表題の通り、株式会社アールアップのバッテリーを使ってみたところ、マキタ純正とくらべてあきらかにパワーがあり、長持ちだったのでラベルを比較してみました。
すると、写真の通り、10.8Vというのは同じなのですが、容量が 1.5Ah → 3.0Ahと倍近い性能差になっていました。(長持ちなのは納得ですね。)
購入するときのAmazonでの評価は上々でサクラチェッカーでも問題なしとでてきたので大丈夫だとは思いますが、なにか不具合があればまた報告したいと思います。
購入してから1年以上使っておりますが、現時点では発火などは起こっておらず^^、1回の充電で2LDKの家であれば余裕で掃除できている状況です。(わずかに購入当初と比べると持ちが悪くなっている感じがなくはないですが。。。)
最近、Entra IDというサービス名を良く聞くようになり、どうやら Azure AD の新名称らしいことはわかっていたのですが、そもそもオンプレのADとの違いがわかっていなかったので勉強してみることにしました。
そこで購入してみたのが「ひと目でわかる Microsoft Entra ID(日経BP)」です。
この本は Entra IDをまったく知らない人でも理解できるように、まずActive Directoryとの違いを整理してくれています。
これにより、もともと Azure ADと名乗っていた為、Active Directoryとほぼ同じではないかと考えていた人に対しても、
・Entra ID にはドメインサーバ機能は含まれない
・フォレストの機能は存在しない
・Kerberosなどの認証プロトコルは利用されていない
といった違いが認識でき、まったくAzure ADとは違うということが理解できるようになっています。
また、その説明の後には 実際に無償のMicrosoft 365 や Azure をセットアップしながら、それらと Entra ID の連携の仕方が理解できるような構成になっています。
私もこの本を事前に読んでおくことで、無償の範囲で安心して実際にMicrosoft 365 や Azureを使ってみることができました。
やはり自分で実際につかってみると理解が深まりますね。
毎年、CISSPのCPEをどうやって40ポイント稼ごうか頭を悩ませますが、今年は ISC2サイトの CPE Opportunities にある Skill-Builder がおすすめです。
最初はなんだか大変そうなので敬遠しておりましたが、中に入って調べてみたところ、1つの講義&没入型演習&クイズで 5ポイントもらえるようです。(私が実際にトライしたものが5つの章で構成されていたからかもしれません。)
そこで実際に1つSkill-Builderやってみましたが、基本的には章毎に「講義」と「没入型演習」を繰り返していき、最後にテストを受ける形になっていました。
講義についてはナレーションは英語ですが、資料自体は日本語に訳されていますので、もしナレーションがあまり聞き取れなかったとしても、資料をみながらなんとか理解できるレベルだと思います。
また途中、2箇所くらいでチェックポイントが設けられており、ちゃんと理解できているか振り返る為、質問に答えるようになっています。
もし、この質問の回答を間違ってしまった場合、正解するまでやり直すことをおすすめします。なぜならこの質問と同じ問題が、最終ステップとなるクイズで出てくるからです。
没入型演習は、講義で受講した内容をストーリー仕立てにしたもので、今回私が受けたSkill-Builder では、ある会社Kで Dev-Opeの導入にチャレンジしていくという流れのアニメーションになっていました。
アニメーションなのでそんなに堅苦しくなく、また講義の内容を復讐できるので理解を深めるのにちょうどいいかと感じました。
そしてすべての章を学習し終わると、最終ステップとしてクイズを受けますが、今回は5章✖️6問=30問のクイズが出題されました。
クイズの内容は、講義の中のチェックポイントで出てくる質問とまったく同じですので、その回答を覚えていれば、余裕でクリアの基準となっている7割は正解できると思います。
私は今回、1日で済ませてしまったのでほぼ質問の回答を覚えており、9割以上の正解率でクリアできました。
今回は全部で5章ありましたが、Skill-Builderでは、おそらく各章を1時間程度で終わらせられる想定で作成されているようです。
しかし、集中して取り組めば、3時間前後くらいで終わらせることが可能だと思います。
また教材としても、直接業務に影響はしないけど、セキュリティに携わるメンバーであれば理解を深めておくべき内容が多く取り上げられているとおもいますので、チャレンジする価値は十分にあるかと思います。
昨年購入していた「脅威インテリジェンスの教科書」ですが、再度必要に駆られて「脅威ハンティング」の章を読み直してみました。
脅威ハンティングの章ではありますが、日々のSIEMを使った攻撃検知方法の整理としても有用ではないかと感じた為、ここに記しておきます。(文中に記載のマトリックスは本教科書を読んで独自にまとめたものです。)
SIEM では、集めてきたログを分析して通常とは異なる状況(アノマリ)が発生した場合にアラートを発生させます。これは脅威ハンティングと共通するものがあると思います。
