О релизе № 8 от 10.02.2026

Добавлено правило нормализации для NGFW.

Добавлено правило нормализации для MongoDB Enterprise.

Добавлено правило нормализации для Redis Enterprise Software.

Добавлено правило нормализации для SOAR.

Добавлено правило нормализации для TDP.

Добавлено правило нормализации для RouterOS.

Добавлено правило нормализации для VMWare Horizon.

Добавлено правило нормализации для MySQL.

Добавлено правило нормализации для Confluence.

Добавлено правило нормализации для KWTS.

Добавлено правило нормализации для Sandbox.

Добавлено правило нормализации для 1С:Предприятие.

Jira: исправлено заполнение полей категоризации.

Exchange: исправлен маппинг src_user_dn.

IIS: добавлена обработка косой черты в имени пользователя для событий Exchange.

Sysmon: исправлен маппинг array_field1.

Windows Security: добавлена нормализация новых полей в событии 4719, обновлена таблица обогащения.

Вход с разных хостов на один хост под одной учетной записью.

Сокрытие данных в атрибутах файлов NTFS.

Вход на устройство под разными учетными записями.

Скрытие учетной записи через реестр Windows.

Вход на несколько узлов под одной учетной записью.

Обнаружена попытка дампа NTDS.dit.

Обнаружение атаки Password Spraying на Exchange.

Зафиксировано изучение общих сетевых ресурсов.

Подбор пароля к учетным записям Exchange.

Пользователь из черного списка вошел в Exchange.

Атака Password Spraying.

Перечисление ключей реестра для разведки.

Запуск множества подозрительных команд.

Вход под несуществующим пользователем.

Разведка процессов.

Запуск whoami с правами системы.

Изменение пароля пользователя или хоста с помощью Ksetup.exe.

Сбор информации о сетевых подключениях.

Запуск процесса от другого пользователя.

Добавление пользователя в критичные локальные группы.

Изменение атрибута для скрытия файла через PowerShell.

Несистемный процесс повысил привилегии до системного.

Атака Bad USB Windows.

Эксплуатация уязвимости ProxyNotShell (CVE-2022-41082).

Эксплуатация утилиты LaZagne.

Разведка учетных записей.

Запуск aspnet_compiler.exe для компиляции в нетипичной директории.

Потенциальное выполнение скрипта через WScript/CScript.

Эксфильтрация данных через finger.exe.

Удаленный запуск процесса с помощью WMI.

Выполнение Sysinternals PsSuspend.

Попытка дампа LSASS c помощью утилиты HandleKatz.

Создание Self Extracting Package в подозрительном месте.

Извлечение cab-файлов через Wusa.EXE.

Отключение ETW провайдера .NET.

Запуск потенциально поддельного экземпляра hxtsr.exe.

Использование инструмента SharpMove.

Скачивание файла средствами MpCmpRun.EXE.

Добавление источника загрузки в Winget.

Разведка доменных трастов.

Зафиксировано изучение системного времени.

Подключение к SMB-папке по протоколу QUIC.

Удаленная отладка браузера Windows.

Использование утилиты Smbtakeover.

Отключение или модификация Windows Audit Log Policy.

Использование утилит для создания снимков экрана.

Загрузка файлов с использованием LOLBins InstallUtil.exe.

Эксплуатация уязвимости VSCode CVE-2023-46944.

Получение учетных данных из реестра.

Несистемный процесс повысил привилегии до системы.

Вход под учетной записью администратора.

Выполнение команд в системе от редактора кода VSCode.

Запуск интерпретатора командной строки от WinRAR.

Удаленное выполнение команд с помощью PsExec.

Запуск ssh.exe с подозрительными параметрами.

Атака Pass the Hash.

Перехват RDP-соединения.

Поиск процессов с уязвимыми модулями.

Установка удаленной сессии при помощи WMI.

Копирование веток реестра, содержащих хэши паролей.

Атака Kerberoasting.

Извлечение содержимого буфера в Windows.

Скрытие файла через attrib.exe.

Подозрительное выполнение Regasm/Regsvcs с нестандартным расширением.

Обнаружение компиляции исходного кода на Windows.

Создание обратного туннеля через ssh.exe.

Успешный подбор пароля к учетным записям Exchange.

Пользователь удалил доверие федерации из организации Exchange.

Пользователь изменил/удалил критическую группу рассылки.

Массовое удаление групп рассылок Exchange.

Пользователь создал/изменил политику назначения ролей управления.

Пользователь выполнил действие с ролью управления в Exchange.

Подключение к MikroTik с недоверенного IP.

Подбор пароля пользователя MikroTik.

Атака Password Spraying в MikroTik.

Злоупотребление расширенными атрибутами.

Изменение конфигурации OpenVPN Access Server.

Доступ к файлу с ключами и сертификатами OpenVPN.

Использование chisel для туннелирования трафика.

Изменение аудита виртуальной инфраструктуры.

Удалена критичная виртуальная машина.

Кража токена доступа из системного процесса: исправлен активный список на duplicate_token_legitimate_processes_cimv2.

Запуск файла без расширения: скорректировано исключение.

Добавлен фильтр в правила Linux для совместимости с Endpoint.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 30.01.2026.