微软本周开源了SimuLand项目,以协助全球的安全研究人员部署可模拟各种网络攻击场景的实验室环境,或是用来验证Microsoft 365 Defender、Azure Defender与Azure Sentinel的侦测能力,并利用遥测及每次模拟演练所产生的鉴识产物,来扩展威胁研究。
目前该项目仅构建一个Golden SAML AD FS Mail Access实验室,它模拟黑客自本地端的AD FS服务器盗走令牌签署凭证,进而签署SAML令牌,企图假冒为特权用户,以借由Microsoft Graph API搜集邮件资料。
根据微软的规划,SimuLand项目将导入来自微软安全产品的各种案例,可创造不同的实验室环境,并采用模块化设计,因此可在集成不同攻击行动与实验室环境的情况下展开测试。
微软也披露了对于SimuLand项目的期盼,包括理解黑客的行为与功能,借由记录攻击者的操作来确定攻击路径及缓解措施,加快威胁实验室环境的设计与部署,跟上黑客所使用的技术与工具,识别与记录共享资料来检测及建模黑客的行为,以及验证与调整检测能力。此外,SimuLand还能集成那些可于端对端模拟场景中,执行动态分析的既有威胁研究方法。
不过,要部署SimuLand所提供的模拟攻击实验室环境,至少要具备一个Microsoft 365 E5授权及一个Azure租户,其它需求则根据不同的实验室环境而定。
微软也鼓励安全研究人员分享端对端的攻击路径,或是贡献其它的侦测规则。