微软开源可用来部署模拟网络攻击实验室环境的SimuLand专案

微软本周开源了SimuLand专案，以协助全球的安全研究人员部署可模拟各种网络攻击场景的实验室环境，或是用来验证Microsoft 365 Defender、Azure Defender与Azure Sentinel的侦测能力，并利用遥测及每次模拟演练所产生的鉴识产物，来扩展威胁研究。

目前该专案仅建置一个Golden SAML AD FS Mail Access实验室，它模拟骇客自本地端的AD FS服务器盗走令牌签署凭证，进而签署SAML令牌，企图假冒为特权使用者，以借由Microsoft Graph API搜集邮件资料。

根据微软的规划，SimuLand专案将导入来自微软安全产品的各种案例，可创造不同的实验室环境，并采用模组化设计，因此可在整合不同攻击行动与实验室环境的情况下展开测试。

微软也揭露了对于SimuLand专案的期许，包括理解骇客的行为与功能，借由记录攻击者的操作来确定攻击路径及缓解措施，加快威胁实验室环境的设计与部署，跟上骇客所使用的技术与工具，辨识与记录共享资料来检测及建模骇客的行为，以及验证与调整检测能力。此外，SimuLand还能整合那些可于端对端模拟场景中，执行动态分析的既有威胁研究方法。

不过，要部署SimuLand所提供的模拟攻击实验室环境，至少要具备一个Microsoft 365 E5授权及一个Azure租户，其它需求则根据不同的实验室环境而定。

微软亦鼓励安全研究人员分享端对端的攻击路径，或是贡献其它的侦测规则。