してみました。

おそらく FireFoxであるサイトにアクセスしたことで危険なHTMLがダウンロードされたようで、FireFoxを起動するたびにAvira Free SecurityがHTML/ExpKit.Gen6を検知していました。

そこで以下の手順で対応しました。

1.Arcブラウザをインストールし、FireFixのブックマークをインポート
2.FireFoxをアンインストール
3.Aviraにて隔離されているマルウェアを削除

今回は3.の「Aviraにて隔離されているマルウェアを削除」する方法を簡単に説明します。

3.1 Aviraの管理画面から「隔離」を選択

Aviraで隔離されたファイルの一覧が表示されます。

Aviraの管理画面1

3.2 左下の鍵をクリックしロック解除

ロックを解除するとファイルが選択できるようになります。

Aviraの管理画面2

3.3 削除したいファイルを選択し下部の「削除」ボタンを押す

3.2で選択したファイルが削除できます。

Aviraの管理画面3

Microsoft AZ-500の失敗談を書くことが頭の中をよぎりましたが、なんとか合格できた件

急遽、1週間後にAZ-500の試験を受けないといけない状況になり、なんとかクリスマスイブの今日(2024/12/24)、合格することができましたので、その方法をここに記載しておきます。

ちなみに私は1年前に AZ-900を取得済みです。

このブログの概要は以下の通りです。

1.Udemyの模試を受ける(初級編)
2.MS公式の模試を受ける(中級編)
3.最後まで諦めずに試験を受ける(上級編)
4.試験の概要
5.補足(あまり利用しなかった教材)

正直、ここまでやれば 700点ぎりぎりで受かる可能性があります。もしそれ以上の確率で合格したいのであれば、実務経験やMS Learnの読み込みが必須でしょう。

それくらい AZ-500 の試験はきびしいです。

1.Udemyの模試を受ける

下記の模擬試験を受けます。かなり基本的な内容なので、この模試をすべて100点満点でクリアできるくらいになりましょう。

AZ-500 Azure Security Technologies 模擬問題集
https://www.udemy.com/course/az-500-azure-security-technologies/?couponCode=KEEPLEARNING

模試は3種類ありますが、毎回同じ問題が出ますので、2〜3周すれば、すべて100点近い点数がとれるようになると思います。

ちなみにこのレベルの問題は実際の試験では出題されません。

2.Microsoft Learnの模試を受ける

次に Microsoft公式の AZ-500模試を受けます。この模試は Udemy を初級レベルとすると中級レベルの模試になります。

どんなコマンドを実行したらいいかや、Azureのポータルでこんな設定がされている場合にどういった挙動になるかなど、グッと実際の試験に近い問題になります。(とはいえ、まだまだ実際の試験の内容には遠いですが。)

試験 AZ-500 のプラクティス評価:Microsoft Azure Security Engineer
https://learn.microsoft.com/ja-jp/credentials/certifications/azure-security-engineer/practice/assessment?assessment-type=practice&assessmentId=57&practice-assessment-type=certification&source=docs

模試や1種類しかありませんが侮るなかれ、毎回少しずつ問題が入れ替わるので100点満点を取れるようになるのは容易ではありません。

しかし、2〜3回続けて90点を超える点数をとれるようになってくると、AZ-500の700点をクリアできる可能性がでてきます。

実際、同じような問題が本番試験の中で1割くらいでてくるので、このMicrosoft公式の模試を受けておくことは必須です。

これで700点をクリアできる可能性、つまり基礎知識がついた状態になります。

しかし、実際の AZ-500 の問題はこんなものではありません。もう1段階応用を効かせる必要があります。

3.最後まで諦めずに試験を受ける

2.までクリアできたらもうあなたは AZ-500に合格する可能性を秘めています。

しかし、あくまで可能性というだけで、実際には運(自分の得意なパートが出てくるかどうか)とあきらめずに最後まで応え続けられるか、が重要になってきます。

AZ-500の試験は最初はやさしく、徐々に問題が難しくなっていくということはなく、いきなりむずかしい問題が出てきます。

そこでもうダメだとおもってしまったら合格は難しいと思います。

わたしの場合も最初から難しい問題が出題され、いきなり無理じゃないかという考えがよぎりましたら、5問目くらいからようやくこれなら答えられそうという質問がポツポツと出てきて、そこで気を取り直すことでなんとか合格することができました。

もう一度いいますが、最後まで頭をつかって最後まで粘ること、これが重要です。

ちなみに私の試験の場合は、Microsoft Defender for Cloud に関する質問がやたらと出てきた感じでした。

もし、上に書いた1.2.の後、何を重点的に勉強したらいいかと効かれると、いまの私なら、Microsoft Defender for Cloudを隅々まで勉強しておけ、というでしょう。

試験の概要

私のケースでは全52問(時間は100分くらい)で以下のような問題がでました。ちなみにラボ(実際にPortalの設定を操作する系)的なものはありませんでした。

1〜45問目くらいまで

・基本的に回答の選択肢からプルダウンで正解を選ぶ形式です。たまに、ドラッグアンドドロップで回答を選択する形式もあります。
・内容としては先ほど書いたとおり、Microsoft Defender for Cloudのかなりマニアックな質問(模試では対応不可能)や必要な管理者権限/操作可能な管理者を選択するもの、プライベートネットワークの接続方法、PIM、Key Vault などが出ていたと思います。

46〜48問目くらいまで

・一つの状況が提示されて、それぞれの対応が正しいか、間違っているか選択する問題。ここは意外と簡単だったかも。模試レベルで対応可能です。

49〜52問目くらいまで

・ある企業の現在の環境と今後の計画が説明されているドキュメントを読まされて、それを踏まえた質問が行われる形式。ここは難関です。ここで30分くらい残り時間があれば落ち着いて答えられそう。

特に46問目あたりからは模試では見ない形式なので、最初はちょっと面食らうかもしれませんが、おちついて確認すればなんとかなるかと思います。

補足

Microsoft AZ-500 Certification Exam 2024(Udemy)

Udemy の Microsoft AZ-500 Certification Exam 2024 が評価4.8と高評価なので購入してみましたが、正直、不要でした。

理由としてはやたらと問題数が多い、日本語版がない、回答の説明がごちゃごちゃしてわかりずらい、という感じです。

Microsoft AZ-500 Certification Exam 2024
https://www.udemy.com/course/microsoft-az-500-certification-exam-2024/?couponCode=KEEPLEARNING

時間とお金がある人はやってみてもいいかもしれませんが、私はおすすめしません。(最初の60問くらいで時間切れでした。)

最短突破 Microsoft Azureセキュリティ テクノロジ[AZ-500]合格教本

また、最短突破 Microsoft Azureセキュリティ テクノロジ[AZ-500]合格教本 Kindle版 をAmazonで買ってみましたが、時間がなく、再度まで読み終わることはありませんでした。

ただ、Azureを体系的に理解するにはいいと思いますので、もし時間があれば読んでおくことをおすすめします。

最短突破 Microsoft Azureセキュリティ テクノロジ[AZ-500]合格教本 Kindle版 
https://www.amazon.co.jp/gp/product/B0BDYFCZ5G/ref=ppx_yo_dt_b_d_asin_title_351_o00?ie=UTF8&psc=1

「ランサムウェア対策実践ガイド(マイナビ)」を読んでみたらランサム 攻撃への理解が深まった

ランサム 攻撃をいかに検知するか考えていたところ、マイナビから「「ランサムウェア対策実践ガイド」という本が2023年に出版されていたので読んでみることにしました。

ランサム 攻撃の流れがわかりやすい

本書の最初の方では、代表的はランサム 攻撃のパターンを2種類くらい提示し、その流れや攻撃のなかで利用される代表的なツールが整理されており、非常に役に立つ内容だと思いました。

なお攻撃の流れについては、MITRE にも触れられています。

攻撃対策も詳しく記載

ランサム 攻撃への対応についてもエンドポイント中心ではありますが、かなり詳しく書かれていると感じました。

特に著者がトレンドマイクロの方なので、このあたりの知見は高いのではないかと感じました。

ここまでの攻撃の流れや対策の説明から、ランサム 攻撃を検知する方法がよりクリアになってきました。

検知方法は物足りない

ログをつかったランサム 攻撃の検知については、ページ数もそこまで多くなくさらっと書いてある気がしました。

これは上述の通りトレインドマイクロの方が著者であり、また、インシデント発生時の顧客対応支援をされている方だからかなと思いました。

総括

SIEM にログを取り込んでどうランサムウェアの侵入を検知していくかが詳しく書かれていると良かったですね。

ただ、ランサムウェア の攻撃の流れや対策は詳しく記載されていましたので、検知方法に関するヒントは得られたのではないかと感じています。

「ひと目でわかる Microsoft Entra ID」(日経BP)で Azureを勉強し、CISSPのCPEに申請してみた

最近、Entra IDというサービス名を良く聞くようになり、どうやら Azure AD の新名称らしいことはわかっていたのですが、そもそもオンプレのADとの違いがわかっていなかったので勉強してみることにしました。

