先月、私たちはSimuLand プロジェクトを導入しました。これは、世界中のセキュリティ研究者がラボ環境を展開して、よく知られた攻撃シナリオを再現し、検出を積極的にテストし、根本的な動作と攻撃者の技術の実装についてさらに学習できるようにするためのものです。プロジェクトのリリース以来、現在のドキュメントを改善し、ラボ ガイドでシミュレーション計画を実行した後に生成されたテレメトリを収集するために、第 2 フェーズに取り組んできました。
本日、 最初のシミュレーション シナリオから生成されたデータセットをリリースできることを嬉しく思います。これにより、セキュリティ研究者は、完全な環境を展開することなく、攻撃の動作にマッピングされたデータにアクセスできるようになります。
SimuLand データを共有して研究を促進
前回のブログ投稿では、基本的な脅威調査の方法論と SimuLand プロジェクトが適している場所を示しました。シミュレーション後の次のステップの 1 つは、生成されたデータの収集と分析です。テスト中に生成されたセキュリティ イベントを共有することで、調査プロセスを促進できると考えています。
図 1: SimuLand とセキュリティ データセットに重点を置いた脅威調査手法のマップ。
どのようなセキュリティ イベントですか?
SimuLand シナリオから収集できるデータは、シミュレートされた敵のトレードクラフトと実施されているセキュリティ コントロールによって異なります。 最初のシミュレーション シナリオに基づいて、収集して攻撃者の動作にマッピングできるセキュリティ イベントの一部を次に示します。
図 2: データ ソースにマッピングされた敵対的手法。
セキュリティ イベントはどのように収集されますか?
シミュレーション中に生成されたセキュリティ イベントは、次の API を使用して収集できます。
データセットはどこからダウンロードできますか?
新しい GitHub リポジトリを作成して生成されたすべてのセキュリティ イベントを保存するのではなく、すべてのデータセットをSecurity Datasets プロジェクトのGitHub リポジトリに提供しています。これは、事前に記録されたデータセットを情報セキュリティ (InfoSec) コミュニティと共有して、データ分析と脅威研究を促進するために開発されたコミュニティ主導の取り組みです。これは、 Open Threat Researchコミュニティによって作成および維持されている、もう 1 つのオープンソース イニシアチブです。
データセットで何ができますか?
データセットを共有すると、セキュリティ研究者が攻撃手法の基本的な動作を理解できるようになるだけでなく、次のことにも役立ちます。
- 検出ルールの開発と検証を促進します。
- 一連のイベントを特定して検証し、攻撃者の行動をモデル化します。
- 初期調査と機能開発のために、ラベル付きおよびラベルなしのデータを促進します。
- 事前に記録されたイベントをデータ パイプラインに挿入することで、シミュレーション演習を自動化します。
- トレーニング資料を補完し、データ分析のユース ケースの作成を促進します。
- データを使用して課題を作成し、コラボレーションを促進する、キャプチャー ザ フラッグやハッカソンなどの社内イベントまたはコミュニティ イベントの作成を促進します。
次は何ですか
この最初のデータセットを使用して、ラボ環境で生成したセキュリティ イベントを新しいラボ ガイドとともにリリースすることを約束します。また、プロジェクトとデータ収集戦略を改善するために、新しいデータ ソースの特定にご協力いただければ幸いです。
もっと詳しく知る
このオープンソース イニシアチブの詳細については、 SimuLand GitHub リポジトリにアクセスしてください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments