微软本周宣布了一种开放源代码工具SimuLand,可用于安全研究人员在实验室环境中重现攻击技术。 微软表示,SimuLand设计的目的是帮助了解攻击者采用手段的行为和功能,找到缓解措施并验证现有的检测功能,以及识别和共享与敌方检测有关的数据源。SimuLand可用于测试Microsoft 365 Defender、Azure Defender和Azure Sentinel检测的有效性。 望帮助加速威胁研究实验室环境的构建和部署,并使安全研究人员能够及时了解攻击者在实际攻击中采用的技术和工具。目标是利用SimuLand的研究方法集成,做到动态分析应用到终端到终端的仿真场景。 SimuLand基于Azure Sentinel2Go和Open Threat Research(OTR)社区的Blacksmith等开源项目,具有模块化设计,可用于测试攻击行为的各种组合,包括实验室部署和执行模拟练习的指南。 模拟器可以复制不同类型的环境(混合,云),并包括Azure资源管理器(ARM)模板。项目中的绝大多数实验室环境至少需要Azure租户和Microsoft 365 E5许可证(付费或试用)。 微软指出工具旨在使研究人员习惯于攻击者的行为,该项目提供的每个模拟计划都是基于研究的,并分解为映射到MITER ATT&CK框架的攻击者行动。 想要了解更多SimuLand:https://github.com/Azure/SimuLand
|
|