そこで購入してみたのが「ひと目でわかる Microsoft Entra ID(日経BP)」です。

ひと目でわかる Microsoft Entra ID(日経BP)

この本は Entra IDをまったく知らない人でも理解できるように、まずActive Directoryとの違いを整理してくれています。

これにより、もともと Azure ADと名乗っていた為、Active Directoryとほぼ同じではないかと考えていた人に対しても、

・Entra ID にはドメインサーバ機能は含まれない
・フォレストの機能は存在しない
・Kerberosなどの認証プロトコルは利用されていない

といった違いが認識でき、まったくAzure ADとは違うということが理解できるようになっています。

また、その説明の後には 実際に無償のMicrosoft 365 や Azure をセットアップしながら、それらと Entra ID の連携の仕方が理解できるような構成になっています。

私もこの本を事前に読んでおくことで、無償の範囲で安心して実際にMicrosoft 365 や Azureを使ってみることができました。

やはり自分で実際につかってみると理解が深まりますね。

CISSPのCPEを稼ぐ(2024)Skill-Builders に挑戦

毎年、CISSPのCPEをどうやって40ポイント稼ごうか頭を悩ませますが、今年は ISC2サイトの CPE Opportunities にある Skill-Builder がおすすめです。

最初はなんだか大変そうなので敬遠しておりましたが、中に入って調べてみたところ、1つの講義&没入型演習&クイズで 5ポイントもらえるようです。(私が実際にトライしたものが5つの章で構成されていたからかもしれません。)

CPE Opportunities – Skill-Builder

そこで実際に1つSkill-Builderやってみましたが、基本的には章毎に「講義」と「没入型演習」を繰り返していき、最後にテストを受ける形になっていました。

講義(各章毎)

講義についてはナレーションは英語ですが、資料自体は日本語に訳されていますので、もしナレーションがあまり聞き取れなかったとしても、資料をみながらなんとか理解できるレベルだと思います。

また途中、2箇所くらいでチェックポイントが設けられており、ちゃんと理解できているか振り返る為、質問に答えるようになっています。

もし、この質問の回答を間違ってしまった場合、正解するまでやり直すことをおすすめします。なぜならこの質問と同じ問題が、最終ステップとなるクイズで出てくるからです。

没入型演習(各章毎)

没入型演習は、講義で受講した内容をストーリー仕立てにしたもので、今回私が受けたSkill-Builder では、ある会社Kで Dev-Opeの導入にチャレンジしていくという流れのアニメーションになっていました。

アニメーションなのでそんなに堅苦しくなく、また講義の内容を復讐できるので理解を深めるのにちょうどいいかと感じました。

クイズ(最終ステップ)

そしてすべての章を学習し終わると、最終ステップとしてクイズを受けますが、今回は5章✖️6問=30問のクイズが出題されました。

クイズの内容は、講義の中のチェックポイントで出てくる質問とまったく同じですので、その回答を覚えていれば、余裕でクリアの基準となっている7割は正解できると思います。

私は今回、1日で済ませてしまったのでほぼ質問の回答を覚えており、9割以上の正解率でクリアできました。

Skill-Builder – 最後のクイズにパスしたところ

総評

今回は全部で5章ありましたが、Skill-Builderでは、おそらく各章を1時間程度で終わらせられる想定で作成されているようです。

しかし、集中して取り組めば、3時間前後くらいで終わらせることが可能だと思います。

また教材としても、直接業務に影響はしないけど、セキュリティに携わるメンバーであれば理解を深めておくべき内容が多く取り上げられているとおもいますので、チャレンジする価値は十分にあるかと思います。

脅威インテリジェンスの教科書の「脅威ハンティング」の章を読み直して、SIEM によるアラート検知を整理してみた

昨年購入していた「脅威インテリジェンスの教科書」ですが、再度必要に駆られて「脅威ハンティング」の章を読み直してみました。

脅威ハンティングの章ではありますが、日々のSIEMを使った攻撃検知方法の整理としても有用ではないかと感じた為、ここに記しておきます。(文中に記載のマトリックスは本教科書を読んで独自にまとめたものです。)

