SIGMAルールのリポジトリ(GITHUB)からZIPをダウンロードし、どんなルールが含まれているか MITER ATT&CKにマッピングしてみた

Github 上などに標準化された SIEM ルールである SIGMAルールがたくさんおかれているのですが、これらのルールが ATT&CKのどの TTPs に該当するものなのか確認したいと考えていました。

調べてみたところ、SIGMAルールを PCにダウンロードし、sigmatools に含まれる sigma2attack というコマンドを実行すれば ATT&CK Navicgator のヒートマップが作れるということがわかってきたので、実際にやってみました。

1.ZIP(SIGMAルール)のダウンロード

以下のような Github サイトの SIGMAリポジトリにアクセスします。

Github - SigmaHQ/sigma 
https://github.com/SigmaHQ/sigma

すると、rules ディレクトリ配下にたくさんの SIGMA ルールが置かれていることが確認できます。

Github – SigmaHQ/sigma

このページを下にスクロールしていくと、「Rule Packages」という項目があるので、その中のリンク「release page」をクリックします。

Github – SigmaHQ/sigma

すると、さきほどの SIGMAルールがまとめて Zip化されて置いてあるページにとばされるので、その中から、sigma_all_rules.zip などをダウンロードします。

Github – SigmaHQ/sigma – Release

ZIPファイルをダウンロード後、ローカルのPC上で SIGMAルールを展開します。

Github – SigmaHQ/sigma – Release

2.ヒートマップ(json)ファイルの作成

1.で展開した SIGMAルールから MITER ATT&CK Navigator に取り込むヒートマップを作成するには、最初に書いたとおり sigmatools が必要ですので、以下の要領でダウンロード&インストールします。

 % pip3 install sigmatools

インストールが終わったら以下のような形式で sigmatattack コマンドを実行すれば、heatmap.json というファイルが、コマンドを実行したディレクトリに作成されます。

% sigma2attack --rules-directory ./rules

ちなみに、先ほど展開した SIGMAルール はコマンドを実行する直下の /rules フォルダに展開されている為、上記では –rules-directory でそのフォルダを指定しています。

3.ATT&CKへのヒートマップの取り込み

2.で作成した heatmap.json というファイルを MITER ATT&CK Navigator から取り込みます。

MITER ATT&CK Navigator
https://mitre-attack.github.io/attack-navigator/

下図の赤枠で示したボタンを押し、先ほどローカルPCで作成した heatmap.json を指定し取り込みます。

MITER ATT&CK Navigator

なお、取り込む際に以下のように取り込むヒートマップの ATT&CK対応バージョンが古い(v10)とでますので、最新の v15に変換するか聞かれました。(Yesと答えました。)

MITER ATT&CK Navigator – warning

すると、以下の通りMITER ATT&CK Navigator上にヒートマップが取り込まれ、該当する部分が色付きで表示されました。

MITER ATT&CK Navigator

SIGMAルールから Splunkルールに変換する

SIGMAルールとは、Splunk など製品固有の言語(SPLなど)で書かれた検知ルールではなく、より汎用的?に記載された検知ルールのようです。

したがって、SIGMAルールがあれば、そこから Splunk や Sentinelなどいろいろなベンダーの SIEM で利用できる検知ルールが作成できます。

ちなみに SIGMAルールは以下のGITHUBのサイトなどに置かれています。

GITHUB
https://github.com/SigmaHQ/sigma/tree/master
https://github.com/NVISOsecurity/sigma-public

