Detection Engineering: Practicing Detection-as-Code – Documentation – Part 4 文章介绍了如何利用Jinja模板将YAML和JSON文件转换为Markdown格式，并通过Azure DevOps管道自动化生成检测文档。同时，借助Git命令和Python脚本自动生成变更日志，并将其发布到Wiki中，确保团队能够及时了解检测库的变化。... 2025-8-26 08:0:0 | 阅读: 15 | 收藏 | NVISO Labs - blog.nviso.eu detections renamed packs quarter

Shedding Light on PoisonSeed’s Phishing Kit NVISO分析了PoisonSeed的MFA-resistant钓鱼工具包，该工具包模仿Google、SendGrid等公司登录界面，窃取用户凭证并绕过双重认证。攻击者利用这些信息建立基础设施以发送与加密货币相关的垃圾邮件，并自动化下载电子邮件列表。该工具包通过Precision-Validated Phishing技术验证用户身份，并捕获认证信息以实现对账户的完全控制。... 2025-8-12 08:0:0 | 阅读: 12 | 收藏 | NVISO Labs - blog.nviso.eu loginform victim phishing poisonseed

Detection Engineering: Practicing Detection-as-Code – Validation – Part 3 文章讨论了如何通过实施验证检查来提高检测存储库的质量和一致性。内容包括使用Azure Pipelines和JSON模式验证检测、内容包和存储库结构，并涵盖分支策略、URL检查、拼写验证等自动化流程。... 2025-8-5 07:2:0 | 阅读: 17 | 收藏 | NVISO Labs - blog.nviso.eu detections pipelines packs kusto displayname

Stop Hardcoding Passwords A Deep Dive into CyberArk’s Central CredentialProvider (CCP)Introd... 2025-8-1 07:0:0 | 阅读: 14 | 收藏 | NVISO Labs - blog.nviso.eu ccp cyberark tenable nessus security

Refinery raid 这篇文章介绍了如何使用Labshock搭建虚拟油厂环境，并通过Modbus协议进行渗透测试。文章详细指导如何在Ubuntu上安装Docker并构建Labshock环境，并演示了从侦察PLC和SCADA系统到通过Modbus协议读取和写入数据的过程。最终展示了如何编写Python脚本控制虚拟泵的操作，并讨论了现实中的类似攻击案例及其对工业控制系统安全的影响。... 2025-7-29 07:0:0 | 阅读: 15 | 收藏 | NVISO Labs - blog.nviso.eu plc labshock modbus pumps mbtget

Why Microsoft’s New Sentinel Data Lake Actually Matters 微软推出Sentinel Data Lake解决方案，帮助用户以更低的成本存储大量日志数据，并支持长期保留和历史查询。该方案将热数据和冷数据分开存储，热数据用于实时检测和快速查询，冷数据用于长期存储和合规需求。通过这种方式，用户可节省高达85%的成本，并实现长达12年的日志保留。... 2025-7-25 14:59:28 | 阅读: 12 | 收藏 | NVISO Labs - blog.nviso.eu lake tier kql hot cold

Detection Engineering: Practicing Detection-as-Code – Repository – Part 2 文章第二部分探讨了Detection-as-Code中设计检测存储库的关键要素，包括Git平台选择、分支策略、存储库结构、检测标准化、分类法及内容包，并强调根据团队需求调整设计以避免过度工程化。... 2025-7-17 08:0:0 | 阅读: 5 | 收藏 | NVISO Labs - blog.nviso.eu detections development repository network packs

Detection Engineering: Practicing Detection-as-Code – Introduction – Part 1 这篇文章介绍了检测工程（Detection Engineering）的基本概念和 Detection-as-Code 方法。通过 Detection Development Life Cycle (DDLC) 的六个阶段（需求收集、设计、开发、测试与部署、监控和持续测试），文章详细讲解了如何系统化地开发和管理威胁检测逻辑，并强调了 Detection-as-Code 在提升协作性、一致性、质量、效率和可扩展性方面的优势。这种方法适用于 MSSP 和内部 SOC 等场景。... 2025-7-8 08:0:0 | 阅读: 19 | 收藏 | NVISO Labs - blog.nviso.eu detections development software repository practicing

Tracking historical IP assignments with Defender for Endpoint logs 在网络安全事件中，追踪CEO笔记本电脑的IP地址变化以确定攻击者是否横向移动。利用微软Defender XDR和MDE工具中的DeviceNetworkInfo表，通过KQL查询分析IP地址历史，生成会话记录以识别设备连接时间段。... 2025-6-19 07:0:0 | 阅读: 15 | 收藏 | NVISO Labs - blog.nviso.eu ipaddresses sessionid adapter deviceid ipver

