О релизе №22 от 04.03.2025

Мы постоянно работаем над расширением экспертизы и ее улучшениям для R-Vision SIEM.

Кратко о релизе

Разработали правила нормализации для 2 новых источников: OpenVPN Access Server, Microsoft AD DS.
Разработали 15 правил детектирования для Kubernetess, Microsoft SQL Server, 7-Zip, JetBrains TeamCity, Microsoft Windows (выявление способов повышения привилегий).
Внесли улучшения для уже существующих правил нормализации и детектирования.

Microsoft Windows:
- Удаленное выполнение команд с помощью PsExec
- Эксплуатация Mark-of-the-Web bypass
- Изменение SID-History
- Запуск процесса от другого пользователя
- Подмена PID родительского процесса
JetBrains TeamCity:
- Эксплуатация CVE-2023-42793 в JetBrains TeamCity
Linux:
- Отключение мандатного контроля целостности
Microsoft SQL Server:
- Изменение пароля привилегированной УЗ MS SQL Server
- Назначена роль администратора пользователю MS SQL Server
- Удаление базы данных в MS SQL Server
- Удаление нескольких таблиц в MS SQL Server
- Создание резервной копии БД MS SQL Server
- Получение информации об аудите MS SQL Server
- Изменение аудита базы данных MS SQL Server
Kubernetess:
- Запуск интерактивной оболочки в контейнере

Общее:
- Скорректировано заполнение поля data_source в связи со сменой формата.
Microsoft Windows:
- Чтение Ticket CCACHE файла - оптимизация правила
- Успешный подбор пароля пользователя FreeIPA - оптимизация правила
- Закрепление через Shim - уменьшение количества ложноположительных срабатываний.
- Поиск данных в сетевых папках Windows - уменьшение количества ложноположительных срабатываний.
- Доступ к чувствительному сетевому диску Windows - уменьшение количества ложноположительных срабатываний.
- Запуск файла без расширения - уменьшение количества ложноположительных срабатываний.
- Журнал событий Windows был очищен - скорректировано уведомление.
- Отключение или модификация Windows Audit Log Policy - оптимизация правила.
KSC:
- Повторное заражение хоста одним вирусом - переведено в декларативный формат