Microsoft ha lanzado SimuLand, un entorno de laboratorio de código abierto para ayudar a probar y mejorar las defensas de Microsoft 365 Defender, Azure Defender y Azure Sentinel contra escenarios de ataque reales.
SimuLand laboratorios de pruebas «proporcionan los casos de uso de una variedad de fuentes de datos, incluyendo la telemetría de Microsoft 365 productos de seguridad defensor Azure Defender, y otras fuentes de datos integradas a través de conectores de datos Azure Sentinel,» MSTIC Amenaza Investigador Roberto Rodríguez dijo .
Los entornos de laboratorio implementados con SimuLab pueden ayudar a los expertos en seguridad a «probar y verificar activamente la eficacia de las detecciones relacionadas de Microsoft 365 Defender, Azure Defender y Azure Sentinel, y ampliar la investigación de amenazas mediante la telemetría y los artefactos forenses generados después de cada ejercicio de simulación».
Los entornos de prueba de SimuLab están diseñados para ayudar a los equipos de seguridad a:
- Comprender el comportamiento y la funcionalidad subyacentes del oficio adversario.
- Identifique las mitigaciones y las rutas de los atacantes documentando las condiciones previas para cada acción del atacante.
- Acelere el diseño y la implementación de entornos de laboratorio de investigación de amenazas.
- Manténgase actualizado con las últimas técnicas y herramientas utilizadas por los actores de amenazas reales.
- Identifique, documente y comparta fuentes de datos relevantes para modelar y detectar acciones adversas.
- Validar y ajustar las capacidades de detección.
Actualmente, el único entorno de laboratorio disponible para la implementación permite a los investigadores probar y mejorar sus defensas contra los ataques Golden SAML que permiten a los actores de amenazas forjar la autenticación en las aplicaciones en la nube.
Puede compartir sus propios escenarios de simulación de un extremo a otro abriendo nuevos problemas en el repositorio de SimuLand GitHub .
Además de trabajar para agregar más escenarios, Microsoft también quiere agregar la automatización de las acciones de ataque a través de Azure Functions en la nube, la exportación y el uso compartido de telemetría, la integración de laboratorios de evaluación de Microsoft Defender, así como la implementación y el mantenimiento de la infraestructura mediante canalizaciones de CI / CD con Azure DevOps.
Los entornos de laboratorio aportados a través de esta iniciativa de Microsoft de código abierto requieren un inquilino de Azure y al menos una licencia de Microsoft 365 E5 (de pago o de prueba).
El mes pasado, el equipo de investigación de Microsoft 365 Defender también lanzó un simulador de ciberataques de código abierto denominado CyberBattleSim .
Este simulador permite crear entornos de red simulados que modelan cómo los agentes cibernéticos controlados por IA (los actores de amenazas) se propagan a través de una red después de su compromiso inicial.
«El objetivo del atacante simulado es apropiarse de una parte de la red explotando estas vulnerabilidades plantadas», explicó Microsoft.
«Mientras el atacante simulado se mueve a través de la red, un agente defensor observa la actividad de la red para detectar la presencia del atacante y contener el ataque».
Fuente: www.bleepingcomputer.com
