Microsoft Ha desarrollado una fuente abierta SimuLand Entorno de laboratorio para ayudar a probar y mejorar Microsoft. 365, Defensor, Azure, y protección de Azure Sentinel contra una variedad de escenarios de ciberataques.
SimuLand permite «recursos de una variedad de fuentes de datos, incluyendo telemetría de Microsoft 365 Productos de seguridad de Defender, Defensor azur, y otras fuentes integradas a través de Azure Sentinel Data Connectors.»
Simuland trabajará bajo los siguientes principios básicos:
- Comprender el comportamiento subyacente y la funcionalidad del arte comercial adversario..
- Identifique mitigaciones y rutas de ataque documentando las condiciones previas para cada acción del atacante..
- Acelere el diseño y la implementación de entornos de laboratorio de investigación de amenazas..
- Manténgase actualizado con las últimas técnicas y herramientas utilizadas por actores de amenazas reales..
- Identificar, documento, y compartir fuentes de datos relevantes para modelar y detectar acciones adversarias.
- Validar y ajustar las capacidades de detección.
SimuLab está diseñado para analizar el comportamiento de los ciberdelincuentes, definir defensas, acelerar el desarrollo y lanzamiento de entornos de laboratorio para la investigación de amenazas, informar sobre las últimas tecnologías y herramientas de hackers, e identificar, documento, y compartir fuentes de datos relevantes para modelar y detectar delincuentes.
Microsoft pretende integrar SimuLand con metodologías de investigación de amenazas que apliquen análisis dinámico a escenarios de modelado de un extremo a otro..
La siguiente imagen muestra dónde encajaría SimuLand.
Actualmente, el único entorno de laboratorio abierto permite a los investigadores probar y mejorar la protección contra los ataques Golden SAML, en el que los atacantes falsifican la autenticación para aplicaciones en la nube.
Además de trabajar en agregar scripts adicionales, Microsoft también pretende añadir la automatización de ataques a través del servicio Azure Functions en la nube, exportación e intercambio de telemetría, integración de los laboratorios de evaluación de Microsoft Defender, e instalación y mantenimiento de infraestructura usando CI/CD con Azure DevOps.
Déjame recordarte que hablé del hecho de que Microsoft advierte sobre el creciente número de ciberataques que utilizan web shells.