О релизе №25 от 17.04.2025

Мы постоянно работаем над расширением и улучшением экспертизы для R-Vision SIEM.

Кратко о релизе

  • Разработали 31 новое правило детектирования для Microsoft Windows, Linux, Garda WAF, MS SQL, VMware vCenter and ESXI.

  • В 133 правилах детектирования для Windows убрано множественное экранирование. Теперь информация в правилах лучше воспринимается, а правила становятся совместимы с различными сборщиками и транспортами событий в SIEM.

  • В существующих правилах для VMware vCenter поддержали VMware ESXi.

  • Разработали правила нормализации для двух новых источников: Microsoft ADDS, Garda DLP

  • Внесли исправления и улучшения для существующих правил нормализации

Правила нормализации

Новые правила

  • Microsoft ADDS

  • Нормализация Garda DLP

Улучшения и исправления

  • Microsoft Security и System - Убрано некорректное экранирование символа "\" в событиях

  • Garda WAF - Скорректирована запись наименования роли в поля события

  • Garda Monitor - Внесены небольшие исправления

  • Linux Auditd - Добавлено поле ses в sourceSessionId

  • PT ISIM - Расширен перечень обрабатываемых типов событий

  • Контнент 4 - Исправлены типы данных для корректной записи в поля нормализованного события

  • WinLogBeat - Убрано некорректное экранирование символа "\" в событиях

  • 1C - Внесены небольшие исправления

  • KSC - Исправлено заполнение поля .suser в событиях редактирования групп

Правила детектирования

Новые правила

  • Microsoft Windows:

    • Добавление файла в директорию расширения браузера

    • Добавление расширения в браузер средством CLI

  • Linux:

    • Добавление расширения в браузер средством CLI Linux

    • Добавление файла в расширения браузера Linux

  • Garda WAF:

    • Добавление пользователю критичной роли Garda WAF

    • Множественные атаки на веб-приложение Garda WAF

    • Атака на веб-приложение Garda WAF

    • Множественная атака на веб-приложение Garda WAF

    • Отключение или изменение паттерна Garda WAF

    • Подбор пароля пользователя к Garda WAF

    • Успешный подбор пароля к Garda WAF

    • Атака Password Spraying к Garda WAF

  • MS SQL:

    • Создание резервных копий MSSQL средствами PowerShell

    • Включение небезопасных параметров в конфигурации MSSQL

    • Отключение политики входа пользователей MS SQL

    • Установка небезопасного свойства MS SQL

    • Попытка включить смешанную аутентификацию MS SQL

    • Получение информации об алгоритме шифрования БД

    • Получение информации о пользователях ОС

    • Доступ к локальной файловой системе MSSQL

    • Поиск пользователей с административными правами в MSSQL

    • Получение информации о пользователях MSSQL

    • Получение информации о версии MSSQL

    • Получение информации о привилегиях пользователя MSSQL

    • Получение хеша пароля пользователей MSSQL

  • VMware vCenter и ESXi:

    • Обнаружение уязвимой конфигурации ESXi

    • Использование утилит ESXi через CLI

    • Использование find в ESXi

    • Создание ssh-туннелей на ESXi

    • Остановка критичного сервиса ESXi

  • Kaspersky Endpoint Security:

    • Подключение недоверенного устройства

Улучшения и исправления

  • Microsoft Windows:

    • В 133 правилах детектирования для Windows убрано множественное экранирование.

  • VMware vCenter and ESXi:

    • Клонирование нескольких критичных виртуальных машин - актуализирован data_source.

    • Клонирование критичной виртуальной машины - актуализирован data_source.

    • Эксплуатация уязвимости CVE-2021-22005 на сервере vCenter - актуализирован data_source.

    • Доступ к критичным файлам на сервере vCenter - актуализирован data_source.

    • Изменена конфигурация критичной виртуальной машины - поддержан ESXi.

    • Выгрузка нескольких файлов с критичной виртуальной машины - поддержан ESXi.

    • Изменена конфигурация нескольких критичных виртуальных машин - поддержан ESXi.

    • Выгрузка файла с критичной виртуальной машины - поддержан ESXi.

    • Обнаружена атака Password Spraying - поддержан ESXi.

    • Возможно успешный подбор пароля пользователя на VMware - поддержан ESXi.

    • Множественные неуспешные попытки аутентификации пользователя - поддержан ESXi.

    • Вход под привилегированной учетной записью с неизвестного хоста - поддержан ESXi.

    • Изменение аудита виртуальной инфраструктуры - актуализирован data_source.

    • Отключено несколько критичных виртуальных машин - поддержан ESXi.

    • Отключена критичная виртуальная машина - поддержали ESXi.

    • Удалено несколько критичных виртуальных машин - поддержан ESXi.

    • Удалена критичная виртуальная машина - shost заменен на dhost.

    • Создание множества виртуальных машин - shost заменен на dhost.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение