О релизе № 10 от 11.03.2026

Добавлено правило нормализации для Xello Deception.

Добавлено правило нормализации для TeamCity.

Добавлено правило нормализации для Oracle Database.

Добавлено правило нормализации для Dr.Web Enterprise Security Suite.

Добавлено правило нормализации для Remote Desktop Services.

Добавлено правило нормализации для Nextcloud.

Добавлено правило нормализации для IPFIX.

Добавлено правило нормализации для R-Vision Endpoint.

Добавлено правило нормализации для Битрикс24.

Добавлено правило нормализации для Гарда DBF.

Добавлено правило нормализации для РЕД База Данных.

Добавлено правило нормализации для СёрчИнформ КИБ.

KATA: добавлена нормализация новых типов событий.

Удаленное использование утилиты Atexec.

Атака Password Spraying на MS SQL Server.

Подбор пароля к MS SQL Server.

Изменение атрибутов учетной записи.

Создание резервной копии БД MS SQL Server.

Доступ к локальной файловой системе MSSQL.

Получение информации о пользователях ОС.

Получение информации о привилегиях пользователя MSSQL.

Успешный подбор пароля MS SQL Server.

Получение хэша пароля пользователей MSSQL.

Попытка получить состояние службы Windows.

Получение информации о версии MSSQL.

Создание резервной копии БД MS SQL Server.

Несанкционированное изменение конфигурации DNS-сервера.

Обнаружен DNS-запрос к Killswitch-домену WannaCry.

Обнаружен DNS-запрос к пулам Monero.

Использование DNS-туннеля.

Обнаружен DNS-запрос к подозрительным внешним службам.

Обнаружен DNS-запрос к ресурсам Telegram API.

Передача зоны DNS на недоверенный узел (AXFR).

Обнаружен DNS-запрос к домену localtonet.

Множественные DNS-запросы с одного устройства.

Изменение файла конфигурации базы данных PostgreSQL.

Нарушение целостности объекта системы.

Изменение критически важной учетной записи.

Массовая блокировка узлов Secret Net Studio.

Многократная смена пароля учетной записи.

Изменение политики безопасности Secret Net Studio.

Массовая разблокировка узлов Secret Net Studio.

Вход пользователя из черного списка.

Отключение защитного механизма в Secret Net Studio.

Отключение механизма самозащиты в Secret Net Studio.

Изменение правил межсетевого экрана в Secret Net Studio.

Очищен журнал событий Secret Net Studio.

Подключено съемное устройство к компьютеру.

Создание множества страниц Confluence.

Эксплуатация уязвимости в Confluence — CVE-2023-22527.

Выгрузка пространства Confluence.

Выполнение OGNL-инъекции через Java-выражения в Confluence.

Отключение аудита журналов приложения Confluence.

Эксплуатация уязвимости в Confluence — CVE-2023-22518.

Множественные попытки входа на веб-сервер Confluence.

Выгрузка множества страниц Confluence.

Запрос на репликацию от недоверенного DNS-сервера.

Атака DCShadow PT NAD.

Попытки получения информации об учетных записях.

Атака DCSync PT NAD.

Обнаружен индикатор компрометации — IOC.

Обнаружены признаки использования вредоносной утилиты.

Обнаружена попытка эксплуатации уязвимости.

Подозрительная сетевая активность с нескольких узлов.

Подозрительная сетевая активность с одного узла.

Признаки использования утилиты для туннелирования трафика.

Отключение или изменение паттерна Garda WAF.

Массовое удаление УЗ Garda WAF.

Изменение настроек защиты подключенного сервера.

Добавление пользователю критичной роли Garda WAF.

Успешный подбор пароля к Garda WAF.

Подбор пароля пользователя к Garda WAF.

Атака Password Spraying к Garda WAF.

Закрепление через изменения ключей автозапуска в реестре: добавлено исключение для Microsoft Edge для уменьшения ложных срабатываний.

Выполнение команд в системе от редактора кода VSCode: корректировка фильтра для исключения ложных срабатываний.

Использование хакерской утилиты SharpHound: добавлен дополнительный командлет.

Изменение критичных файлов конфигурации интерактивной оболочки: исправлен фильтр.

Повышение привилегий до root: исправлен фильтр.

Повышение привилегий с помощью GTFOBins: добавлена проверка событий для уменьшения FP.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 20.02.2026—​26.02.2026.