上記教科書では、脅威ハンティングにおけるアノマリ分析の種類としては、技術的な異常である「技術的アノマリ」と、技術的には問題ないが文脈(業務の内容や時間帯など)的に異常である「文脈的アノマリ」があるとしています。
そこで SIEM によるアラート検知でもこの考え方を元に整理してみました。
また、それぞれのアノマリ状態をSIEMで見つける方法としては、「ベースライン分析」「インテリジェンス分析」「頻度分析」「タイミング分析」などがあると考えています。(なお、上記教科書の中では、明に「インテリジェンス分析」とは書かれていませんので著者の意図とは異なるかもしれません。)
| 種別 | 分析方法 | 分析の具体例 |
| 技術的アノマリ | ベースライン分析 | 導入済のセキュリティ機器で防御できていない攻撃手法(TTPs)の検知(*1)(ただし、ログやアラートはSIEMに存在する前提) |
| ベースライン分析 | 正当なアプリケーションになりすました逸脱の検知 | |
| ベースライン分析 | アカウント名が命名規則にしたがっていないものの検知 | |
| ベースライン分析 | 引数やURL自体に暗号化された文字列が仕込まれた通信(*2) | |
| インテリジェンス分析 | 悪意のある活動を示す痕跡(IoC)が含まれているものを検知(IoCを一般化する方法もあり) | |
| 文脈的アノマリ | ベースライン分析 | 通常のユーザ活動から逸脱(異なる部門間での端末間でのPsExec(*3)を使った通信など)しているアカウントの検知 |
| 頻度分析 | 通常アクセスしない国への接続検知(頻度が少ないものを検知) | |
| 頻度分析 | 普段実行されないプロセス(ファイルパス含む)の検知(頻度が少ないものを検知) | |
| 頻度分析 | 同一ドメインへの大量のDNSクエリなど(頻度が多いものを検知) | |
| タイミング分析 | 認証、外部への通信など普段業務を行っていない時間帯に実施された行動の検知 | |
| ベースライン分析 | プロセスの停止、ログ削除、ファイル削除の検知 |
なお、頻度分析は、LOTL/LoLBaS攻撃にも有効とのことです。
また、本書を読むまで、UEBA は SIEMと同じ位置づけ(日々アラートを出すので)だと考えていましたが、脅威ハンティングツールとしても利用可能と理解しました。(というか UEBA をそちらの位置づけで考えた方が、個人的にはすっきりしました。)
改めて本書を読み直し、セキュリティ関係者が読むべき良書と感じました。
新規にSplunkで監視ルールを作成する際の情報が流れとしてまとまったサイトがなかったのでまとめてみました。
例えば、AADRiskyUsersのログであれば、Identity Protectionの機能から出力されるよね、といったことを整理していく。
リスク データをエクスポートする(Microsoft Learn)
https://learn.microsoft.com/ja-jp/entra/id-protection/howto-export-risk-data
ログを出力する機能が分かれば、MITRE CTID やDTT&CTなどを使って、ATT&CKのどのテクニックが検知できるか確認する。
Microsoft Azure Security Control Mappings to MITRE ATT&CK®(MITRE CTID)
https://center-for-threat-informed-defense.github.io/security-stack-mappings/Azure/README.html
rabobank-cdc / DeTTECT
https://github.com/rabobank-cdc/DeTTECT
検知できそうなテクニックがわかったら、それに該当する検知ルールを Splunk Security Content や Sigmaルールを活用し検討する。
Splunk Security Content
https://research.splunk.com/detections/
SigmaHQ / sigma
https://github.com/SigmaHQ/sigma/tree/master/rules/cloud
NVISOsecurity / sigma-public
https://github.com/NVISOsecurity/sigma-public
昨日、おやすみをとって、山梨県の南甲府ICちかくにある「みたまの湯」にいってきました。
入浴料は意外とやすく、2人で1400円台でした。(ひとり700円ちょっと。)
またお風呂のそばにはサウナもあり、せっかくなので汗を流してきました。
お風呂からあがったあとは、畳の部屋で暫し休憩。
そのあと、大浴場のそばにある食事処へ。
この日は標準のメニュー意外にエビフライとお刺身定食(2000円)があったので、それを注文しました。
えびがなかなか大きくて、納得の2000円でした。
そのあと、そとの農産物売り場へ。
どうやらとうもろこし(甘甘娘)が売りのようでしたので3本購入してかえりました。(家に帰ってからたべましたが、めちゃめちゃ甘かったです!)
