О релизе №30 от 11.06.2025

Мы постоянно работаем над расширением экспертизы и ее улучшением для R-Vision SIEM.

Кратко о релизе

Добавили проверку новых индикаторов компрометации ФСТЭК от 06.06.2025.
Выпустили базовый набор правил детектирования для MySQL.
Расширили покрытие Kubernetes и MS SQL.
Включили в пакет экспертизы схемы типовых дашбордов.
Внесли улучшения и исправления в правила нормализации для ранее поддержанных источников.

Дашборды: в релиз включены дашборды, доступные для импорта из пака экспертизы.

Linux и Windows: внесены небольшие исправления в правила.
Cisco IOS XE: доработана нормализация событий, исправлен маппинг полей.
Microsoft SQL Server: добавлена обработка новых типов событий Backup Service Master Key.
OpenVPN: добавлена обработка новых типов событий.

Kubernetes:
- Назначение сервисного аккаунта контейнеру в kube-system.
- Создание контейнера с Linux Capabilities.
- Создание привилегированного пода k8s.
MS SQL:
- Поиск резервных копий базы данных.
- Использование хранимых процедур sp_proxy и sp_grant_proxy.
VMware vCenter и ESXi:
- Доступ к критичным файлам на сервере ESXi.
- Удаление или отключение логирования команд.
MySQL:
- Создание резервной копии MySQL.
- Изменение пароля учетной записи MySQL.
- Просмотр пользовательских данных MySQL.
- Получение списка подключений к MySQL.
- Остановка сессии пользователя в MySQL.
- Удаление базы данных в MySQL.
- Назначение прав администратора MySQL.
- Массовое удаление таблиц MySQL.
- Получение информации о версии MySQL.
- Изменение\удаление таблицы аудита MySQL.

Общее:
- Таблица IoC: добавлены новые индикаторы от ФСТЭК.
Kubernetes:
- Создание сервисного аккаунта k8s: скорректированы техники.
MySQL:
- Корректировка поля datasource: исправлено для источника MySQL.
- Список критичных сервисов Linux систем: добавлен сервис MySQL.
- Изменение критичных файлов Linux: добавлен файл конфигурации MySQL.
MS SQL:
- Вход привилегированного пользователя в Microsoft SQL Server: исправлена опечатка.