SIEMを利用したログ分析への考察

SIEM では、集めてきたログを分析して通常とは異なる状況(アノマリ)が発生した場合にアラートを発生させます。これは脅威ハンティングと共通するものがあると思います。

上記教科書では、脅威ハンティングにおけるアノマリ分析の種類としては、技術的な異常である「技術的アノマリ」と、技術的には問題ないが文脈(業務の内容や時間帯など)的に異常である「文脈的アノマリ」があるとしています。

そこで SIEM によるアラート検知でもこの考え方を元に整理してみました。

また、それぞれのアノマリ状態をSIEMで見つける方法としては、「ベースライン分析」「インテリジェンス分析」「頻度分析」「タイミング分析」などがあると考えています。(なお、上記教科書の中では、明に「インテリジェンス分析」とは書かれていませんので著者の意図とは異なるかもしれません。)

種別分析方法分析の具体例
技術的アノマリベースライン分析導入済のセキュリティ機器で防御できていない攻撃手法(TTPs)の検知(*1)(ただし、ログやアラートはSIEMに存在する前提)
ベースライン分析正当なアプリケーションになりすました逸脱の検知
ベースライン分析アカウント名が命名規則にしたがっていないものの検知
ベースライン分析引数やURL自体に暗号化された文字列が仕込まれた通信(*2)
インテリジェンス分析悪意のある活動を示す痕跡(IoC)が含まれているものを検知(IoCを一般化する方法もあり)
文脈的アノマリベースライン分析通常のユーザ活動から逸脱(異なる部門間での端末間でのPsExec(*3)を使った通信など)しているアカウントの検知
頻度分析通常アクセスしない国への接続検知(頻度が少ないものを検知)
頻度分析普段実行されないプロセス(ファイルパス含む)の検知(頻度が少ないものを検知)
頻度分析同一ドメインへの大量のDNSクエリなど(頻度が多いものを検知)
タイミング分析認証、外部への通信など普段業務を行っていない時間帯に実施された行動の検知
ベースライン分析プロセスの停止、ログ削除、ファイル削除の検知
SIEMにおけるアラート検知分類
*1 : 数が多い為、優先順位としてはBlue Teamが注目すべき優先度の高い検知ポイント等を優先とする
*2 : 暗号化文字列かどうかをどう判断するかが課題
*3 : SysinternalsのPsToolsに含まれるユーティリティ

なお、頻度分析は、LOTL/LoLBaS攻撃にも有効とのことです。

また、本書を読むまで、UEBA は SIEMと同じ位置づけ(日々アラートを出すので)だと考えていましたが、脅威ハンティングツールとしても利用可能と理解しました。(というか UEBA をそちらの位置づけで考えた方が、個人的にはすっきりしました。)

改めて本書を読み直し、セキュリティ関係者が読むべき良書と感じました。

新規にMITER ATT&CKベースでSplunkの監視ルールを作成する際の手順を整理してみた

新規にSplunkで監視ルールを作成する際の情報が流れとしてまとまったサイトがなかったのでまとめてみました。

1.Splunk に取り込むログを出力する機能を整理

例えば、AADRiskyUsersのログであれば、Identity Protectionの機能から出力されるよね、といったことを整理していく。

リスク データをエクスポートする(Microsoft Learn)
https://learn.microsoft.com/ja-jp/entra/id-protection/howto-export-risk-data

2.ログ出力機能から検知可能なATT&CKのテクニックを整理

ログを出力する機能が分かれば、MITRE CTID やDTT&CTなどを使って、ATT&CKのどのテクニックが検知できるか確認する。

Microsoft Azure Security Control Mappings to MITRE ATT&CK®(MITRE CTID)
https://center-for-threat-informed-defense.github.io/security-stack-mappings/Azure/README.html

