О релизе № 11 от 24.03.2026

Добавлено правило нормализации для Ansible AWX.

Добавлено правило нормализации для ArubaOS.

Добавлена поддержка источника.

Добавлено правило нормализации для ViPNet Coordinator 4.

Добавлено правило нормализации для Гарда DLP.

PT Network Attack Discovery: добавлен парсинг cve из события атаки.

OpenVPN: исправлена нормализация.

Гарда WAF: исправлено приведение типов для пользовательских полей.

Исправлено заполнение *_label для пользовательских полей, убран символ пустой строки для корректной работы RQL-запросов.

Использование инструмента SharpHound.

Чтение журналов MySQL.

Вход привилегированного пользователя в MySQL.

Успешный подбор пароля к СУБД MySQL.

Подбор пароля к СУБД MySQL.

Атака Password Spraying на СУБД MySQL.

Назначение прав администратора MySQL.

Остановка сессии пользователя в MySQL.

Изменение пароля учетной записи MySQL.

Массовое удаление таблиц MySQL.

Изменение/удаление таблицы аудита MySQL.

Создание резервной копии MySQL.

Удаление базы данных в MySQL.

Получение информации о версии MySQL.

Получение списка подключений к MySQL.

Просмотр пользовательских данных MySQL.

Изменение параметров аудита базы данных PostgreSQL.

Вход привилегированного пользователя с неизвестного хоста.

Взаимодействие с файловой системой из базы данных PostgreSQL.

Получение информации о существующих учетных записях в PostgreSQL.

Попытка удаления базы данных в PostgreSQL.

Изменен пароль от учетной записи с правами superuser в PostgreSQL.

Новая учетная запись с правами superuser в PostgreSQL.

Разведка структуры базы данных PostgreSQL.

Обнаружена попытка дампа базы данных или учетных данных PostgreSQL.

Успешный перебор пароля к СУБД PostgreSQL.

Атака типа Password Spraying к СУБД PostgreSQL.

Множественные неудачные попытки подключения к PostgreSQL.

Изменение или удаление таблицы аудита ClickHouse.

Вход привилегированного пользователя в ClickHouse.

Попытка удаления базы данных в ClickHouse.

Создание привилегированного пользователя в ClickHouse.

Взаимодействие с файловой системой из БД ClickHouse.

Небезопасный способ аутентификации пользователя ClickHouse.

Использование LIKE для разведки в ClickHouse.

Попытка удаления нескольких таблиц в ClickHouse.

Получение информации о системе в ClickHouse.

Создание дампа таблиц в ClickHouse.

Атака Password Spraying на СУБД ClickHouse.

Подбор пароля к СУБД ClickHouse.

Успешный подбор пароля к СУБД ClickHouse.

Получение информации о структуре ClickHouse.

Изменение конфигурации базы данных ClickHouse.

Успешный подбор пароля клиента OpenVPN.

Эксплуатация уязвимости в Confluence - CVE-2023-22515.

Удаление нескольких таблиц в MS SQL Server.

Отправка результатов SQL-запроса почтой.

Попытка изменить состояние службы Windows.

Удаление базы данных в MS SQL Server.

Назначена роль администратора пользователю MS SQL Server.

Использование хранимых процедур sp_proxy и sp_grant_proxy.

Изменение аудита базы данных MS SQL Server.

Отключение политики входа пользователей MSSQL.

Попытка включить смешанную аутентификацию MSSQL.

Запись ключа реестра средствами MSSQL.

Включение небезопасных параметров в конфигурации MSSQL.

Установка небезопасного свойства MSSQL.

Использование процедур для локального выполнения кода.

Чтение ключа реестра средствами MSSQL.

Поиск резервных копий базы данных.

Получение информации о пользователях MSSQL.

Получение информации об аудите MS SQL Server.

Поиск пользователей с административными правами в MSSQL.

Получение информации об алгоритме шифрования БД.

Изменение пароля привилегированной УЗ MS SQL Server.

Вход привилегированного пользователя в MS SQL Server.

Множественные атаки на веб-приложение Гарда WAF.

Множественная атака на веб-приложение Гарда WAF.

Атака на веб-приложение Гарда WAF.

Аномальное поведение офисного ПО: добавлен тег.

Создание резервных копий MSSQL средствами PowerShell: добавлен блок response.

Использование WinApi через PowerShell: исправление фильтра для исключения ложных срабатываний.

Обнаружена попытка эксплуатации уязвимости: добавлено поле номера уязвимости.

Обнаруженное вредоносное ПО не было удалено: исправлен фильтр второго алиаса.

Доступ к локальной файловой системе MSSQL: расширение корреляционного фильтра.

Получение информации о версии MSSQL: расширение корреляционного фильтра.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 19.03.2026.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 12.03.2026.