О релизе № 42 от 02.12.2025

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.

Кратко о релизе

  • Внесены исправления в правила детектирования Microsoft Windows.

  • Внесены исправления в правила нормализации для Microsoft Sysmon, R-Vision TDP, Cisco ASA.

  • Поддержаны новые источники: Searchinform DLP, Security Code Kontinent 3.9.

Правила нормализации

Новые правила

  • Searchinform DLP: добавлено правило нормализации для источника.

  • Security Code Kontinent 3.9: добавлено правило нормализации для источника.

Улучшения и исправления

  • R-Vision TDP: исправлена проблема парсинга событий источника.

  • Cisco ASA: исправлена обработка поля deviceDirection.

  • Microsoft Sysmon: внесены исправления в обработку двойных косых черт от агента R-Vision Evo.

  • Microsoft Sysmon: исправлен парсинг событий типа GrantedAccess.

Правила детектирования

Улучшения и исправления

  • Microsoft Windows:

    • Запуск файла без расширения: изменение фильтра для исключения FP.

    • Закрепление при помощи утилиты Trap: изменение фильтра для исключения FP.

    • Обогащение активного списка legitimate_guids_svchost_processes: изменение фильтра в связи с изменением экранирования.

    • URL-схема в командной строке процесса: изменение фильтра в связи с изменением экранирования.

    • Удаление истории RDP-подключений через реестр: изменение фильтра в связи с изменением экранирования.

    • Удаленная эксплуатация DCOM-объекта IMsiServer: изменение фильтра в связи с изменением экранирования.

    • Закрепление через Microsoft Office Add-ins: изменение фильтра в связи с изменением экранирования.

    • Закрепление через Office Test: изменение фильтра в связи с изменением экранирования.

    • Закрепление через Office Template Macros: изменение фильтра в связи с изменением экранирования.

    • Создание удаленного потока в процессе lsass: изменение фильтра в связи с изменением экранирования.

    • Зафиксирована подмена файлов экрана заставки Windows: изменение фильтра в связи с изменением экранирования.

    • Загрузка процессом rundll32 модулей для выполнения скриптов: изменение фильтра в связи с изменением экранирования.

    • Манипулирование запланированными задачами через реестр: изменение фильтра в связи с изменением экранирования.

    • Загрузка модуля в процесс rundll32 из нестандартного пути: изменение фильтра в связи с изменением экранирования.

    • Выполнение скриптов через regsvr32: исправление правописания и оформления.

    • Загрузка модуля в процесс mmc из нестандартного пути: изменение фильтра в связи с изменением экранирования.

    • Загрузка модуля в процесс cmstp из нестандартного пути: изменение фильтра в связи с изменением экранирования.

    • Загрузка модуля в процесс odbcconf из нестандартного пути: изменение фильтра в связи с изменением экранирования.

    • Загрузка процессом mshta модулей для выполнения скриптов: изменение фильтра в связи с изменением экранирования.

    • Загрузка процессом cmstp модулей для выполнения скриптов: изменение фильтра в связи с изменением экранирования.

    • Загрузка модуля в процесс regsvr32 из нестандартного пути: изменение фильтра в связи с изменением экранирования.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь