О релизе №26 от 30.04.2025

Мы постоянно работаем над расширением и улучшением экспертизы для R-Vision SIEM.

Кратко о релизе

В части правил детектирования провели рефакторинг, скорректировали фильтры и исключения для уменьшения ложно-положительных срабатываний, перевели правила для KSC на новый формат data_source.

Разработали правила нормализации для нового источника: Huawei USG. Внесли исправления и улучшения в существующие правила нормализации.

Правила нормализации

Новые правила

Huawei USG: покрытие нового источника.

Улучшения и исправления

Redis: исправлено наименование правила.
Garda WAF: исправлено наименование вендора в поле dvendor.
Garda DBF: исправлено наименование вендора в поле dvendor.
Garda DLP: исправлено наименование вендора в поле dvendor.
Garda NDR: исправлено наименование вендора в поле dvendor.
ViPNet IDS: исправлено заполнение поля severity.
Microsoft Windows Security: внесены небольшие исправления в правило.
KSC: исправлено заполнение полей duser, suser c двумя и более пользователями в событиях KES.
Bitrix24: внесены небольшие исправления.
Aurora Center: исправлено заполнение поля outcome.
Auditd: добавлено декодирование полей dproc, fname при записи значений в HEX-формате.

Правила детектирования

Новые правила

Microsoft Windows

Улучшения и исправления

Microsoft Windows:
- Структура AD была экспортирована средствами Ldifde.exe: рефакторинг правила.
- Манипулирование запланированными задачами через реестр: рефакторинг правила.
- Включение или отключение учетной записи: рефакторинг правила.
- Включение переменных среды COR Profiler: рефакторинг правила.
- Запуск файла без расширения: корректировка фильтра.
- Вход под учетной записью администратора: добавлен активный список.
- Возможно успешный подбор пароля пользователя: перенос в декларативный формат.
- Вход на несколько узлов под одной учетной записью: перенос в декларативный формат.
Linux:
- Изменение файлов в домашнем каталоге другим пользователем: скорректирован фильтр.
- Модификация файлов MOTD в Linux: добавление исключений.
- Изменение критичных файлов конфигурации интерактивной оболочки: добавление исключений.
- Закрепление при помощи утилиты Trap: рефакторинг правила.
- Остановка критичных сервисов в Linux: рефакторинг правила.
- Разведка доменных УЗ в Linux: рефакторинг правила.
- Изменение tmp файлов логирования Linux: добавление исключений.
- Загрузка файла сервисной учетной записью: корректировка фильтра.
- Отключение или модификация Syslog Linux: корректировка фильтра.
- Копирование стандартных исполняемых файлов (маскарадинг утилит): добавление исключений.
- Чтение файлов с пользовательскими учетными данными: добавление исключений.
- Обнаружена команда reverse/bind shell: корректировка фильтра.
- Успешный подбор пароля пользователя Linux: правило совместимо с secure журналом.
- Подбор пароля пользователя Linux: правило совместимо с secure журналом.
- Успешный подбор пароля на хосте Linux: правило совместимо с secure журналом.
- Подбор пароля на хосте Linux: правило совместимо с secure журналом.
- Создание и удаление учетной записи в короткий период времени: правило совместимо с secure журналом.
- Создание пользователя или группы: правило совместимо с secure журналом.
KSC:
- Общее: новый формат datasource для всех правил KSC.
- Зафиксирован переход по опасной ссылке: добавлен троттлинг.
FreeIPA:
- Изменение оболочки входа средствами FreeIPA: рефакторинг правила.
- Подбор пароля пользователя FreeIPA: рефакторинг правила.
VMware vCenter и ESXi:
- Эксплуатация уязвимости CVE-2021-21972 на сервере vCenter: актуализирован data_source.

Удаленные правила

Linux:
- Дамп учетных записей Linux: логика правила покрывается правилом "Чтение файлов с пользовательскими учетными данными".