Microsoft выпустила SimuLand, лабораторную среду с открытым исходным кодом, чтобы помочь протестировать и улучшить защиту Microsoft 365 Defender, Azure Defender и Azure Sentinel от реальных сценариев атак.
SimuLand испытательные лаборатории «обеспечивают случаи использования из различных источников данных , включая телеметрию от Microsoft 365 безопасности продуктов Defender, Azure Защитнику и других интегрированных источников данных через разъемы данных Azure Стражей,» MSTIC Threat Исследователь Роберто Родригес сказал .
Лабораторные среды, развернутые с помощью SimuLab, могут помочь экспертам по безопасности «активно тестировать и проверять эффективность соответствующих обнаружений Microsoft 365 Defender, Azure Defender и Azure Sentinel, а также расширять исследования угроз с помощью телеметрии и криминалистических артефактов, генерируемых после каждого упражнения по моделированию».
Среды тестирования SimuLab разработаны, чтобы помочь командам безопасности:
- Разберитесь в основополагающем поведении и функциональности враждебного промысла.
- Определите способы защиты и пути злоумышленника, задокументировав предварительные условия для каждого действия злоумышленника.
- Ускорьте разработку и развертывание лабораторных сред для исследования угроз.
- Будьте в курсе последних технологий и инструментов, используемых настоящими злоумышленниками.
- Идентифицируйте, документируйте и делитесь соответствующими источниками данных для моделирования и обнаружения злоумышленников.
- Проверить и настроить возможности обнаружения.
Вы можете поделиться своими собственными сценариями сквозного моделирования, открывая новые выпуски в репозитории SimuLand GitHub .
Помимо работы над добавлением дополнительных сценариев, Microsoft также хочет добавить автоматизацию атак через Функции Azure в облаке, экспорт и обмен телеметрией, интеграцию оценочных лабораторий Microsoft Defender, а также развертывание и обслуживание инфраструктуры с помощью конвейеров CI / CD с Azure DevOps.
Для лабораторных сред, предоставленных в рамках этой инициативы Microsoft с открытым исходным кодом, требуется клиент Azure и как минимум лицензия Microsoft 365 E5 (платная или пробная).
В прошлом месяце исследовательская группа Microsoft 365 Defender Research также выпустила симулятор кибератак с открытым исходным кодом, получивший название CyberBattleSim .
Этот симулятор позволяет создавать смоделированные сетевые среды, моделирующие, как управляемые ИИ кибер-агенты (субъекты угроз) распространяются по сети после ее первоначального взлома.
«Цель симулируемого злоумышленника - захватить некоторую часть сети, используя эти заложенные уязвимости», - пояснила Microsoft.
«Пока моделируемый злоумышленник перемещается по сети, агент-защитник наблюдает за сетевой активностью, чтобы обнаружить присутствие злоумышленника и сдержать атаку».
Перевод - Google
BleepingComputer