SimuLand 是微软的一项开源计划,旨在帮助世界各地的安全研究人员部署实验室环境,再现真实攻击场景中使用的知名技术,积极测试和验证相关的 Microsoft 365 Defender、Azure Defender 和 Azure Sentinel 检测的有效性,并利用每次模拟演习后产生的遥测和取证工件扩展威胁研究。
这些实验室环境将提供来自各种数据源的使用案例,包括来自 Microsoft 365 Defender 安全产品的遥测数据、Azure Defender 以及通过 Azure Sentinel 数据连接器的其他集成数据源。
SimuLab 测试环境旨在帮助安全团队:
- 了解对手技术手段的基本行为和功能。
- 通过记录每个攻击者操作的前提条件,确定缓解措施和攻击者路径。
- 加快威胁研究实验室环境的设计和部署。
- 紧跟实际威胁参与者使用的最新技术和工具。
- 识别、记录和共享相关数据源,以建模和检测对手的行为。
- 验证和调整检测功能。
该项目的结构非常简单,并以模块化的方式进行分解,这样我们就可以通过不同的实验室环境设计来重新使用和测试攻击者行动的一些组合。此外,还提供了一步一步的实验指南,以汇总所有需要的文件,不仅可以执行端到端的模拟练习,还可以准备和部署实验环境。