О релизе № 3 от 18.11.2025

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.

Кратко о релизе

  • Внесены исправления в правила нормализации для Linux Auditd.

  • Внесены исправления в правила детектирования для Microsoft Windows.

  • Поддержаны новые источники: Microsoft Windows Security, Microsoft SQL Server, Cisco IOS, InfoWatch Traffic Monitor, MariaDB, Universal CEF.

Правила нормализации

Новые правила

  • Microsoft Windows Security: добавлено правило нормализации для источника.

  • Microsoft SQL Server: добавлено правило нормализации для источника.

  • Cisco IOS: добавлено правило нормализации для источника.

  • InfoWatch Traffic Monitor: добавлено правило нормализации для источника.

  • MariaDB: добавлено правило нормализации для источника.

  • Universal CEF: добавлено правило нормализации для источника.

Улучшения и исправления

  • Linux Auditd: скорректированы условия заполнения кастомных полей.

Правила детектирования

Новые правила

  • Kaspersky:

    • Устройство давно не подключалось к серверу KSC.

    • Отключение продукта Kaspersky в результате выполнения задачи.

    • Отключение компонентов защиты продуктов Kaspersky.

    • Изменение политик администрирования на сервере KSC.

    • Создание и исполнение задачи на удаленную деинсталляцию программы средствами KSC.

    • Устройство давно не подключалось к серверу KSC.

    • Отключение продукта Kaspersky в результате выполнения задачи.

    • Отключение компонентов защиты продуктов Kaspersky.

    • Изменение политик администрирования на сервере KSC.

    • Создание и исполнение задачи на удаленную деинсталляцию программы средствами KSC.

  • Linux:

    • Использование утилиты kadmin.

    • Использование rsockstun клиента.

  • FreeIPA:

    • Успешный подбор пароля пользователя FreeIPA.

    • Подбор пароля пользователя FreeIPA.

    • Добавление HBAC-правила через FreeIPA.

    • Изменение конфигурации sudo в FreeIPA.

    • Остановка/перезапуск сервисов FreeIPA.

    • Изменение оболочки входа средствами FreeIPA.

    • Разведка пользователей/ролей Free IPA.

    • Атака Golden Ticket FreeIPA.

    • Атака Silver Ticket FreeIPA

    • Выполнение бэкапа FreeIPA.

    • Чтение Ticket CCACHE файла.

    • Чтение LDAP секретов FreeIPA.

  • Passwork:

    • Экспорт паролей/сейфа passwork.

    • Назначение роли администратора.

    • Создание пользователя.

    • Отключение 2FA.

    • Успешный брутфорс Passwork.

    • Брутфорс Passwork.

    • Изменение прав роли.

    • Массовое удаление сейфов, папок, паролей.

    • Добавление пользователя в критичный сейф.

    • Включение заблокированной УЗ.

    • Множественный просмотр паролей за короткий промежуток времени.

    • Массовое удаление учетных записей.

    • Вход под УЗ администратора.

  • Microsoft Windows:

    • Отключение сбора событий EventLog через реестр.

    • Отключение или модификация Defender Firewall.

    • Защита от записи для хранилища отключена.

    • Отключение снапшотов томов.

Улучшения и исправления

  • Microsoft Windows:

    • Подозрительный доступ к памяти процесса LSASS: исправлена ошибка в фильтре.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь