微軟在一個月前宣佈了開源 SimuLand 專案，以説明安全研究人員輕鬆部署實驗環境、重現攻擊模式和相關技術。 然後驗證 Microsoft 365 Defender、Azure Defender 和 Azure Sentinel 等工具，能否檢測到對抗模式。 研究人員還可以從這些實驗中捕獲遙測數據，以擴展他們自己的研究。 現在，微軟又發佈了首次模擬演練的公共數據集。

圖 1 – SimuLand 安全研究方法 / 數據威脅圖集（來自：Microsoft官網）

如果你對微軟如何生成這些數據集感到好奇，還請翻閱參考實驗指南運行的首次類比和遙測數據結果。

具體說來是，其模擬了攻擊者是如何從本地 ADFS 伺服器竊取 Azure 目錄聯合服務（ADFS）的令牌簽名證書。

然後利用它來簽署新的安全聲明標記語言（SAML）令牌，並藉助 Microsoft Graph API 來存取郵件數據。

圖 2 – 映射到源數據的對抗技術

本次公佈的數據集，是微軟在首次模擬演練期間匯總的安全事件集合，該公司通過 Microsoft 365 Defender 高級搜索 API、以及 Azure Log Analytics 工作區 API 而開展收集工作。

微軟表示，通過分享該數據集，研究人員將能夠更好地分析對抗性場景、改進他們的檢測規則、對事件鏈進行建模、自動化模擬計劃，或者在組織內部規劃駭客馬拉松等挑戰。

展望未來，微軟還計劃分享更多數據集、並添加新的實驗指南。 感興趣的朋友，可移步至 SimuLand 的 GitHub專案主頁，或查看微軟安全數據集的存儲庫。