О релизе № 7 от 27.01.2026

Добавлено правило нормализации для Active Directory Domain Services.

Добавлено правило нормализации для Active Directory Web Services.

Добавлено правило нормализации для DNS Server.

Добавлено правило нормализации для ISIM.

Добавлено правило нормализации для Veeam Backup & Replication.

Добавлено правило нормализации для Dozor.

Добавлено правило нормализации для KATA.

Добавлено правило нормализации для Континент 4.

Exchange Agent: добавлен device_fqdn.

PowerShell/System: исправление обработки исключений.

Windows Security: дополнительно нормализованы события 4778, 4779.

IIS: добавлен маппинг параметров запроса.

Security Center: добавлены два тестовых события, которых ранее не было.

Auditd: добавлен dst_file_owner к системным вызовам openat.

vCenter: поправлено поле dst_hostname.

Zabbix: внесены исправления в поле description.

Атака DCShadow.

Удаленное подключение к узлу через туннелирование в Visual Studio Code.

Зафиксирована подгрузка подозрительного пакета процессом LSA.

Зафиксирована атака Golden Ticket.

Создание подозрительного процесса от hh.exe.

Скачивание удаленного файла средствами hh.exe.

Удаление временных RDP-файлов в Windows.

Новый сертификат root был установлен средствами Certutil.exe.

Ослабление защиты или мониторинга системы.

Удаление истории RDP-подключений через реестр.

Отключение ETW-провайдера PowerShell.

Успешная эксплуатация ProxyShell.

Удаленный контроль через Chrome Remote Desktop.

Эксплуатация утилиты GrimResource.

Удаленное выполнение команд с помощью SMBExec.

Загрузка dll-библиотеки средствами mavinject.

Инъекция AppDomain Manager.

Закрепление через Shim.

RDP-подключение с использованием туннеля.

Отключение службы Windows EventLog.

Закрепление через Outlook Home Page.

Туннелирование с использованием ngrok.

Использование утилиты gs-netcat из набора инструментов gsocket.

Манипуляции с теневыми копиями с помощью встроенных утилит.

Вход под учетной записью, созданной по умолчанию.

Обнаружен запуск XSL-скрипта.

Интерактивный вход под сервисной учетной записью.

Изменение конфигурации загрузки безопасного режима.

Выполнение манипуляций над учетной записью с помощью стороннего ПО.

Журнал событий Windows был очищен.

Запуск файла с двойным расширением.

Изменение настроек Outlook.

Добавление исполняемого файла к профилю PowerShell.

Запуск файла без расширения.

Включение или отключение учетной записи.

Изменения в планировщике задач.

Маскировка учетной записи под имя компьютера.

Аномальное поведение офисного ПО.

Множественные неудачные попытки аутентификации учетной записи.

Изменение политики Outlook on the Web (OWA) в системе Exchange.

Эксплуатация ProxyLogon в Microsoft Exchange (CVE-2021-27065).

Подозрение на эксплуатацию ProxyShell.

Пользователь выполнил действие с правилом транспорта в Exchange.

Удаление политики фильтров ВПО в системе Exchange.

Сбор адресов электронной почты из глобального списка адресов.

Добавление пользователя в группу рассылки в Microsoft Exchange.

Пользователь удалил почтовые ящики в Microsoft Exchange.

Удаление или размонтирование базы данных в Microsoft Exchange.

Сбор электронной почты в Microsoft Exchange.

Эксплуатация уязвимости CVE-2024-49040.

Изменение правила журнала в системе Exchange.

Утечка данных через массовую отправку писем.

Попытка выгрузить PST-файлы в Microsoft Exchange.

Множественные неудачные попытки аутентификации в AD FS.

Успешный подбор пароля в AD FS.

Кража/экспорт сертификатов AD FS.

Изменение Claims Provider Trust в AD FS.

Использование набора инструментов gsocket.

Эксплуатация уязвимости CVE-2023-46944 Visual Studio Code на Linux.

Эксплуатация уязвимости в Jira (CVE-2023-26256).

Создание множества задач пользователем в Jira.

Множество неудачных попыток входа в Jira.

Создание пользователя в Jira.

Изменение конфигурации журналов логирования в Jira.

Удаление множества задач пользователем в Jira.

Добавление пользователя в критичные группы.

Создание резервной копии Jira.

Дамп множества задач в Jira.

Удалено несколько критичных виртуальных машин.

Отключено несколько критичных виртуальных машин.

Отключена критичная виртуальная машина.

Создание множества виртуальных машин.

Остановка критичного сервиса ESXi.

Лишение пользователя доступа к ESXi.

Обнаруженное вредоносное ПО не было удалено.

Подозрительные DNS-запросы к домену trycloudflare.com.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 25.12.2025 и 15.01.2026.

Доступ к чувствительному сетевому диску Windows: исправление фильтра для исключения ложных сработок.

Закрепление через COM Hijacking: добавлены процессы Microsoft в фильтр исключений.

Кража токена доступа из системного процесса: замена таблицы обогащения на активный список.

Перехват SSH-сессии: упрощен фильтр.

Остановка критичных сервисов в Linux: добавлена техника.

Получение массовой рассылки писем: обновлен фильтр.

Вредоносная ссылка в письме: обновлен фильтр.

Вредоносное вложение в письме: обновлен фильтр.

Получение спам-письма: обновлен фильтр.

Проверка подлинности отправителя сообщений: обновлен фильтр.

Шифрованное вложение в письме: обновлен фильтр.