ちなみに駐車場からの見晴らしはこの通り。佇んでいると、ホトトギスやキビタキの声がきこえてきました。あまり近所の人に迷惑にならないようにしなければいけませんが、周辺では野鳥観察もできそうです。
なお、お風呂からは八ヶ岳も見えました。
台風がきていたのでちょっとくもってはいましたが、金曜日にゆっくりできてなかなかよい週末になりました。
私の住んでいる賃貸アパートのキッチンの排水管の流れが悪くなって、お皿をあらっている時に、下水が下から溢れ出るようになってしまいました。
そこで大家さんに電話してきてもらったのですが、その時に普段から排水を詰まらせないようにする2つの方法を教えてもらいましたので共有しておきます。
ちなみに詰まり自体は、大家さんが長く太い針金を折り曲げたものを持参して、お湯をながしながらそれでつまったところを突いていたら、すぐに解消しました。
我が家のキッチンは比較的綺麗な方だといわれましたが、それでも定期的にメンテナンスはしておいた方がよいとのことです。
具体的には給湯器の温度をマックス(我が家の場合は60度)にし、2〜3分くらい流し続けると、パイプの汚れが落ちてくれるとのことです。
給湯器で60度まで温度を上げられると思っていなくて、ちょっとびっくりしました。
1.の対応でつまりが解消しなければ、ということで大家さんがもってきてくれた2つ目のアイテムが、以下のパイプクリーナーでした。
結局、今回、大家さんの針金&60度のお湯による対応でつまりが解消したのであまり使いませんでしたが、今後の為にということで、そのまま大家さんからいただきました。
大家さん、ありがとうございました。
Splunk Security Essentials には様々なソース(監視対象ログ)に対する MITER ATT&CK に対応した検索文が用意されている。
この検索文を定期的に実行することで、該当するログが発生したときにアラートを発生されることも可能であり、とても有用な Appsになっている。
例えば、Security Essentials のメニューから「Analytic Story Detail」を選択してみます。
すると下図のように、プルダウンが表示され、 Active Directory などさまざまなログソースを選択することができます。
以下は 「Office 365 Detections」を選んだ結果ですが、「O365 Added Service Principal」など様々なログを検知する検索文とそれが MITER ATT&CKのどれに相当するのかが記載されています。
また、Security Essentials のメニューから「Ransomware Content Browser」を選択すると、ランサム攻撃のライフサイクルを可視化した図と共に、それぞれのシーンに該当するログが発生していないか検索することができるようです。(実際に試してはいませんが。。。)
Github 上などに標準化された SIEM ルールである SIGMAルールがたくさんおかれているのですが、これらのルールが ATT&CKのどの TTPs に該当するものなのか確認したいと考えていました。
調べてみたところ、SIGMAルールを PCにダウンロードし、sigmatools に含まれる sigma2attack というコマンドを実行すれば ATT&CK Navicgator のヒートマップが作れるということがわかってきたので、実際にやってみました。
以下のような Github サイトの SIGMAリポジトリにアクセスします。
Github - SigmaHQ/sigma
https://github.com/SigmaHQ/sigma
すると、rules ディレクトリ配下にたくさんの SIGMA ルールが置かれていることが確認できます。
このページを下にスクロールしていくと、「Rule Packages」という項目があるので、その中のリンク「release page」をクリックします。
すると、さきほどの SIGMAルールがまとめて Zip化されて置いてあるページにとばされるので、その中から、sigma_all_rules.zip などをダウンロードします。
ZIPファイルをダウンロード後、ローカルのPC上で SIGMAルールを展開します。
1.で展開した SIGMAルールから MITER ATT&CK Navigator に取り込むヒートマップを作成するには、最初に書いたとおり sigmatools が必要ですので、以下の要領でダウンロード&インストールします。