rabobank-cdc / DeTTECT
https://github.com/rabobank-cdc/DeTTECT

3.テクニックを検知する為のSPLを検討

検知できそうなテクニックがわかったら、それに該当する検知ルールを Splunk Security Content や Sigmaルールを活用し検討する。

Splunk Security Content
https://research.splunk.com/detections/

SigmaHQ / sigma
https://github.com/SigmaHQ/sigma/tree/master/rules/cloud

NVISOsecurity / sigma-public
https://github.com/NVISOsecurity/sigma-public

Splunk Security Essentials に含まれている検知ルールにどんなものがあるが確認してみる

Splunk Security Essentials には様々なソース(監視対象ログ)に対する MITER ATT&CK に対応した検索文が用意されている。

この検索文を定期的に実行することで、該当するログが発生したときにアラートを発生されることも可能であり、とても有用な Appsになっている。

Analytic Story Detail

例えば、Security Essentials のメニューから「Analytic Story Detail」を選択してみます。

Splunk Security Essentials

すると下図のように、プルダウンが表示され、 Active Directory などさまざまなログソースを選択することができます。

Splunk Security Essentials – Analytic Story Detail

以下は 「Office 365 Detections」を選んだ結果ですが、「O365 Added Service Principal」など様々なログを検知する検索文とそれが MITER ATT&CKのどれに相当するのかが記載されています。

Splunk c- Analytic Story Detail検索例1
Splunk Security Essentials – Analytic Story Detail検索例2

Ransomware Content Browser

また、Security Essentials のメニューから「Ransomware Content Browser」を選択すると、ランサム攻撃のライフサイクルを可視化した図と共に、それぞれのシーンに該当するログが発生していないか検索することができるようです。(実際に試してはいませんが。。。)

Splunk Security Essentials – Ransomware Content Browser

SIGMAルールのリポジトリ(GITHUB)からZIPをダウンロードし、どんなルールが含まれているか MITER ATT&CKにマッピングしてみた

Github 上などに標準化された SIEM ルールである SIGMAルールがたくさんおかれているのですが、これらのルールが ATT&CKのどの TTPs に該当するものなのか確認したいと考えていました。

調べてみたところ、SIGMAルールを PCにダウンロードし、sigmatools に含まれる sigma2attack というコマンドを実行すれば ATT&CK Navicgator のヒートマップが作れるということがわかってきたので、実際にやってみました。

1.ZIP(SIGMAルール)のダウンロード

以下のような Github サイトの SIGMAリポジトリにアクセスします。

Github - SigmaHQ/sigma 
https://github.com/SigmaHQ/sigma

すると、rules ディレクトリ配下にたくさんの SIGMA ルールが置かれていることが確認できます。

Github – SigmaHQ/sigma

このページを下にスクロールしていくと、「Rule Packages」という項目があるので、その中のリンク「release page」をクリックします。

Github – SigmaHQ/sigma

すると、さきほどの SIGMAルールがまとめて Zip化されて置いてあるページにとばされるので、その中から、sigma_all_rules.zip などをダウンロードします。

Github – SigmaHQ/sigma – Release

ZIPファイルをダウンロード後、ローカルのPC上で SIGMAルールを展開します。

Github – SigmaHQ/sigma – Release

2.ヒートマップ(json)ファイルの作成

1.で展開した SIGMAルールから MITER ATT&CK Navigator に取り込むヒートマップを作成するには、最初に書いたとおり sigmatools が必要ですので、以下の要領でダウンロード&インストールします。

 % pip3 install sigmatools

インストールが終わったら以下のような形式で sigmatattack コマンドを実行すれば、heatmap.json というファイルが、コマンドを実行したディレクトリに作成されます。

% sigma2attack --rules-directory ./rules

ちなみに、先ほど展開した SIGMAルール はコマンドを実行する直下の /rules フォルダに展開されている為、上記では –rules-directory でそのフォルダを指定しています。

3.ATT&CKへのヒートマップの取り込み

2.で作成した heatmap.json というファイルを MITER ATT&CK Navigator から取り込みます。

MITER ATT&CK Navigator
https://mitre-attack.github.io/attack-navigator/

下図の赤枠で示したボタンを押し、先ほどローカルPCで作成した heatmap.json を指定し取り込みます。

MITER ATT&CK Navigator

なお、取り込む際に以下のように取り込むヒートマップの ATT&CK対応バージョンが古い(v10)とでますので、最新の v15に変換するか聞かれました。(Yesと答えました。)

MITER ATT&CK Navigator – warning

すると、以下の通りMITER ATT&CK Navigator上にヒートマップが取り込まれ、該当する部分が色付きで表示されました。

MITER ATT&CK Navigator