О релизе №24 от 02.04.2025

Мы постоянно работаем над расширением экспертизы и ее улучшениям для R-Vision SIEM.

Кратко о релизе

  • В правилах детектирования брутфорса и манипуляции с пользователями на Linux поддержали журналы auth.log и Auditd.

  • Правила Windows перевели на новый формат data_source.

  • Разработали правила нормализации для двух новых источников: Континент 4, Linux auth.log.

  • Внесли улучшения для уже существующих правил нормализации и детектирования.

Правила нормализации

Новые источники

  • Континент 4: нормализация событий из БД (PgSQL).

  • Linux: покрытие журнала auth.log.

Улучшения и исправления

  • Garda WAF: добавлена обработка событий ролей.

  • PTAFv3: исправлен маппинг поля request.

  • Windows Sysmon: оптимизирован фильтр событий.

  • PT Sandbox: оптимизирован парсинг событий с учетом формата.

  • Garda Monitor: добавлена нормализация событий из системных журналов.

Правила детектирования

Улучшения и исправления

  • Microsoft Windows:

    • Скорректировано заполнение поля data_source в связи со сменой формата.

  • Linux:

    • Создание пользователя или группы — поддержаны auth.log и auditd.

    • Создание и удаление учетных записей в короткий период времени — поддержаны auth.log и auditd.

    • Успешный подбор пароля на хосте Linux — поддержаны auth.log и auditd.

    • Подбор пароля на хосте Linux — поддержаны auth.log и auditd.

    • Успешный подбор пароля пользователя Linux — поддержаны auth.log и auditd.

    • Подбор пароля пользователя Linux — поддержаны auth.log и auditd.