О релизе № 19 от 14.07.2026
Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.7.0 и выше.
Кратко о релизе
-
Добавлены новые индикаторы компрометации ФСТЭК России от 02.07.2026 и 09.07.2026.
-
Внесены улучшения и исправления в правила нормализации для Microsoft, Код Безопасности, Red Hat, Linux, ISC BIND и Positive Technologies.
-
Внесены улучшения и исправления в правила детектирования для Microsoft Windows.
-
Поддержаны новые источники: Elastic Auditbeat, Kaspersky EDR, Microsoft BITS, Cyberpeak Spektr и Kubernetes Audit.
-
Добавлены новые правила детектирования для Cisco IOS, MariaDB, Microsoft Windows, Kubernetes, Microsoft Exchange, Suricata и Nginx.
Правила нормализации
Новые правила
-
Elastic:
-
Добавлено правило нормализации для Auditbeat.
-
-
Kaspersky:
-
Добавлено правило нормализации для Kaspersky EDR.
-
-
Microsoft:
-
Добавлено правило нормализации для Microsoft BITS.
-
-
Cyberpeak:
-
Добавлено правило нормализации для Spektr.
-
-
Kubernetes:
-
Добавлено правило нормализации для Kubernetes Audit.
-
Улучшения и исправления
-
Microsoft:
-
Microsoft Windows AppLocker: внесены правки в маппинг полей.
-
Microsoft Windows Security: внесены правки в маппинг полей.
-
-
Код Безопасности:
-
Континент 4: исправлено заполнение поля
device_action.
-
-
Red Hat:
-
oVirt: исправлены поля категоризации событий.
-
-
Linux:
-
Auditd: исправлена обработка исключений.
-
Apache Cassandra: исправлены мелкие недочеты.
-
-
ISC BIND:
-
BindDNS: исправлено приведение типа для поля
src_port.
-
-
Positive Technologies:
-
Sandbox: расширен маппинг полей информацией о модуле антивируса.
-
Правила детектирования
Новые правила
-
Cisco:
-
Потенциальная атака DHCP Starvation на устройстве Cisco IOS.
-
-
MariaDB:
-
Успешный подбор пароля пользователя в MariaDB.
-
Создание пользовательских функций в MariaDB.
-
Экспорт базы данных в MariaDB.
-
Массовое удаление или очистка таблиц в MariaDB.
-
Потенциальная атака Password Spraying в MariaDB.
-
Потенциальный подбор пароля пользователя в MariaDB.
-
Отзыв повышенных привилегий у пользователя в MariaDB.
-
Выдача повышенных привилегий пользователю в MariaDB.
-
Создание привилегированного пользователя в MariaDB.
-
Массовое удаление пользователей в MariaDB.
-
Создание нового пользователя в MariaDB.
-
Удаление базы данных в MariaDB.
-
Создание новой таблицы в базе данных MariaDB.
-
Создание новой базы данных в MariaDB.
-
Изменение пароля или свойств пользователя в MariaDB.
-
-
Microsoft Windows:
-
Создание OCX командным интерпретатором.
-
DNS-запрос с маркером
relay. -
Загрузка уязвимого драйвера для обхода средств защиты.
-
Частая блокировка учетной записи.
-
Загрузка
DynWrapX.dllпроцессами Windows Script Host.
-
-
Kubernetes:
-
Изменение стандартов безопасности
pod. -
Создание NodePort-службы K8s.
-
Создание привилегированного
podK8s. -
Назначение сервисного аккаунта контейнеру в
kube-system. -
Создание
podс Linux Capabilities. -
Добавление роли K8s.
-
Создание сервисного аккаунта K8s.
-
Удаление роли K8s.
-
Создание
static podK8s. -
Добавление ClusterRole K8s.
-
Привязка
admin-роли K8s. -
Изменение файлов Helm.
-
Запуск
shellв контейнере K8s. -
Поиск секретов K8s.
-
Поиск прав сервисным аккаунтом K8s.
-
Неуспешный запрос от сервисного аккаунта K8s.
-
Анонимный доступ к секретам K8s.
-
-
Microsoft Exchange:
-
Перенаправление почтового сообщения во внешний домен.
-
Аномальное количество сообщений, отправленных недействительным получателям.
-
-
Suricata:
-
Повторяющиеся срабатывания одной сигнатуры Suricata на одном хосте.
-
Множественные срабатывания разных сигнатур Suricata от одного источника.
-
Подключение к публичному сервису туннелирования трафика по
SSH.
-
-
Nginx:
-
Доступ без информации браузера.
-
Перебор веб-страниц на веб-сервере Nginx.
-
Поиск артефактов веб-приложения.
-
Попытка Reflected XSS через Nginx.
-
Попытка эксплуатации SQL-инъекции Nginx.
-
Эксплуатация Path Traversal через Nginx.
-
Использование устаревшей версии протокола
HTTP.
-
Улучшения и исправления
-
Microsoft Windows:
-
Несистемный процесс повысил привилегии до системы: исправление фильтра для исключения ложных срабатываний.
-
Загрузка файлов с использованием LOLBins
InstallUtil.exe: уточнено поле для детектирования, изменен статус правила. -
Неудачная попытка входа под несуществующим пользователем: исправлено название правила, уменьшен
ttlдо 1 минуты.
-
-
Общее:
-
Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 02.07.2026 и 09.07.2026.
-
Была ли полезна эта страница?