なお、SIGMAルールから各SIEM固有の検知ルールを生成する方法としては、 Webサイトのサービスを利用する方法とコマンドラインの2通りがありそうです。

WebでのSIGMAルール → 各SIEM向けルール変換

Webサイトとしては、以下のUNCODER.IOが有名のようです。

UNCODER.IO
https://uncoder.io/

以下が実際の画面ですが、変換先を見ると Splunk, Sentinel, QRader, XSIAMと有名どころのSIEMへの変換が可能なようです。

UNCODER.IOサイト

そして実際に Splunkの SPLに変換してみたのがこちらです。変換後はシンプル&見慣れた表現なので少しわかりやすいですね。

UNCODER.IOサイト

コマンドでのSIGMAルール → 各SIEM向けルール変換

コマンドとしては sigmatools というものがあるようで、以下のコマンドで簡単にインストールできます。

% pip3 install sigmatools

そして、UNCODER.IOで変換したものと同じSIGMAルールを sigmac コマンドでも変換してみた結果がこちらです。

% vi tmp/proxy_susp_flash_download_loc.yml
% sigmac -t splunk -c splunk-windows tmp/proxy_susp_flash_download_loc.yml
(((c-uri="*/flash_install.php*" OR c-uri="*/install_flash_player.exe") NOT ((cs-host="*.adobe.com"))))

-t の引数で変換先の SIEM として Splunk を指定しています。

Webで変換したものと大体一緒ですが、なぜか先頭に “source=”が付いていませんね。引数が足りないのかな?

<参考サイト>
・Sigmaルールのすすめ(Qiita)(https://qiita.com/sec-chick/items/4416bff231d7a55da75a)
・SIEMクエリ変換ツール「Sigma」を使ってみた(DeveloppersIO)(https://dev.classmethod.jp/articles/sigma-siem-transition-tool/)
・SIEMシステム用シグネチャフォーマット「Sigma」とSigmaルールの変換ツール「Uncoder.io」のご紹介(NEC)(https://jpn.nec.com/cybersecurity/blog/221014/index.html)

MITRE ATT&CKの補助ツール DeTT&CTをインストール&起動してみた

Splunk にていろいろなログソースをつかった検知ルールをつくりたいと考えていたところ、DeTT&CTというツールを見つけたのでインストールしてみた。

まだはっきりと理解していませんが、各ログソースから MITRE ATT&CK のどの TTPs に該当する検知ができるかマッピングする際に利用できるツールではないかと考えています。

1.インストール

インストールは意外と簡単で、Macのコンソールからおもむろに以下のコマンド(太字部分)を打ち込んでいくだけで大丈夫です。

% git clone https://github.com/rabobank-cdc/DeTTECT.git
% cd DeTTECT
DeTTECT % cat requirements.txt
DeTTECT % pip install -r requirements.txt

2.起動

インストールが終わったら DeTT&CTを起動します。
起動は、DeTTECTディレクトリ配下にある detteck.py をつかって以下のコマンドを実行するだけです。

DeTTECT % python dettect.py editor
Editor started at port 8080
Opening webbrowser: http://localhost:8080/

実行すると自動的にブラウザが起動し、以下の画面が表示されます。

ScreenshotDeTT&CT起動直後

<参考サイト>

・How to Download DeTT&CT Editor For MITRE ATT&ACK Techniques(https://systemweakness.com/how-to-download-dett-ct-editor-for-mitre-att-ack-techniques-dd41b21ebcfe)
・MITRE Practical Use Cases(Youtube、https://www.youtube.com/watch?v=1zgpTR6D3M8&list=LL&index=2&t=168s)
・MITRE DeTTECT – Data Source Visibility and Mapping(Youtube、https://www.youtube.com/watch?v=EXnutTLKS5o)

ロードスターNC2の夏タイヤをBRIGISTONE POTENZA S007に交換しました

これまでロードスターの夏タイヤとして使っていたBRIGISTONE POTENZA S001が今年の春で7年目を迎えました。

いつもタイヤはタイヤ館さんに預かっていただいており、今回も交換してもらったのですが、その時にタイヤの表面にヒビが入っていますよと言われ、よくよく見てみると確かにタイヤの接地面にびっしりこまかなヒビが入っていました。(ただ、このタイプのタイヤは新しくてもヒビが入りやすいらしいですが。特にフロントタイヤは入りやすいとのこと。)

