k2-ornata（個人的「やってみたこと」ブログ） - WHY DON'T YOU DO YOUR BEST!!

新規にMITER ATT&CKベースでSplunkの監視ルールを作成する際の手順を整理してみた

新規にSplunkで監視ルールを作成する際の情報が流れとしてまとまったサイトがなかったのでまとめてみました。

１．Splunk に取り込むログを出力する機能を整理

例えば、AADRiskyUsersのログであれば、Identity Protectionの機能から出力されるよね、といったことを整理していく。

リスク データをエクスポートする（Microsoft Learn）
https://learn.microsoft.com/ja-jp/entra/id-protection/howto-export-risk-data

２．ログ出力機能から検知可能なATT&CKのテクニックを整理

ログを出力する機能が分かれば、MITRE CTID やDTT&CTなどを使って、ATT&CKのどのテクニックが検知できるか確認する。

Microsoft Azure Security Control Mappings to MITRE ATT&CK®（MITRE CTID）
https://center-for-threat-informed-defense.github.io/security-stack-mappings/Azure/README.html

rabobank-cdc / DeTTECT
https://github.com/rabobank-cdc/DeTTECT

３．テクニックを検知する為のSPLを検討

検知できそうなテクニックがわかったら、それに該当する検知ルールを Splunk Security Content や Sigmaルールを活用し検討する。

Splunk Security Content
https://research.splunk.com/detections/

SigmaHQ / sigma
https://github.com/SigmaHQ/sigma/tree/master/rules/cloud

NVISOsecurity / sigma-public
https://github.com/NVISOsecurity/sigma-public

夜景No.1と名高い「みたまの湯」に昼間にいってきたら、ホトトギスやキビタキなど野鳥もたくさんいそうだった件

昨日、おやすみをとって、山梨県の南甲府ICちかくにある「みたまの湯」にいってきました。

入浴料は意外とやすく、２人で１４００円台でした。（ひとり７００円ちょっと。）

またお風呂のそばにはサウナもあり、せっかくなので汗を流してきました。

お風呂からあがったあとは、畳の部屋で暫し休憩。

そのあと、大浴場のそばにある食事処へ。

この日は標準のメニュー意外にエビフライとお刺身定食（２０００円）があったので、それを注文しました。

えびがなかなか大きくて、納得の２０００円でした。

そのあと、そとの農産物売り場へ。

どうやらとうもろこし（甘甘娘）が売りのようでしたので３本購入してかえりました。（家に帰ってからたべましたが、めちゃめちゃ甘かったです！）

ちなみに駐車場からの見晴らしはこの通り。佇んでいると、ホトトギスやキビタキの声がきこえてきました。あまり近所の人に迷惑にならないようにしなければいけませんが、周辺では野鳥観察もできそうです。

なお、お風呂からは八ヶ岳も見えました。

台風がきていたのでちょっとくもってはいましたが、金曜日にゆっくりできてなかなかよい週末になりました。

台所の排水管を詰まらせない為の２つの対策を大家さんに教えてもらった話（高温水＆パイプマン）

私の住んでいる賃貸アパートのキッチンの排水管の流れが悪くなって、お皿をあらっている時に、下水が下から溢れ出るようになってしまいました。

そこで大家さんに電話してきてもらったのですが、その時に普段から排水を詰まらせないようにする２つの方法を教えてもらいましたので共有しておきます。

ちなみに詰まり自体は、大家さんが長く太い針金を折り曲げたものを持参して、お湯をながしながらそれでつまったところを突いていたら、すぐに解消しました。

１．６０度のお湯を流す

我が家のキッチンは比較的綺麗な方だといわれましたが、それでも定期的にメンテナンスはしておいた方がよいとのことです。

具体的には給湯器の温度をマックス（我が家の場合は６０度）にし、２〜３分くらい流し続けると、パイプの汚れが落ちてくれるとのことです。

給湯器で６０度まで温度を上げられると思っていなくて、ちょっとびっくりしました。

２．パイプクリーナをつかう

１．の対応でつまりが解消しなければ、ということで大家さんがもってきてくれた２つ目のアイテムが、以下のパイプクリーナーでした。

結局、今回、大家さんの針金＆６０度のお湯による対応でつまりが解消したのであまり使いませんでしたが、今後の為にということで、そのまま大家さんからいただきました。

大家さん、ありがとうございました。

リンク

Splunk Security Essentials に含まれている検知ルールにどんなものがあるが確認してみる

Splunk Security Essentials には様々なソース（監視対象ログ）に対する MITER ATT&CK に対応した検索文が用意されている。

この検索文を定期的に実行することで、該当するログが発生したときにアラートを発生されることも可能であり、とても有用な Appsになっている。

Analytic Story Detail

例えば、Security Essentials のメニューから「Analytic Story Detail」を選択してみます。

すると下図のように、プルダウンが表示され、 Active Directory などさまざまなログソースを選択することができます。

Splunk Security Essentials – Analytic Story Detail

以下は「Office 365 Detections」を選んだ結果ですが、「O365 Added Service Principal」など様々なログを検知する検索文とそれが MITER ATT&CKのどれに相当するのかが記載されています。

