О релизе № 19 от 14.07.2026

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.7.0 и выше.

Кратко о релизе

  • Добавлены новые индикаторы компрометации ФСТЭК России от 02.07.2026 и 09.07.2026.

  • Внесены улучшения и исправления в правила нормализации для Microsoft, Код Безопасности, Red Hat, Linux, ISC BIND и Positive Technologies.

  • Внесены улучшения и исправления в правила детектирования для Microsoft Windows.

  • Поддержаны новые источники: Elastic Auditbeat, Kaspersky EDR, Microsoft BITS, Cyberpeak Spektr и Kubernetes Audit.

  • Добавлены новые правила детектирования для Cisco IOS, MariaDB, Microsoft Windows, Kubernetes, Microsoft Exchange, Suricata и Nginx.

Правила нормализации

Новые правила

  • Elastic:

    • Добавлено правило нормализации для Auditbeat.

  • Kaspersky:

    • Добавлено правило нормализации для Kaspersky EDR.

  • Microsoft:

    • Добавлено правило нормализации для Microsoft BITS.

  • Cyberpeak:

    • Добавлено правило нормализации для Spektr.

  • Kubernetes:

    • Добавлено правило нормализации для Kubernetes Audit.

Улучшения и исправления

  • Microsoft:

    • Microsoft Windows AppLocker: внесены правки в маппинг полей.

    • Microsoft Windows Security: внесены правки в маппинг полей.

  • Код Безопасности:

    • Континент 4: исправлено заполнение поля device_action.

  • Red Hat:

    • oVirt: исправлены поля категоризации событий.

  • Linux:

    • Auditd: исправлена обработка исключений.

    • Apache Cassandra: исправлены мелкие недочеты.

  • ISC BIND:

    • BindDNS: исправлено приведение типа для поля src_port.

  • Positive Technologies:

    • Sandbox: расширен маппинг полей информацией о модуле антивируса.

Правила детектирования

Новые правила

  • Cisco:

    • Потенциальная атака DHCP Starvation на устройстве Cisco IOS.

  • MariaDB:

    • Успешный подбор пароля пользователя в MariaDB.

    • Создание пользовательских функций в MariaDB.

    • Экспорт базы данных в MariaDB.

    • Массовое удаление или очистка таблиц в MariaDB.

    • Потенциальная атака Password Spraying в MariaDB.

    • Потенциальный подбор пароля пользователя в MariaDB.

    • Отзыв повышенных привилегий у пользователя в MariaDB.

    • Выдача повышенных привилегий пользователю в MariaDB.

    • Создание привилегированного пользователя в MariaDB.

    • Массовое удаление пользователей в MariaDB.

    • Создание нового пользователя в MariaDB.

    • Удаление базы данных в MariaDB.

    • Создание новой таблицы в базе данных MariaDB.

    • Создание новой базы данных в MariaDB.

    • Изменение пароля или свойств пользователя в MariaDB.

  • Microsoft Windows:

    • Создание OCX командным интерпретатором.

    • DNS-запрос с маркером relay.

    • Загрузка уязвимого драйвера для обхода средств защиты.

    • Частая блокировка учетной записи.

    • Загрузка DynWrapX.dll процессами Windows Script Host.

  • Kubernetes:

    • Изменение стандартов безопасности pod.

    • Создание NodePort-службы K8s.

    • Создание привилегированного pod K8s.

    • Назначение сервисного аккаунта контейнеру в kube-system.

    • Создание pod с Linux Capabilities.

    • Добавление роли K8s.

    • Создание сервисного аккаунта K8s.

    • Удаление роли K8s.

    • Создание static pod K8s.

    • Добавление ClusterRole K8s.

    • Привязка admin-роли K8s.

    • Изменение файлов Helm.

    • Запуск shell в контейнере K8s.

    • Поиск секретов K8s.

    • Поиск прав сервисным аккаунтом K8s.

    • Неуспешный запрос от сервисного аккаунта K8s.

    • Анонимный доступ к секретам K8s.

  • Microsoft Exchange:

    • Перенаправление почтового сообщения во внешний домен.

    • Аномальное количество сообщений, отправленных недействительным получателям.

  • Suricata:

    • Повторяющиеся срабатывания одной сигнатуры Suricata на одном хосте.

    • Множественные срабатывания разных сигнатур Suricata от одного источника.

    • Подключение к публичному сервису туннелирования трафика по SSH.

  • Nginx:

    • Доступ без информации браузера.

    • Перебор веб-страниц на веб-сервере Nginx.

    • Поиск артефактов веб-приложения.

    • Попытка Reflected XSS через Nginx.

    • Попытка эксплуатации SQL-инъекции Nginx.

    • Эксплуатация Path Traversal через Nginx.

    • Использование устаревшей версии протокола HTTP.

Улучшения и исправления

  • Microsoft Windows:

    • Несистемный процесс повысил привилегии до системы: исправление фильтра для исключения ложных срабатываний.

    • Загрузка файлов с использованием LOLBins InstallUtil.exe: уточнено поле для детектирования, изменен статус правила.

    • Неудачная попытка входа под несуществующим пользователем: исправлено название правила, уменьшен ttl до 1 минуты.

  • Общее:

    • Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 02.07.2026 и 09.07.2026.

Была ли полезна эта страница?

Обратная связь