微软宣布推出一项 SimuLand 开源计划,旨在帮助世界各地的安全研究人员部署实验室环境,再现真实攻击场景中使用的知名技术;以及积极测试和验证相关的 Microsoft 365 Defender、Azure Defender 和 Azure Sentinel 检测的有效性,并利用遥测及每次模拟演练所产生的监识产物扩展威胁研究。
MSTIC 威胁研究人员 Roberto Rodriguez 称,SimuLand 测试实验室“通过各种数据源提供了用例,包括 Microsoft 365 Defender 安全产品的遥测,Azure Defender 以及通过 Azure Sentinel 数据连接器提供的其他集成数据源 。”
根据介绍,SimuLab 测试环境旨在帮助安全团队:
- 了解对手技术手段的基本行为和功能。
- 通过记录每个攻击者操作的前提条件,确定缓解措施和攻击者路径。
- 加快威胁研究实验室环境的设计和部署。
- 紧跟实际威胁参与者使用的最新技术和工具。
- 识别、记录和共享相关数据源,以建模和检测对手的行为。
- 验证和调整检测功能。
该项目带有一个模块化的结构,每个模块都可以重复使用,使用不同的实验室环境设计来测试攻击者的行动组合。
目前,SimuLand 只配备了一个实验室环境,专门用于检测 Golden SAML 攻击。微软方面表示,其接下来将努力增加更多的场景,同时还希望通过云中的 Azure 功能增加攻击行动的自动化、遥测数据的输出和共享、 Microsoft Defender 评估实验室集成,以及利用 Azure DevOps 的 CI/CD 管道进行基础设施部署和维护。
不过值得注意的是,部署 SimuLand 所提供的模拟攻击实验室环境的前提是,至少要具备一个 Azure 租户和一个 Microsoft 365 E5 授权。
更多详情可查看官方公告。
猜你喜欢:暂无回复。