微软本周推出了一个从其第一次 SimuLand 活动中提取的公共数据集。如果您不熟悉 SimuLand 计划,它为研究人员提供了工具来测试 Azure Defender、Microsoft 365 Defender 和 Azure Sentinel 等服务如何处理攻击。
在上个月的第一次开源 SimuLand 活动中,安全团队可以创建测试攻击模式、部署实验室环境,并了解 Microsoft 安全平台如何应对威胁。在整个实验过程中,研究人员采用遥测数据来增强对攻击的理解。
Microsoft 现在正在发布一个涵盖该遥测数据的公共数据集。具体来说,从第一次模拟来看,威胁参与者如何从存储在本地的 ADFS 服务器中窃取 Azure 目录联合服务 (ADFS) 令牌签名证书。然后,他们可以利用 ADFS 签署安全断言标记语言 (SAML) 令牌以访问 Microsoft Graph API。
在模拟过程中监控了几个安全事件,这些事件现在可以在新数据集中使用。Microsoft 在图像中详细说明了这些事件(上图)。
改进检测和保护
模拟期间收集的所有日志均来自 Microsoft 365 Defender Advanced 搜索 API 和 Azure Log Analytics 工作区 API。微软指出,公开数据集可为安全研究人员提供更多工具来对抗风险,包括通过以下方式改进检测:
- “加快检测规则的开发和验证。
- 识别并验证一系列事件以模拟对手的行为。
- 为初始研究和功能开发提供标记和未标记的数据。
- 通过将预先记录的事件注入数据管道来自动化模拟练习。
- 补充培训材料并加快数据分析用例的创建。
- 加快创建内部或社区活动,例如夺旗或黑客马拉松,其中数据用于创造挑战并鼓励协作。”
您可以在此处阅读Microsoft 官方 GitHub上有关 SimuLand 计划的更多信息。
未经允许不得转载:表盘吧 » 微软发布第一个 SimuLand 实验的公共数据集