どうやらこの状態だと雨の日にスリップしやすいらしいので、思い切って新しいタイヤを購入することにしました。

そこでタイヤ館の人が薦めてくれたのが、このBRIGISTONE POTENZA S007でした。

BRIGISTONE POTENZA S007

7年履いて、S001がS007に変わっていることを考えると、どうやら毎年番号が一つずつ上がっているようですね。

ちなみにサイズは 205/45 R17 です。どうもこのサイズはタイヤの選択肢がすくなく、スポーツタイプ用、スポーツ用、レース用といった形の3種類しかないようです。POTENZAは真ん中のスポーツ用だったと思います。

サイズは 205/45 R17

お値段は、多少値引きはしてもらったものの4本で、163,000円でした。

年間で考えると30,000円弱くらいですね。

またS001から S007 に履き替えた感じですが、さすがに7年前のものをつかっていたので、それに比べるとかなりしっとり路面に吸い付いている感じはしますね。(振動もすくなくなったような。)

BRIGISTONE POTENZA S007 トレッドパターン(1週間履いたあと)

このタイヤであと5年はロードスターと一緒に走っていければと考えています。

白いウンチをしていたプレコの腹水病がグリーンFゴールドで治った?!

2週間くらいまえから、うちのプレコが急に白い砂のようなウンチをし始めました。(プレコって透明な膜で包まれたウンチをするのですが、普段黒かったものが急に白い砂のようなものになりました。)

https://k2-ornata.com/bushymouth-catfish-constipation

最初、私はプレコが水槽の底の砂を食べてしまったのだろうとおもっていましたが、1度だけではなく2度3度と同じウンチをしたので、おかしいなと思い始めました。

クロちゃん(プレコ)

そこでインターネットで調べてみたところ、エロモナス菌が原因である腹水病ではないかと思い始めました。

またどうやら腹水病にはグリーンFゴールドが効き目があるということだったので、水槽に入れてみることにしました。

1日目〜2日目

通常、薬を与えるときには、活性炭などのフィルターは外すのがセオリーだと思いますが、水が汚れるのもいやなので、フィルターをつけたまま、グリーンFゴールドを5mlずつ2回に分けて水槽に入れてみました。

ちなみに我が家の水槽は45cmくらいの中程度のものです。

水槽の中はうっすら黄色くなりましたが、特にプレコの様子に変化はありませんでした。

一方、一緒に水槽に住んでいたコリドラス(ステルバイ)3匹は、薬をいれる度にハイになるのか、元気に暴れていました。

もしかすると、コリドラスもすこしエロモナス菌にやられていて、薬で元気になったのかもしれません。

3日目〜6日目

3日目もプレコに大きな変化はなかった為、やはりフィルターがあると効き目が吸い取られているのかなとおもい、フィルターを外すことにしました。

その後、フィルターに溜まった水と水槽の底のみずを6分の1くらい新しい水に交換し、その上でグリーンFゴールドを5mlくらい加えました。

これを2日に1回繰り返してみました。

4日目はプレコの背中がすこし白くなってきて、ああ、これはまずいかなとおもいましたが、プレコはあまり薬に強く無いという話もインターネットで聞いていたので、それ以上は薬を追加せず、様子を見ることにしました。

ちなみに2日目くらいから4日目までは、ほとんどウンチをしなくなり、餌も普段ほど食べず、寝る前に与えた餌はあまり減っていませんでした。

しかし、5日目くらいからは一時的に水槽から取り出していた流木を入れたところ、その流木に吸い付いたり、コリドラスたちを追い払ったり、少し元気がでているようにもみえました。

でも、やはりウンチは6日目までほとんどしている形跡が見えませんでした。

7日目

そして7日目、突然またプレコがウンチをし始めました!しかも元気だったときと同じ、黒いウンチです!

