О релизе №35 от 20.08.2025
Мы постоянно работаем над расширением экспертизы и ее улучшением для R-Vision SIEM.
Кратко о релизе
-
Разработали одно новое правило нормализации для источника UserGate MTA.
-
Добавили нормализацию для частных событий в правилах Cisco ASA, Cisco IOS, HPE ArubaOS-CX и R-Vision TDP.
-
Разработали одно новое правило детектирования для источника VMware vCenter и ESXi.
-
Добавили проверку новых индикаторов компрометации ФСТЭК России от 08.08.2025.
-
Скорректировали фильтры и провели рефакторинг в ряде правил детектирования.
Правила нормализации
Улучшения и исправления
-
Cisco ASA: добавлена обработка события типа ICMP flood.
-
Cisco IOS: добавлена обработка множества частных событий.
-
HPE ArubaOS-CX: добавлена обработка множества частных событий.
-
VMware vCenter и ESXi: выполнена оптимизация элементов кода правила.
-
R-Vision TDP: добавлена обработка множества частных событий.
Правила детектирования
Улучшения и исправления
-
Общее:
-
Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 08.08.2025.
-
-
Microsoft Windows:
-
Интерактивный вход под сервисной учетной записью: добавлен активный список для сервисных учетных записей.
-
Создание дампа NTDS.dit: скорректировано описание.
-
-
Linux:
-
Разведка установленного ПО в Linux: рефакторинг правила.
-
-
Atlassian Confluence:
-
Эксплуатация уязвимости в Confluence — CVE-2023-22518: исправлена тактика в тегах.
-
-
VMware vCenter и ESXi:
-
Клонирование нескольких критичных виртуальных машин: доработан data_source.
-
-
KSC:
-
Устройство давно не подключалось к серверу KSC: дополнено описание.
-
-
Eltex vESR:
-
Успешный подбор пароля к маршрутизатору Eltex vESR: доработан фильтр.
-
Подбор пароля к маршрутизатору Eltex vESR: доработан фильтр.
-
Подбор пароля к маршрутизатору Eltex vESR методом Password Spraying: доработан фильтр.
-
Вход привилегированного пользователя на маршрутизатор Eltex vESR с неизвестного хоста: доработан фильтр.
-
