О релизе № 17 от 16.06.2026
Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.5.0 и выше.
Кратко о релизе
-
Добавлены новые индикаторы компрометации ФСТЭК России от 11.06.2026.
-
Внесены улучшения и исправления в правила нормализации для Citrix, Solar, HP, Kaspersky, Cisco, Microsoft и VMware.
-
Внесены улучшения и исправления в правила детектирования для Microsoft Windows, Microsoft SQL Server и VMware.
-
Поддержаны новые источники: Huawei VRP, Red Hat Virtualization (oVirt), Киберпротект Кибер Бэкап, HAProxy, Microsoft SQL Server, Cisco NetFlow v7, Positive Technologies Container Security и E-Staff.
-
Добавлены новые правила детектирования для Cisco, Microsoft Windows, 1С-Битрикс24, MultiFactor, Check Point, Microsoft Exchange и Linux.
Правила нормализации
Новые правила
-
Huawei:
-
Добавлено правило нормализации для VRP.
-
-
Red Hat:
-
Добавлено правило нормализации для oVirt.
-
-
Киберпротект:
-
Добавлено правило нормализации для Кибер Бэкап.
-
-
HAProxy:
-
Добавлено правило нормализации для HAProxy.
-
-
Microsoft:
-
Добавлено правило для нормализации событий
sqlauditв Microsoft SQL Server.
-
-
Cisco:
-
Добавлено правило нормализации для NetFlow v7.
-
-
Positive Technologies:
-
Добавлено правило нормализации для Container Security.
-
-
E-Staff:
-
Добавлено правило нормализации для E-Staff.
-
Улучшения и исправления
-
Citrix:
-
Citrix Virtual Apps and Desktops: исправлена категоризация.
-
-
Solar:
-
Web Proxy: исправлена обработка события
login.
-
-
HP:
-
ProCurve: исправлена категоризация.
-
-
Kaspersky:
-
Kaspersky Security Center: исправлено регулярное выражение для парсинга событий.
-
-
Cisco:
-
Cisco IOS XR: обновлена категоризация.
-
Cisco IOS: покрыты новые типы событий.
-
-
Microsoft:
-
Microsoft IIS: добавлена нормализация поля
csreferer.
-
-
VMware:
-
VMware ESXi: покрыты новые типы событий.
-
Правила детектирования
Новые правила
-
Cisco:
-
Потенциальная атака VLAN Hopping на устройстве Cisco IOS.
-
Вход в привилегированный режим Cisco IOS с недоверенного IP-адреса.
-
Потенциальная атака MAC-Flooding на устройстве Cisco IOS.
-
-
Microsoft Windows:
-
Возможная эксплуатация
RoguePlanet.
-
-
1С-Битрикс24:
-
Операции с модулями Битрикс24.
-
Выдача прав на модуль Битрикс24.
-
Множественные срабатывания фильтра безопасности Битрикс24.
-
Массовая смена паролей Битрикс24.
-
Вход администратора Битрикс24 с разных IP-адресов.
-
Множественные неудачные входы Битрикс24.
-
-
MultiFactor:
-
Подбор пароля для подтверждения второго фактора аутентификации.
-
Получен доступ без прохождения MFA-челленджа.
-
Второй фактор подтвержден без предварительного MFA-запроса.
-
Множественные запросы второго фактора аутентификации в MultiFactor.
-
Обход MFA при недоступности MultiFactor API.
-
-
Check Point:
-
Check Point Endpoint Security заблокировал подозрительный веб-запрос.
-
Заражение одним ВПО, обнаруженное средствами Check Point Endpoint Security.
-
Вход в панель администратора Check Point с неизвестного хоста.
-
Множественные сработки АВПО Check Point Endpoint Security на одном хосте.
-
Обнаруженное средствами Check Point Endpoint Security ВПО не удалено.
-
Удалено обнаруженное средствами Check Point Endpoint Security ВПО.
-
-
Microsoft Exchange:
-
Отправлено письмо получателю с плохой репутацией.
-
Получено письмо от отправителя с плохой репутацией.
-
-
Linux:
-
Эксплуатация
CVE-2026-31431 Copy Fail.
-
Улучшения и исправления
-
Microsoft Windows:
-
Маскировка запуска PowerShell: добавлено исключение легитимного процесса.
-
-
Microsoft SQL Server:
-
Корректировка правил для источника Microsoft SQL Server в связи с изменениями рекомендованных параметров аудита.
-
-
VMware:
-
Удалена критичная виртуальная машина: добавлено событие миграции.
-
-
Общее:
-
Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 11.06.2026.
-
Была ли полезна эта страница?
