微軟在一個(gè)月前宣布了開源 SimuLand 項(xiàng)目，以幫助安全研究人員輕松部署實(shí)驗(yàn)環(huán)境、重現(xiàn)攻擊模式和相關(guān)技術(shù)。 然后驗(yàn)證 Microsoft 365 Defender、Azure Defender 和 Azure Sentinel 等工具，能否檢測(cè)到對(duì)抗模式。研究人員還可以從這些實(shí)驗(yàn)中捕獲遙測(cè)數(shù)據(jù)，以擴(kuò)展他們自己的研究。現(xiàn)在，微軟又發(fā)布了首次模擬演練的公共數(shù)據(jù)集。

如果你對(duì)微軟如何生成這些數(shù)據(jù)集感到好奇，還請(qǐng)翻閱參考實(shí)驗(yàn)指南運(yùn)行的首次模擬和遙測(cè)數(shù)據(jù)結(jié)果。

具體說來是，其模擬了攻擊者是如何從本地 ADFS服務(wù)器竊取 Azure 目錄聯(lián)合服務(wù)(ADFS)的令牌簽名證書。

然后利用它來簽署新的安全聲明標(biāo)記語言(SAML)令牌，并借助 Microsoft Graph API 來訪問郵件數(shù)據(jù)。

本次公布的數(shù)據(jù)集，是微軟在首次模擬演練期間匯總的安全事件集合，該公司通過 Microsoft 365 Defender 高級(jí)搜索 API、以及 Azure Log Analytics 工作區(qū) API 而開展收集工作。

微軟表示，通過分享該數(shù)據(jù)集，研究人員將能夠更好地分析對(duì)抗性場(chǎng)景、改進(jìn)他們的檢測(cè)規(guī)則、對(duì)事件鏈進(jìn)行建模、自動(dòng)化模擬計(jì)劃，或者在組織內(nèi)部規(guī)劃黑客馬拉松等挑戰(zhàn)。

展望未來，微軟還計(jì)劃分享更多數(shù)據(jù)集、并添加新的實(shí)驗(yàn)指南。感興趣的朋友，可移步至 SimuLand 的 GitHub 項(xiàng)目主頁 ，或查看微軟安全數(shù)據(jù)集的 存儲(chǔ)庫 。

關(guān)鍵詞： 微軟 imuLand數(shù)據(jù)集 安全研究 開源