% pip3 install sigmatools
インストールが終わったら以下のような形式で sigmatattack コマンドを実行すれば、heatmap.json というファイルが、コマンドを実行したディレクトリに作成されます。
% sigma2attack --rules-directory ./rules
ちなみに、先ほど展開した SIGMAルール はコマンドを実行する直下の /rules フォルダに展開されている為、上記では –rules-directory でそのフォルダを指定しています。
2.で作成した heatmap.json というファイルを MITER ATT&CK Navigator から取り込みます。
MITER ATT&CK Navigator
https://mitre-attack.github.io/attack-navigator/
下図の赤枠で示したボタンを押し、先ほどローカルPCで作成した heatmap.json を指定し取り込みます。
なお、取り込む際に以下のように取り込むヒートマップの ATT&CK対応バージョンが古い(v10)とでますので、最新の v15に変換するか聞かれました。(Yesと答えました。)
すると、以下の通りMITER ATT&CK Navigator上にヒートマップが取り込まれ、該当する部分が色付きで表示されました。
SIGMAルールとは、Splunk など製品固有の言語(SPLなど)で書かれた検知ルールではなく、より汎用的?に記載された検知ルールのようです。
したがって、SIGMAルールがあれば、そこから Splunk や Sentinelなどいろいろなベンダーの SIEM で利用できる検知ルールが作成できます。
ちなみに SIGMAルールは以下のGITHUBのサイトなどに置かれています。
GITHUB
https://github.com/SigmaHQ/sigma/tree/master
https://github.com/NVISOsecurity/sigma-public
なお、SIGMAルールから各SIEM固有の検知ルールを生成する方法としては、 Webサイトのサービスを利用する方法とコマンドラインの2通りがありそうです。
Webサイトとしては、以下のUNCODER.IOが有名のようです。
UNCODER.IO
https://uncoder.io/
以下が実際の画面ですが、変換先を見ると Splunk, Sentinel, QRader, XSIAMと有名どころのSIEMへの変換が可能なようです。
そして実際に Splunkの SPLに変換してみたのがこちらです。変換後はシンプル&見慣れた表現なので少しわかりやすいですね。
コマンドとしては sigmatools というものがあるようで、以下のコマンドで簡単にインストールできます。
% pip3 install sigmatools
そして、UNCODER.IOで変換したものと同じSIGMAルールを sigmac コマンドでも変換してみた結果がこちらです。
% vi tmp/proxy_susp_flash_download_loc.yml
% sigmac -t splunk -c splunk-windows tmp/proxy_susp_flash_download_loc.yml
(((c-uri="*/flash_install.php*" OR c-uri="*/install_flash_player.exe") NOT ((cs-host="*.adobe.com"))))
-t の引数で変換先の SIEM として Splunk を指定しています。
Webで変換したものと大体一緒ですが、なぜか先頭に “source=”が付いていませんね。引数が足りないのかな?
<参考サイト>
・Sigmaルールのすすめ(Qiita)(https://qiita.com/sec-chick/items/4416bff231d7a55da75a)
・SIEMクエリ変換ツール「Sigma」を使ってみた(DeveloppersIO)(https://dev.classmethod.jp/articles/sigma-siem-transition-tool/)
・SIEMシステム用シグネチャフォーマット「Sigma」とSigmaルールの変換ツール「Uncoder.io」のご紹介(NEC)(https://jpn.nec.com/cybersecurity/blog/221014/index.html)