О релизе №34 от 06.08.2025

Мы постоянно работаем над расширением экспертизы и ее улучшениям для R-Vision SIEM.

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.

Кратко о релизе

  • Добавили проверку новых индикаторов компрометации ФСТЭК России от 31.07.2025.

  • Скорректировали фильтры и провели рефакторинг в ряде правил детектирования.

  • Поддержали нормализацию событий от нового источника: Multifactor - Система многофакторной аутентификации и контроля доступа для любого удалённого подключения

  • Внесли исправления и улучшения в правила нормализации

Правила нормализации

Новые правила

  • Multifactor - Добавлено правило нормализации

Улучшения и исправления

  • Checkpoint NGFW - исправлен багом с некорректным типом поля deviceTranslatedAddress

  • Xello Deception - добавлена обработка отрицательных значений

  • MS Windows Security - актуализирована версия правила

  • MS Windows Security - внесено исправление в маппинг поля shost события EventId 4768

  • Eltex ESR - переработка правила под актуальный формат событий источника

  • VMware vCenter - Добавлена нормализация новых типов событий (управление ролями пользователей)

Правила детектирования

Новые правила

  • Windows:

    • Создание дампа NTDS.dit

  • KSC:

    • Устройство давно не подключалось к серверу KSC

  • Linux:

    • Использование chisel для туннелирования трафика

Улучшения и исправления

  • Общее:

    • Таблица IoC: добавлены новые индикаторы ФСТЭК России от 31.07.2025.

  • Microsoft Windows:

    • Добавление файла в директорию расширения браузера: расширен фильтр.

    • Изменение пароля через утилиту mimikatz: добавлен общий фильтр.

    • Использование вредоносных утилит: скорректирован фильтр событий 4103, 4104.

    • Порт RDP по умолчанию изменен на нестандартный: скорректирован фильтр.

    • Зафиксировано использование WinApi через PowerShell: исправлен блок формирования событий.

    • Перечисление учетных записей в домене методом перебора: добавлена проверка принадлежности к контроллерам домена в фильтре, переписано в декларативный формат.

    • Изменение критичных параметров сервиса: скорректирован фильтр.

  • Linux:

    • Использование сетевых утилит Linux для сканирования сети: добавлен общий фильтр.

    • Изменение критичных файлов конфигурации интерактивной оболочки: скорректирован фильтр, добавлено исключение.

    • Использование хакерской утилиты в Linux: добавлен общий фильтр.

  • Atlassian Confluence:

    • Выполнение OGNL инъекции через Java-выражения в Confluence: исправлен общий фильтр

  • KSC:

    • Не было удалено обнаруженное средствами АВЗ ВПО: убран compact в on_correlate и скорректирован фильтр.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies