О релизе №28 от 28.05.2025
Кратко о релизе
-
Выпустили новое правило детектирования по распространению и проверке индикаторов компрометации от ФСТЭК.
-
Провели корректировку правил детектирования для снижения ложноположительных срабатываний и поддержания работоспособности правил в условиях изменившейся нормализации.
-
Внесли улучшения и исправления в правила нормализации для ранее поддержанных источников.
Правила нормализации
Улучшения и исправления
-
VMware ESXi: доработано правило, внесены исправления в нормализацию событий.
-
Huawei USG: внесены исправления в таблицу обогащения событий Huawei USG.
-
Check Point: добавлены поля status и deviceTranslatedAddress.
-
Linux Auth, R-Point, Auditd: изменено поле act для событий USER_LOGIN.
-
Linux Auditd: добавлено условие обработки spid и dpid.
-
Windows Security: адаптированы правила для работы с агентом R-Vision Endpoint.
-
VMware vCenter: изменена логика парсинга событий журнала vpxd.
Правила детектирования
Новые правила
-
Вышло универсальное правило для проверки индикаторов компрометации, предоставленных ФСТЭК.
-
Обнаружен индикатор компрометации.
-
Улучшения и исправления
-
Microsoft Windows:
-
Добавление пользователя в критичные локальные группы: скорректировано в соответствии с измененной нормализацией.
-
Попытка дампа процесса LSASS с помощью утилиты ProcDump: скорректирован фильтр для снижения ложноположительных срабатываний.
-
Использование вредоносных утилит: скорректирован фильтр для снижения ложноположительных срабатываний.
-
Запуск файла без расширения: добавлена фильтрация по журналу событий.
-
Установка ПО для удаленного доступа: добавлен новый тег.
-
Удаленное подключение к узлу через туннелирование в VSCode: добавлен новый тег.
-
Возможность использования обфускации PowerShell: добавлен новый тег.
-
Запуск интерпретатора командной строки от WinRAR: добавлен новый тег.
-
Добавление файла в директорию расширения браузера: добавлен новый тег.
-
Добавление расширения в браузер средством CLI: добавлен новый тег.
-
Выполнение команд в системе от редактора кода VSCode: добавлен новый тег.
-
Атака Bad USB Windows: добавлен новый тег.
-
Добавление пользователя в критичные доменные группы: в список критичных добавлена группа ESX Admins.
-
Возможность использования WinAPI через PowerShell: проведен рефакторинг правила.
-
-
Linux:
-
Создание/изменение правила nf_tables: добавлено исключение для системного пользователя.
-
Загрузка кода в процесс Linux: изменен фильтр для снижения ложноположительных срабатываний.
-
Успешный подбор пароля на хосте Linux: добавлена группировка по cat.
-
Подбор пароля на хосте Linux: скорректировано правило в соответствии с обновленной нормализацией.
-
Подбор пароля пользователя Linux: скорректировано правило в соответствии с обновленной нормализацией.
-
Успешный подбор пароля пользователя Linux: скорректировано правило в соответствии с обновленной нормализацией.
-
Изменение сервисов Linux: добавлен новый тег.
-
Добавление файла в расширения браузера Linux: добавлен новый тег.
-
Добавление расширения в браузер через CLI Linux: добавлен новый тег.
-
Загрузка файла с помощью утилит GTFOBins: обновлена логика правила.
-
-
KSC:
-
Отключение задачи средств AV-защиты Kaspersky: исключены обновления.
-
Подключение недоверенного устройства: добавлен новый тег.
-
-
FreeIPA:
-
Добавление HBAC-правила через FreeIPA: проведен рефакторинг правила.
-
-
VMware vCenter и ESXi:
-
Использование утилит ESXi через CLI: дополнен фильтр проверки esxcli.
-
Использование find в ESXi: добавлены теги техник MITRE для ESXi.
-
Эксплуатация уязвимости CVE-2021-21972 на сервере vCenter: добавлены теги техник MITRE для ESXi.
-
Обнаружение уязвимой конфигурации ESXi: добавлены теги техник MITRE для ESXi.
-
Доступ к критичным файлам на сервере vCenter: добавлены теги техник MITRE для ESXi.
-
Эксплуатация уязвимости CVE-2021-22005 на сервере vCenter: добавлены теги техник MITRE для ESXi.
-
Создание ssh-туннелей на ESXi: добавлены теги техник MITRE для ESXi.
-
Обнаружение атаки Password Spraying: добавлены теги техник MITRE для ESXi.
-
Выгрузка нескольких файлов с критичной виртуальной машины: скорректировано в соответствии с измененной нормализацией.
-
Выгрузка файла с критичной виртуальной машины: скорректировано в соответствии с измененной нормализацией.
-
Изменение конфигурации критичной виртуальной машины: скорректировано в соответствии с измененной нормализацией.
-
Изменение конфигурации нескольких критичных виртуальных машин: скорректировано в соответствии с измененной нормализацией.
-
Изменение аудита виртуальной инфраструктуры: скорректировано в соответствии с измененной нормализацией.
-
Удаление критичной виртуальной машины: скорректировано в соответствии с измененной нормализацией.
-
Клонирование критичной виртуальной машины: скорректировано в соответствии с измененной нормализацией.
-
Клонирование нескольких критичных виртуальных машин: скорректировано в соответствии с измененной нормализацией.
-
Отключение критичной виртуальной машины: скорректировано в соответствии с измененной нормализацией.
-
Отключение нескольких критичных виртуальных машин: скорректировано в соответствии с измененной нормализацией.
-
Создание множества виртуальных машин: скорректировано в соответствии с измененной нормализацией.
-
Удаление нескольких критичных виртуальных машин: скорректировано в соответствии с измененной нормализацией.
-
-
Гарда WAF:
-
Множественная атака на веб-приложение Гарда WAF: скорректировано в соответствии с измененной нормализацией.
-
Множественные атаки на веб-приложение Гарда WAF: скорректировано в соответствии с измененной нормализацией.
-
Атака на веб-приложение Гарда WAF: скорректировано в соответствии с измененной нормализацией.
-
Подбор пароля пользователя к Гарда WAF: скорректировано в соответствии с измененной нормализацией.
-
Успешный подбор пароля к Гарда WAF: скорректировано в соответствии с измененной нормализацией.
-