Splunk Security Essentials – Analytic Story Detail検索例２

Ransomware Content Browser

また、Security Essentials のメニューから「Ransomware Content Browser」を選択すると、ランサム攻撃のライフサイクルを可視化した図と共に、それぞれのシーンに該当するログが発生していないか検索することができるようです。（実際に試してはいませんが。。。）

SIGMAルールのリポジトリ（GITHUB）からZIPをダウンロードし、どんなルールが含まれているか MITER ATT&CKにマッピングしてみた

Github 上などに標準化された SIEM ルールである SIGMAルールがたくさんおかれているのですが、これらのルールが ATT&CKのどの TTPs に該当するものなのか確認したいと考えていました。

調べてみたところ、SIGMAルールを PCにダウンロードし、sigmatools に含まれる sigma2attack というコマンドを実行すれば ATT&CK Navicgator のヒートマップが作れるということがわかってきたので、実際にやってみました。

１．ZIP（SIGMAルール）のダウンロード

以下のような Github サイトの SIGMAリポジトリにアクセスします。

Github - SigmaHQ/sigma 
https://github.com/SigmaHQ/sigma

すると、rules ディレクトリ配下にたくさんの SIGMA ルールが置かれていることが確認できます。

このページを下にスクロールしていくと、「Rule Packages」という項目があるので、その中のリンク「release page」をクリックします。

すると、さきほどの SIGMAルールがまとめて Zip化されて置いてあるページにとばされるので、その中から、sigma_all_rules.zip などをダウンロードします。

ZIPファイルをダウンロード後、ローカルのPC上で SIGMAルールを展開します。

２．ヒートマップ（json）ファイルの作成

１．で展開した SIGMAルールから MITER ATT&CK Navigator に取り込むヒートマップを作成するには、最初に書いたとおり sigmatools が必要ですので、以下の要領でダウンロード＆インストールします。

 % pip3 install sigmatools

インストールが終わったら以下のような形式で sigmatattack コマンドを実行すれば、heatmap.json というファイルが、コマンドを実行したディレクトリに作成されます。

% sigma2attack --rules-directory ./rules

ちなみに、先ほど展開した SIGMAルールはコマンドを実行する直下の /rules フォルダに展開されている為、上記では –rules-directory でそのフォルダを指定しています。

３．ATT&CKへのヒートマップの取り込み

２．で作成した heatmap.json というファイルを MITER ATT&CK Navigator から取り込みます。

MITER ATT&CK Navigator
https://mitre-attack.github.io/attack-navigator/

下図の赤枠で示したボタンを押し、先ほどローカルPCで作成した heatmap.json を指定し取り込みます。

なお、取り込む際に以下のように取り込むヒートマップの ATT&CK対応バージョンが古い（v10）とでますので、最新の v15に変換するか聞かれました。（Yesと答えました。）

すると、以下の通りMITER ATT&CK Navigator上にヒートマップが取り込まれ、該当する部分が色付きで表示されました。

SIGMAルールから Splunkルールに変換する

SIGMAルールとは、Splunk など製品固有の言語（SPLなど）で書かれた検知ルールではなく、より汎用的？に記載された検知ルールのようです。

したがって、SIGMAルールがあれば、そこから Splunk や Sentinelなどいろいろなベンダーの SIEM で利用できる検知ルールが作成できます。

ちなみに SIGMAルールは以下のGITHUBのサイトなどに置かれています。

GITHUB
https://github.com/SigmaHQ/sigma/tree/master
https://github.com/NVISOsecurity/sigma-public

なお、SIGMAルールから各SIEM固有の検知ルールを生成する方法としては、 Webサイトのサービスを利用する方法とコマンドラインの２通りがありそうです。

WebでのSIGMAルール → 各SIEM向けルール変換

Webサイトとしては、以下のUNCODER.IOが有名のようです。

UNCODER.IO
https://uncoder.io/

以下が実際の画面ですが、変換先を見ると Splunk, Sentinel, QRader, XSIAMと有名どころのSIEMへの変換が可能なようです。

そして実際に Splunkの SPLに変換してみたのがこちらです。変換後はシンプル＆見慣れた表現なので少しわかりやすいですね。

コマンドでのSIGMAルール → 各SIEM向けルール変換

コマンドとしては sigmatools というものがあるようで、以下のコマンドで簡単にインストールできます。

% pip3 install sigmatools

そして、UNCODER.IOで変換したものと同じSIGMAルールを sigmac コマンドでも変換してみた結果がこちらです。

% vi tmp/proxy_susp_flash_download_loc.yml
% sigmac -t splunk -c splunk-windows tmp/proxy_susp_flash_download_loc.yml
(((c-uri="*/flash_install.php*" OR c-uri="*/install_flash_player.exe") NOT ((cs-host="*.adobe.com"))))

-t の引数で変換先の SIEM として Splunk を指定しています。

Webで変換したものと大体一緒ですが、なぜか先頭に “source=”が付いていませんね。引数が足りないのかな？

＜参考サイト＞
・Sigmaルールのすすめ(Qiita)（https://qiita.com/sec-chick/items/4416bff231d7a55da75a）
・SIEMクエリ変換ツール「Sigma」を使ってみた（DeveloppersIO）（https://dev.classmethod.jp/articles/sigma-siem-transition-tool/）
・SIEMシステム用シグネチャフォーマット「Sigma」とSigmaルールの変換ツール「Uncoder.io」のご紹介(NEC)（https://jpn.nec.com/cybersecurity/blog/221014/index.html）

MITRE ATT&CKの補助ツール DeTT&CTをインストール＆起動してみた

Splunk にていろいろなログソースをつかった検知ルールをつくりたいと考えていたところ、DeTT&CTというツールを見つけたのでインストールしてみた。

まだはっきりと理解していませんが、各ログソースから MITRE ATT&CK のどの TTPs に該当する検知ができるかマッピングする際に利用できるツールではないかと考えています。

１．インストール

インストールは意外と簡単で、Macのコンソールからおもむろに以下のコマンド（太字部分）を打ち込んでいくだけで大丈夫です。

% git clone https://github.com/rabobank-cdc/DeTTECT.git
% cd DeTTECT
DeTTECT % cat requirements.txt
DeTTECT % pip install -r requirements.txt

２．起動

インストールが終わったら DeTT&CTを起動します。
起動は、DeTTECTディレクトリ配下にある detteck.py をつかって以下のコマンドを実行するだけです。

DeTTECT % python dettect.py editor
Editor started at port 8080
Opening webbrowser: http://localhost:8080/

実行すると自動的にブラウザが起動し、以下の画面が表示されます。

＜参考サイト＞

・How to Download DeTT&CT Editor For MITRE ATT&ACK Techniques（https://systemweakness.com/how-to-download-dett-ct-editor-for-mitre-att-ack-techniques-dd41b21ebcfe）
・MITRE Practical Use Cases（Youtube、https://www.youtube.com/watch?v=1zgpTR6D3M8&list=LL&index=2&t=168s）
・MITRE DeTTECT – Data Source Visibility and Mapping（Youtube、https://www.youtube.com/watch?v=EXnutTLKS5o）

ロードスターNC2の夏タイヤをBRIGISTONE POTENZA S007に交換しました

これまでロードスターの夏タイヤとして使っていたBRIGISTONE POTENZA S001が今年の春で7年目を迎えました。

いつもタイヤはタイヤ館さんに預かっていただいており、今回も交換してもらったのですが、その時にタイヤの表面にヒビが入っていますよと言われ、よくよく見てみると確かにタイヤの接地面にびっしりこまかなヒビが入っていました。（ただ、このタイプのタイヤは新しくてもヒビが入りやすいらしいですが。特にフロントタイヤは入りやすいとのこと。）

どうやらこの状態だと雨の日にスリップしやすいらしいので、思い切って新しいタイヤを購入することにしました。

そこでタイヤ館の人が薦めてくれたのが、このBRIGISTONE POTENZA S007でした。

7年履いて、S001がS007に変わっていることを考えると、どうやら毎年番号が一つずつ上がっているようですね。

ちなみにサイズは 205/45 R17 です。どうもこのサイズはタイヤの選択肢がすくなく、スポーツタイプ用、スポーツ用、レース用といった形の３種類しかないようです。POTENZAは真ん中のスポーツ用だったと思います。

お値段は、多少値引きはしてもらったものの４本で、163,000円でした。

年間で考えると30,000円弱くらいですね。

またS001から S007 に履き替えた感じですが、さすがに7年前のものをつかっていたので、それに比べるとかなりしっとり路面に吸い付いている感じはしますね。（振動もすくなくなったような。）