Intercepting traffic on Android with Mainline and Conscrypt 这篇文章介绍了Android系统中证书管理的变化，特别是从Android 14开始通过Mainline模块Conscrypt管理和更新根证书的方式。作者详细讲解了AlwaysTrustUserCerts模块如何支持从Android 7到16 Beta的版本，并通过复制用户证书到系统目录并挂载到Conscrypt的apex目录来解决HTTPS流量拦截问题。... 2025-6-5 07:0:0 | 阅读: 12 | 收藏 | NVISO Labs - blog.nviso.eu apex 1970 conscrypt security 0k

Crisis Management – Beacon in the Storm 本文探讨了危机管理在应对勒索软件等网络安全威胁中的重要性，强调了建立有效的危机管理团队和沟通策略的关键作用。通过透明的信息传递和内外部利益相关者的有效互动，企业可以更好地应对危机并减少损失。同时，合规性和事后总结也是提升企业抗风险能力的重要环节。... 2025-4-17 07:0:0 | 阅读: 7 | 收藏 | NVISO Labs - blog.nviso.eu crisis parties ransomware identify

How to hunt & defend against Business Email Compromise (BEC) 商业电子邮件泄露（BEC）是一种常见的网络攻击手段，通过钓鱼邮件获取用户凭证并访问敏感信息或发起内部钓鱼攻击。文章介绍了通过分析登录日志、地理位置等指标进行威胁狩猎的方法，并建议实施多因素认证、条件访问策略和提升用户安全意识以减少风险。... 2025-3-21 07:30:0 | 阅读: 25 | 收藏 | NVISO Labs - blog.nviso.eu ipaddress trusttype

Attack and Defense in OT: Enhancing Cyber Resilience in Industrial Systems with Red Team Operations 文章探讨了工业环境中运营技术（OT）安全的重要性，并通过红队评估模拟攻击展示了如何识别和缓解威胁。案例分析揭示了网络攻击和物理入侵的风险，并提出了加强邮件安全、权限管理、网络分段和物理安全等措施以提升安全性。... 2025-2-28 09:10:0 | 阅读: 20 | 收藏 | NVISO Labs - blog.nviso.eu network security operational attacker cleaning

What’s new for TIBER-EU? 本文总结了更新后的TIBER-EU框架，结合DORA TLPT要求，介绍了关键功能（CIFs）的定义与数量限制、角色与责任细化、多党及多司法管辖区测试、测试流程优化、场景与威胁情报报告要求以及紫队作为强制步骤等内容。... 2025-2-14 13:4:9 | 阅读: 14 | 收藏 | NVISO Labs - blog.nviso.eu tiber purple tlpt teaming dora

Backups & DRP in the ransomware era In today’s digital landscape, the threat of ransomware has forced organi... 2025-1-29 07:30:0 | 阅读: 13 | 收藏 | NVISO Labs - blog.nviso.eu backup cloud ransomware principles

Detecting Teams Chat Phishing Attacks (Black Basta) Attack DescriptionFor quite a while now, there has been a new ongoing... 2025-1-16 07:32:14 | 阅读: 20 | 收藏 | NVISO Labs - blog.nviso.eu microsoft bombing subjects

Microsoft Purview – Evading Data Loss Prevention policies IntroductionMicrosoft Purview is a comprehensive solution that helps organizations manage an... 2024-12-18 13:45:17 | 阅读: 9 | 收藏 | NVISO Labs - blog.nviso.eu sensitivity microsoft purview dlp security

Your Playbook to a better Incident Response Plan In 2023, 1271 incidents were reported to European Authorities via EIDAS, NISD, and EECC, a 20%... 2024-12-10 15:30:0 | 阅读: 19 | 收藏 | NVISO Labs - blog.nviso.eu defining exercises ransomware crisis blogpost

Building Cyber Resilience Against Ransomware Attacks Or, “Yet another ransomware blog post?”“Yet another ransomware blog post?” I hear you aski... 2024-12-3 17:37:21 | 阅读: 9 | 收藏 | NVISO Labs - blog.nviso.eu ransomware resilience crisis security

Wake up and Smell the BitLocker Keys Many enterprise laptops use BitLocker to provide full disk encryption (FDE) to protect sensitive... 2024-11-26 15:30:0 | 阅读: 6 | 收藏 | NVISO Labs - blog.nviso.eu tpm bitlocker vmk security chip