О релизе №33 от 23.07.2025

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.

Кратко о релизе

Внесли исправления и улучшения в правила нормализации.
Разработали одно новое правило детектирования для источника VMware ESXi.
Добавили проверку новых индикаторов компрометации ФСТЭК России от 09.07.2025.
Скорректировали фильтры и провели рефакторинг в ряде правил детектирования.
Удалили правило детектирования "Изменение сервисов Linux".

Правила нормализации

Улучшения и исправления

Xello Deception: добавлена обработка отрицательных значений.
Security Account Logon: сделан инкремент версии правила.
Windows Security: скорректировано событие с EventID 4768 (удален shost).

Правила детектирования

Новые правила

VMware vCenter и ESXi:
- Лишение пользователя доступа к ESXi.

Улучшения и исправления

Общее:
- Таблица IoC: добавлены новые индикаторы ФСТЭК России от 09.07.2025.
Microsoft Windows:
- Отключение или модификация Windows Defender: расширен фильтр.
- Отключение ETW провайдера PowerShell: скорректирован фильтр.
- Вход под несуществующим пользователем: добавлен троттлинг.
- Запуск скрипта из временной директории: проведена оптимизация, добавлены исключения.
- Обнаружение стеганографии в Windows: скорректирован data_source.
- Туннелирование с использованием ngrok: скорректирован data_source.
- Удалена глобальная группа с включенной безопасностью: исправлен фильтр.
- Сброс пароля от учетной записи через утилиту mimikatz: добавлен общий фильтр.
- Отключение снапшотов томов: переработана логика правила.
- Защита от записи для хранилища отключена: переработана логика правила.
Linux:
- Изменение критичных файлов Linux: скорректированы теги.
- Добавление/удаление модулей ядра Linux: добавлен общий фильтр.
- Загрузка файла с помощью утилит GTFOBins: добавлена проверка в фильтре.
- Изменение tmp файлов логирования Linux: обновлен фильтр для снижения FP.
- Разведка локальных УЗ в Linux: рефакторинг правила.
VMware vCenter и ESXi:
- Использование утилит ESXi через CLI: расширен фильтр.
KSC:
- Удалено обнаруженное средствами АВЗ ВПО: расширен фильтр.
- Зафиксированы устаревшие базы антивирусного ПО Kaspersky: рефакторинг правила.
- Отключение компонентов защиты продуктов Kaspersky: рефакторинг правила.
- Отключение продукта Kaspersky в результате выполнения задачи: рефакторинг правила.
- Множество хостов заражены одним типом ВПО: перенесено в декларативный формат.
- Множественное срабатывание вердиктов средств АВЗ на одном хосте: перенос в декларативный формат.
PostgreSQL:
- Разведка структуры базы данных PostgreSQL: рефакторинг правила.
- Изменение файла конфигурации базы данных PostgreSQL: рефакторинг правила.
JetBrains TeamCity:
- Скорректировано заполнение поля data_source в связи со сменой формата.
Atlassian Confluence:
- Скорректировано заполнение поля data_source в связи со сменой формата.

Удаленные правила

Linux:
- Изменение сервисов Linux: логика правила покрывается правилом "Изменение критичных файлов Linux" с помощью событий Auditd по модификации файлов по путям /etc/systemd и /usr/lib/systemd.