しかも、1つだけではなく、3回分くらいのウンチを一気にしていました。

クロちゃんひさびさの黒いウンチ

もしかしてこれは、腹水病が治ったのではないでしょうか?!

インターネットでは、腹水病になるとなかなか回復は難しいと書いてある記事がたくさんあったので、難しいかなぁとおもっていましたが、治ったとしたら奇跡ですね!

これからもプレコのクロちゃんを大事にしてあげたいです。

Panasonicの2024年製 洗濯機 NA-FA7H2をうちのアパートに設置してみた

先日、洗濯機をヨドバシカメラで購入した件をブログに書きましたが、その約2週間後に洗濯機が届きましたので、設置状況を記載してきたいと思います。

https://k2-ornata.com/washing-machine

最初、8kgの洗濯機の購入を検討していたのですが、一般的な8kgの縦型洗濯機の場合、ぎりぎり我が家の洗面所の防水パンにおさまるかどうか、と言った感じだったので、安全を取って7kgにしました。

(Panasonicの8kg以上の洗濯機では、洗剤の自動投入やスマホ連携がついていたのですが、やむなく断念。その分、お値段は安くなり、結果的に洗剤の自動投入やスマホ連携もなくてもよかったかなと、今は思っております。)

我が家の防水パン

そして、実際に設置してもらった状況がこちら。
洗濯機と壁のすきまはかなりぎりぎりですが、洗濯機を回してもとくに壁に当たっている様子はいまのところないです。

洗濯機と壁のすきま

一方こちらは左右の状況。
左は余裕がありますが、右は下に排水口があるのでぎりぎり被っているかどうかという感じ。

右側
左側

ちなみに洗濯機の下には「洗濯機高さ調整ゴムマット」を入れているので、排水口と被っていても問題なく排水口にホースを挿して排水できています。

洗濯機高さ調整ゴムマット

洗濯機の底の状況はこんな感じ。
「洗濯機高さ調整ゴムマット」を入れていなければぎりぎりですが、それがあるのでまだ少し余裕がありそうです。

洗濯機の底と防水パンの状況

洗濯機自体買い換えてしまったので「洗濯機高さ調整ゴムマット」で音が静かになったかどうかはわかりませんが、安定感はあるようです。

ブッシープレコが便秘?苦しそう・・・

8~9年ほど前から飼育しているブッシープレコ、これまで特に体調を崩したこともなく、毎日たくさんのうんこ(失礼)を出して元気いっぱいでしたが、最近便秘のよう。数日後、やっと出てきたのですが・・・

ブッシープレコ渾身の力み・・・がんばれ

太い!!いつもの3倍以上はありなかなか出てこないようです。
しかもゼリー状のぷるぷるした透明の分厚い膜に覆われていて、中身は半分以上が砂のように見えます。
こ、これは辛い。。
本人も大変困っている様子で、何度も尾びれを動かして出そうとがんばっています。

そんなプレコを、コリドラス・ステルバイ達が心配そうに見守っていました。

この後、なんとか無事に排便してひと安心しましたが、その後はまた排便がありません。心配です。

昨日から薬(グリーンFゴールドリッキド)を入れて様子を見ています。

はやく調子を取り戻してまた元気に大量のうんこ(失礼)を出してくれることを切に願います。。

MacのiMovieで動画を結合、分割、一部音声削除、音声追加してみた

以前、iMovie を使って動画に字幕をつけて mp4 ファイルに書き出すといった、基本的な iMovieの操作方法を説明しました。

https://k2-ornata.com/mac_imovie_movie_edit

今回はもう少し高度な編集として、動画を結合、分割したり、音声を編集する方法を説明します。

動画を結合する

すでに読み込んでいる動画と新しい動画を結合したい場合、下図のように既存の動画の最後に、新しい動画ファイルをドラッグ&ドロップで配置します。

iMovie

動画を分割する

動画を分割したい場合、以下のように分割したい部分をマウスで左クリックし、その後、右クリックのメニューから「クリップを分割」を選択します。

iMovie

一部の音声を消す

動画の一部の音声を消すには、「動画の分割」で説明した方法で音声を削除したい動画部分を切り出したあと、以下の1〜3の手順で編集します。

①音声を削除したい動画(クリップ)を選択
②上部のスピーカーマークを選択
③スピーカーマークの下にある音量を0%にする
iMovie

音声を追加する

事前に作成しておいた音声ファイルを、以下のように音声を流したい動画部分にドラッグ&ドロップします。

iMovie

iMovieは Macにデフォルトで入っている動画編集ソフトですが、使いこなせばいろいろなことができそうですね。

WordPressの全記事に共通の広告を表示させる

今までWordPress のテーマとして、Twenty Sixteenを利用してきましたが、最近、ユーザインターフェイスがよりモダンな Twenty Twenty-Fourに変えてみました。

Head, Footer and Post Injectionsを導入する

ところが Twenty Twenty-Four にかえたところ、デフォルトでheader.php を編集する画面がなくなった為、WordPressのプラグイン 「Head, Footer and Post Injections」を使うことにしました。

このプラグインを使えば、ヘッダーに任意のタグを追加するだけではなく、WordPressの全記事に渡って共通の広告を表示させることができます。

WordPress プラグインHead, Footer and Post Injections

「設定」-「Head and Footer」を選択

「Head, Footer and Post Injections」を導入したら、「設定」を見てみます。すると以下の通り「Head and Footer」というメニューができています。

WordPress プラグインHead, Footer and Post Injections

Posts タブの「AFTER THE POST CONTENT」にタグを追記

「Head and Footer」を選択すると以下の画面が表示され、たくさんのタブが表示されていますが、この中から「Posts」タブを選択します。

Head, Footer and Post Injections – Posts タブ

この「Posts」タブの中の「AFTER THE POST CONTENT」に赤枠の通り広告用のタグをコピぺすると自分で書いた記事の直下に広告が表示されます。

なお、広告用のタグを<center>〜</center>で括ると、いい感じに画面の中央に広告が表示されると思います。

広告が自分の記事の直後に表示されていることを確認

最後に広告が正しく表示されていることを確認しましょう。

広告表示サンプル表示例

できれば記事にあった広告をページ毎に設定するのが効果的だとは思いますが、たくさん記事があるとなかなか難しいと思いますので、こういった方法もありなのでは無いかと思います。

ベラボン育ちのサンスベリアボンセレンシスに新芽が出てきました!

K2-ornataのkuroです。

先日、部屋の片隅に置いているサンスベリアボンセレンシスを久しぶりにじっくりと眺めていましたら、根元になにか小さいものが盛り上がっていることに気づきました。

サンスベリアボンセレンシス
なにやら出てきています・・・

小さな脇芽?子株?のようなものが出てきていました!春です・・・

5年ほど前、近所のホームセンターで5センチ位の小さなプラカップに入れられて水にどっぷり浸かって売られていました。ほとんどこぼれ落ちたとみられるわずかなハイドロから元気な白い根っこが飛び出していて、なかなかワイルドな様子。名前はサンスベリアボンセレンシス。。なんかたくましい。値段は400円。。なかなかよい。というわけで連れて帰りました。

普段はあまり日の当たらない部屋の片隅に置き、水やりは1か月に1回ほど。冬は完全断水、、乾燥に強く、肥料も要らず、手のかからないとってもいい子です。
しかもベラボン100%植え付けしているので清潔で軽くてとてもよいです。

部屋で育てている植物はこれまで長年セラミスグラニューを使用してきましたが、セラミスもとても気にっているのですが、最近は軽くて扱いやすいベラボンがお気に入りです。
ベラボンについては以前に記事を書いていますのでもしよろしければこちらをご覧ください。↓↓

https://k2-ornata.com/kuro-greennecklace-stringofbeads-bellabon