Microsoftは、セキュリティチームが既知の攻撃シナリオを再現し、Microsoftの主なセキュリティ製品がどれだけ対応できるかをテストするためのオープンソースプロジェクト「SimuLand」を公開した。
SimuLandは、セキュリティ研究者がMicrosoft製品の守りをテストするための実験環境だ。研究者がこのフレームワークを使用すれば、「Microsoft 365 Defender」「Azure Defender」「Azure Sentinel」の攻撃検知能力をテストし、検証することができる。
Microsoftは、このプロジェクトの目的は、セキュリティチームが攻撃の手口を構成している行動や技術を理解し、攻撃者が取る行動の前提条件を明確化することで緩和策や攻撃者の攻撃パスを特定して、検知能力の検証とチューニングを行うことだと述べている。同社は今後、対応できる攻撃シナリオを増やしてく予定だとしている。
現時点で用意されているのは、Microsoftの認証技術である「Active Director Federation Services」(AD FS)に対する「Golden SAML ADFS Mail Access」攻撃の検証環境だけだ。この攻撃は「Microsoft 365」に影響を与えるもので、Solarwindsに対するソフトウェアサプライチェーン攻撃と組み合わせてFireEyeやMicrosoftに対して行われた攻撃で使われた手法と同様のものである点で注目に値する。
Microsoftは、研究者の脅威に関する研究に、SimuLandのシミュレーションを実行する際に生成されるテレメトリーやフォレンジックアーティファクトを役立てることができると述べている。
同プロジェクトでは、今後の取り組みとして次のような項目を挙げている。
- シミュレーションの手順をより組織的で標準化された手法で記述するためのデータモデル
- インフラのデプロイメントと維持を行うための「Azure DevOps」のCI/CD(継続的インテグレーション/継続的デリバリー)パイプライン
- 「Azure Functions」を利用したクラウドでの攻撃行動の自動化
- 生成されたテレメトリーをエクスポートして情報セキュリティコミュニティーと共有する機能
- 「Microsoft Defender」の「評価ラボ」との統合
SimuLandはMicrosoftのクラウドベースのセキュリティ情報イベント管理システム(SIEM)である「Azure Sentinel」とも連携できるようになっており、攻撃についての調査を行う際に、Sentinelの調査グラフを使用して詳しく調べることもできる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
