О релизе № 2 от 05.11.2025

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.

Кратко о релизе

  • Внесены исправления в правила нормализации для BI.ZONE EDR, Microsoft PowerShell, Microsoft Windows System, Passwork.

  • Поддержаны новые источники: Linux Auth, FreeIPA, Passwork, PT NAD, OpenVPN, PT AF 4, Microsoft IIS.

Правила нормализации

Новые правила

  • Linux Auth: добавлено правило нормализации для источника.

  • FreeIPA: добавлено правило нормализации для источника.

  • Passwork: добавлено правило нормализации для источника.

  • PT NAD: добавлено правило нормализации для источника.

  • OpenVPN: добавлено правило нормализации для источника.

  • PT AF 4: добавлено правило нормализации для источника.

  • Microsoft IIS: добавлено правило нормализации для источника.

Улучшения и исправления

  • BI.ZONE EDR: оптимизированы правила обработки событий от Windows и Linux.

  • Microsoft PowerShell: добавлена корректная обработка событий со знаками экранирования.

  • Microsoft Windows System: в правиле доработаны наименования кастомных полей.

  • Passwork: доработан маппинг полей.

Правила детектирования

Новые правила

  • Microsoft Windows:

    • Создан сервис с подозрительными параметрами.

    • Установлен сервис не из системного/стандартного пути.

    • Создание или изменение сервиса с помощью командной строки.

    • Зафиксированы подозрительные операции при помощи WMI.

    • Разведка ключей реестра.

    • Разведка системы при помощи WMI.

    • URL-схема в командной строке процесса.

    • Перечисление учетных записей в домене методом перебора.

    • Подбор пароля учетной записи на хосте.

  • Linux:

    • Изменение файлов в домашнем каталоге другим пользователем.

    • Чтение файлов с закрытыми ключами SSH.

    • Чтение памяти процессов на Linux.

  • Passwork:

    • Успешный брутфорс Passwork.

    • Брутфорс Passwork.

    • Изменение прав роли.

    • Массовое удаление сейфов, папок, паролей.

    • Добавление пользователя в критичный сейф.

    • Включение заблокированной УЗ.

    • Множественный просмотр паролей за короткий промежуток времени.

    • Массовое удаление учетных записей.

  • VMware:

    • Доступ к критичным файлам на сервере ESXi.

    • Эксплуатация уязвимости CVE-2021-22005 на сервере vCenter.

    • Эксплуатация уязвимости CVE-2021-21972 на сервере vCenter.

    • Доступ к критичным файлам на сервере vCenter.

    • Вызов и выполнение Guest API в гостевой ОС.

    • Использование find в ESXi.

    • Обнаружение уязвимой конфигурации ESXi.

    • Изменение конфигурации нескольких критичных виртуальных машин.

    • Удаление или отключение логирования команд.

    • Использование chmod в ESXi через CLI.

    • Изменение конфигурации критичной виртуальной машины.

    • Изменение меток времени через touch.

    • Маскировка через переименование/подмену index.html.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь