О релизе № 6 от 23.12.2025
Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.
Кратко о релизе
-
Добавлены новые индикаторы компрометации ФСТЭК России от 15.12.2025.
-
Внесены улучшения и исправления в правила нормализации для Microsoft Windows, Linux, Kaspersky.
-
Внесены исправления в правила детектирования для VMware, Kaspersky.
-
Поддержаны новые источники: Microsoft Exchange, ViPNet IDS NS/TIAS, Atlassian Jira, Zabbix, Kaspersky Secure Mail Gateway, Kaspersky CyberTrace, Cisco NetFlow, Cisco ASA, ClickHouse.
Правила нормализации
Новые правила
-
Microsoft:
-
Добавлено правило нормализации для Microsoft Exchange.
-
-
ИнфоТеКС:
-
Добавлено правило нормализации для ViPNet IDS NS/TIAS.
-
-
Atlassian:
-
Добавлено правило нормализации для Jira.
-
-
Zabbix:
-
Добавлено правило нормализации для Zabbix.
-
-
Kaspersky:
-
Добавлено правило нормализации для Kaspersky Secure Mail Gateway.
-
Добавлено правило нормализации для Kaspersky CyberTrace.
-
-
Cisco:
-
Добавлено правило нормализации для NetFlow.
-
Добавлено правило нормализации для ASA.
-
-
ClickHouse:
-
Добавлено правило нормализации для ClickHouse.
-
Улучшения и исправления
-
Linux:
-
Auditd: исправлено дублирование полей
dst_process_nameиsrc_process_name.
-
-
Microsoft:
-
Sysmon: изменен формат поля
array_fieldв событии 22. -
Windows Security: добавлена нормализация событий 4886, 4887, 4898, 4899.
-
-
Kaspersky:
-
Security Center: исправлено заполнение
dst_object_nameдля случаев, когдаdst_file_pathявляется URL-адресом.
-
Правила детектирования
Новые правила
-
Microsoft Windows:
-
Изменение политики выполнения PowerShell.
-
Обнаружение эксплуатации DDE через Office.
-
Изменение атрибутов групповой политики.
-
Создание новой доменной/локальной/компьютерной учетной записи.
-
Удаление доменной/локальной/компьютерной учетной записи.
-
Создание и удаление учетной записи за одну минуту.
-
Обнаружено использование службы BITS Jobs.
-
Создана пользовательская форма Outlook.
-
Добавление пользователя в критичные доменные группы.
-
Изменение SPN учетной записи.
-
Изучение конфигурации локальной системы.
-
Создание дампа NTDS.dit.
-
Построение образа в Windows.
-
Запуск скрипта из временной директории.
-
Уничтожение информации на диске в Windows.
-
Размещение архивов в сетевой папке Windows.
-
Изменена групповая политика домена по умолчанию.
-
Поиск данных в сетевых папках Windows.
-
Удален объект групповой политики.
-
-
Linux:
-
Аномальное bind-монтирование.
-
Построение образа в Linux.
-
Дамп памяти утилитой MimiPenguin на Linux.
-
Изменение настроек пользователя.
-
Вызов команды из модуля PAM.
-
Перехват SSH-сессии.
-
-
Kaspersky:
-
Зафиксированы устаревшие базы антивирусного ПО Kaspersky.
-
Улучшения и исправления
-
Общее:
-
Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 15.12.2025.
-
-
VMware:
-
Множественные неуспешные попытки аутентификации пользователя: исправлена ошибка в фильтре.
-
-
Kaspersky:
-
Устройство давно не подключалось к серверу KSC: внесены исправления для корреляционного фильтра.
-
Была ли полезна эта страница?