BRIGISTONE POTENZA S007 トレッドパターン（１週間履いたあと）

このタイヤであと５年はロードスターと一緒に走っていければと考えています。

白いウンチをしていたプレコの腹水病がグリーンFゴールドで治った？！

２週間くらいまえから、うちのプレコが急に白い砂のようなウンチをし始めました。（プレコって透明な膜で包まれたウンチをするのですが、普段黒かったものが急に白い砂のようなものになりました。）

https://k2-ornata.com/bushymouth-catfish-constipation

最初、私はプレコが水槽の底の砂を食べてしまったのだろうとおもっていましたが、１度だけではなく２度３度と同じウンチをしたので、おかしいなと思い始めました。

そこでインターネットで調べてみたところ、エロモナス菌が原因である腹水病ではないかと思い始めました。

またどうやら腹水病にはグリーンFゴールドが効き目があるということだったので、水槽に入れてみることにしました。

１日目〜２日目

通常、薬を与えるときには、活性炭などのフィルターは外すのがセオリーだと思いますが、水が汚れるのもいやなので、フィルターをつけたまま、グリーンFゴールドを5mlずつ2回に分けて水槽に入れてみました。

ちなみに我が家の水槽は45cmくらいの中程度のものです。

水槽の中はうっすら黄色くなりましたが、特にプレコの様子に変化はありませんでした。

一方、一緒に水槽に住んでいたコリドラス（ステルバイ）３匹は、薬をいれる度にハイになるのか、元気に暴れていました。

もしかすると、コリドラスもすこしエロモナス菌にやられていて、薬で元気になったのかもしれません。

３日目〜６日目

３日目もプレコに大きな変化はなかった為、やはりフィルターがあると効き目が吸い取られているのかなとおもい、フィルターを外すことにしました。

その後、フィルターに溜まった水と水槽の底のみずを６分の１くらい新しい水に交換し、その上でグリーンFゴールドを5mlくらい加えました。

これを２日に１回繰り返してみました。

４日目はプレコの背中がすこし白くなってきて、ああ、これはまずいかなとおもいましたが、プレコはあまり薬に強く無いという話もインターネットで聞いていたので、それ以上は薬を追加せず、様子を見ることにしました。

ちなみに２日目くらいから４日目までは、ほとんどウンチをしなくなり、餌も普段ほど食べず、寝る前に与えた餌はあまり減っていませんでした。

しかし、５日目くらいからは一時的に水槽から取り出していた流木を入れたところ、その流木に吸い付いたり、コリドラスたちを追い払ったり、少し元気がでているようにもみえました。

でも、やはりウンチは６日目までほとんどしている形跡が見えませんでした。

７日目

そして７日目、突然またプレコがウンチをし始めました！しかも元気だったときと同じ、黒いウンチです！

しかも、１つだけではなく、３回分くらいのウンチを一気にしていました。

もしかしてこれは、腹水病が治ったのではないでしょうか？！

インターネットでは、腹水病になるとなかなか回復は難しいと書いてある記事がたくさんあったので、難しいかなぁとおもっていましたが、治ったとしたら奇跡ですね！

これからもプレコのクロちゃんを大事にしてあげたいです。

リンク

Panasonicの2024年製洗濯機 NA-FA7H2をうちのアパートに設置してみた

先日、洗濯機をヨドバシカメラで購入した件をブログに書きましたが、その約２週間後に洗濯機が届きましたので、設置状況を記載してきたいと思います。

https://k2-ornata.com/washing-machine

最初、8kgの洗濯機の購入を検討していたのですが、一般的な8kgの縦型洗濯機の場合、ぎりぎり我が家の洗面所の防水パンにおさまるかどうか、と言った感じだったので、安全を取って7kgにしました。

（Panasonicの8kg以上の洗濯機では、洗剤の自動投入やスマホ連携がついていたのですが、やむなく断念。その分、お値段は安くなり、結果的に洗剤の自動投入やスマホ連携もなくてもよかったかなと、今は思っております。）

そして、実際に設置してもらった状況がこちら。
洗濯機と壁のすきまはかなりぎりぎりですが、洗濯機を回してもとくに壁に当たっている様子はいまのところないです。

一方こちらは左右の状況。
左は余裕がありますが、右は下に排水口があるのでぎりぎり被っているかどうかという感じ。

ちなみに洗濯機の下には「洗濯機高さ調整ゴムマット」を入れているので、排水口と被っていても問題なく排水口にホースを挿して排水できています。

洗濯機の底の状況はこんな感じ。
「洗濯機高さ調整ゴムマット」を入れていなければぎりぎりですが、それがあるのでまだ少し余裕がありそうです。

洗濯機自体買い換えてしまったので「洗濯機高さ調整ゴムマット」で音が静かになったかどうかはわかりませんが、安定感はあるようです。

リンク