О релизе № 12 от 08.04.2026
Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.5.0 и выше.
Кратко о релизе
-
Добавлены новые индикаторы компрометации ФСТЭК России в период с 26.03.2026 по 03.04.2026.
-
Внесены улучшения и исправления в правила нормализации для ClickHouse, Kaspersky, Linux, HPE ArubaOS и Microsoft Windows.
-
Внесены улучшения и исправления в правила детектирования для Microsoft Windows.
-
Поддержаны новые источники: pfSense, PT Application Firewall 4, Microsoft DNS Server, Microsoft ECM, Microsoft SCOM, Гарда NDR, Jenkins, HP ProCurve, Cisco IOS XR, Cisco IOS XE и S-Terra Gate.
-
Добавлены новые правила детектирования для Solar Web Proxy, S-Terra Gate, Kaspersky, MikroTik, Cisco ASA, PT Application Firewall 4 и Microsoft SQL Server.
Правила нормализации
Новые правила
-
pfSense:
-
Добавлено правило нормализации для pfSense.
-
-
Positive Technologies:
-
Добавлено правило нормализации для событий аудита Application Firewall 4.
-
-
Microsoft:
-
Добавлено правило нормализации для DNS Server.
-
Добавлено правило нормализации для ECM.
-
Добавлено правило нормализации для SCOM.
-
-
Гарда:
-
Добавлено правило нормализации для Гарда NDR.
-
-
Jenkins:
-
Добавлено правило нормализации для Jenkins.
-
-
HP:
-
Добавлено правило нормализации для ProCurve.
-
-
Cisco:
-
Добавлено правило нормализации для IOS XR.
-
Добавлено правило нормализации для IOS XE.
-
-
S-Terra:
-
Добавлено правило нормализации для Gate ST.
-
Улучшения и исправления
-
ClickHouse:
-
ClickHouse: исправлена нормализация.
-
-
Kaspersky:
-
Security Center: донормализация событий
000000d5,000000d3.
-
-
Linux:
-
secure/auth: исправлена обработка ошибок.
-
-
HPE:
-
ArubaOS: исправлена таблица обогащения.
-
-
Microsoft:
-
Windows Security: добавлена нормализация событий
4608,4609,4611,4616,4634и новых типов событий.
-
Правила детектирования
Новые правила
-
Solar:
-
Изменение критичных ролей Solar Web Proxy.
-
Создание нового пользователя в Solar Web Proxy.
-
Вход привилегированной учетной записи с неизвестного IP в SWP.
-
-
S-Terra:
-
Вход в привилегированный режим на S-Terra Gate.
-
Настроена отправка логов на неизвестный узел.
-
Удален файл на S-Terra Gate.
-
Выдача максимальных привилегий для пользователя.
-
Изменен пароль для привилегированного режима.
-
Создан пользователь на S-Terra Gate.
-
Очищен файл конфигурации на S-Terra Gate.
-
Отключена отправка событий на S-Terra Gate.
-
Подбор пароля для привилегированного режима.
-
-
Kaspersky:
-
Самозащита антивируса ограничила доступ к защищаемому ресурсу.
-
Выключение механизма самозащиты KES.
-
-
MikroTik:
-
Изменение конфигураций фильтра в MikroTik.
-
-
Cisco:
-
Подбор пароля через SSH к Cisco ASA.
-
Успешный подбор пароля через SSH к Cisco ASA.
-
Доступ к привилегированному режиму после авторизации.
-
Успешный подбор пароля в привилегированный режим Cisco ASA.
-
-
Positive Technologies:
-
Попытка удаленного выполнения кода.
-
Атака на веб-ресурс.
-
Внедрение SQL-кода.
-
Атака типа SSRF.
-
Атака типа CSRF.
-
Атака типа XSS.
-
Попытка эксплуатации уязвимостей.
-
Атака на различные веб-ресурсы.
-
Атака с загрузкой файла.
-
Использование сканера уязвимостей.
-
Множество атак на веб-ресурс.
-
Подбор пароля к форме авторизации.
-
-
Microsoft SQL Server:
-
Выгрузка ключа шифрования или сертификата MSSQL.
-
Поиск по регулярному выражению в объектах БД.
-
Улучшения и исправления
-
Microsoft Windows:
-
Изменение атрибута для скрытия файла через PowerShell: исправление фильтра для исключения ложных срабатываний.
-
Добавление исполняемого файла к профилю PowerShell: исправление фильтра для исключения ложных срабатываний.
-
-
Общее:
-
Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 26.03.2026 по 03.04.2026.
-
Была ли полезна эта страница?
