A Microsoft lançou o SimuLand, um ambiente de laboratório de código aberto para ajudar a testar e melhorar as defesas do Microsoft 365 Defender, Azure Defender e Azure Sentinel em cenários reais de ataque. “O laboratório fornece casos de uso de uma variedade de fontes de dados, incluindo telemetria de produtos de segurança como Microsoft 365 Defender, Azure Defender e outras fontes de dados integradas por meio de conectores de dados Azure Sentinel”, disse o pesquisador de ameaças do Microsoft Threat Intelligence Center (MSTIC), Roberto Rodriguez.
Segundo a fabricante de software, ambientes de laboratório implantados usando o SimuLab podem ajudar os especialistas em segurança a “testar ativamente e verificar a eficácia das detecções relacionadas ao Microsoft 365 Defender, Azure Defender e Azure Sentinel e estender a pesquisa de ameaças usando telemetria e artefatos forenses gerados após cada exercício de simulação.”
Ainda de acordo com a Microsoft, o SimuLab ajuda as equipes de segurança a compreender o comportamento e a funcionalidade da técnica de invasores; a identificar as atenuações e os caminhos do invasor documentando as pré-condições para cada ação do invasor; agilizar o projeto e a implantação de ambientes de laboratório de pesquisa de ameaças; a manterem-se atualizadas com as técnicas e ferramentas mais recentes usadas por atores reais de ameaças; e identificar, documentar e compartilhar fontes de dados relevantes para modelar e detectar ações de invasores, entre outras operações. As equipes de segurança também podem compartilhar seus próprios cenários de simulação abrindo novos problemas no repositório SimuLand GitHub.
Atualmente, o único ambiente de laboratório disponível para implantação permite que os pesquisadores testem e melhorem suas defesas contra ataques SAML (Security Assertion Markup Language) — um padrão aberto para troca de arquivos de autenticação e autorização entre terceiros — que permitem que operadores de ameaças falsifiquem a autenticação em aplicativos na nuvem.
Veja isso
Microsoft lança no GitHub um simulador de ciberataques
Microsoft diz que ações de ransomware contra o Exchange têm sido ‘limitadas’
Além de trabalhar para adicionar mais cenários, a Microsoft também deseja adicionar automação de ações de ataque por meio do Azure Functions na nuvem, exportação e compartilhamento de telemetria, integração de laboratórios de avaliação do Microsoft Defender, bem como implantação e manutenção de infraestrutura usando pipelines CI/CD com Azure DevOps.
Os ambientes de laboratório contribuidores por meio dessa iniciativa de código aberto da Microsoft exigem um locatário do Azure e pelo menos uma licença do Microsoft 365 E5 (paga ou de avaliação).No mês passado, a equipe de pesquisa do Microsoft 365 Defender também lançou um simulador de ataque cibernético de código aberto denominado CyberBattleSim. Esse simulador permite a criação de ambientes de rede simulados que modelam como os agentes cibernéticos controlados por IA (os autores da ameaça) se espalham por uma rede após seu comprometimento inicial. “O objetivo do invasor simulado é se apropriar de alguma parte da rede, explorando essas vulnerabilidades plantadas”, explicou a Microsoft.
