О релизе № 15 от 19.05.2026

Добавлено правило нормализации для FortiGate.

Добавлено правило нормализации для Dallas Lock ВИ.

Добавлено правило нормализации для Proxmox VE.

Добавлено правило нормализации для MES.

NGFW: дополнен перечень обрабатываемых событий.

MySQL: исправлено заполнение полей device_domain, device_time, dst_user_name, dst_user_privileges.

Active Directory Federation Services (AD FS): исправлена нормализация полей имя пользователя, SID пользователя и InstanceID.

Hyper-V: добавлены поля с информацией о виртуальных машинах.

Exchange: исправлены условия для событий аутентификации IMAP.

Web Proxy: исправлена обработка событий instruction.

Anti Targeted Attack Platform (KATA): расширен фильтр правила для покрытия версий 6 и 7.

Изменение AAA-серверов на Cisco ASA.

Изменение настроек межсетевого экрана на Cisco ASA.

Изменение состояния интерфейса на Cisco ASA.

Изменение конфигурации VPN на Cisco ASA.

Изменение привилегий локального пользователя на Cisco ASA.

Изменение пароля локального пользователя на Cisco ASA.

Массовые изменения конфигурации на Cisco ASA.

Перезапуск устройства или модулей Cisco ASA.

Изменение NTP или системного времени на Cisco ASA.

Изменение крипто-карт на Cisco ASA.

Изменение правил NAT на Cisco ASA.

Отключение или ослабление логирования на Cisco ASA.

Атака ARP spoofing на Cisco IOS.

Конфигурация Cisco IOS с недоверенного IP-адреса.

Пользователь не из списка администраторов создал кластер.

Пользователь изменил федерацию удостоверений.

Пользователь добавил сертификат в федерацию удостоверений.

Выданы административные права доступа к каталогу или облаку.

Включен небезопасный режим IMDSv1 на ВМ.

Удален симметричный ключ в KMS.

Изменены права доступа к симметричному ключу.

Виртуальной машине назначен внешний IP-адрес.

Пользователю назначены привилегированные роли.

Метаданные ВМ содержат чувствительные данные.

Активность сервисной учетной записи из диапазона IP-адресов вне облака.

Виртуальной машине назначено несколько IP-адресов.

Создан публичный IP-адрес без защиты от DDoS-атак.

Виртуальной машине назначен сервисный аккаунт с доступом к секретам.

Предоставлен доступ к серийной консоли виртуальной машины.

Удалено несколько критичных/защитных ВМ.

Массовая приостановка виртуальных машин.

Отключена защитная виртуальная машина.

Клонирование критичной виртуальной машины.

Отключено несколько виртуальных средств защиты.

Атака Password Spraying по протоколам IMAP или POP.

Добавление и удаление прав к почтовому ящику Exchange за короткое время.

Подбор пароля к учетным записям Exchange по протоколам IMAP или POP.

Успешный подбор пароля к учетным записям Exchange по протоколам IMAP или POP.

Целенаправленное сканирование портов сервера-ловушки.

Попытка подключения к серверу-ловушке как к DB.

Вход пользователя в Web-консоль во внерабочее время.

Попытка авторизации на сервере-ловушке.

Отправка ICMP-пакетов на сервер-ловушку.

Попытка подключения к серверу-ловушке по неопределенной службе.

Попытка подключения к серверу-ловушке по HTTP/HTTPS.

Попытка подключения к серверу-ловушке по LLMNR.

Попытка подключения к серверу-ловушке по RPC.

Попытка подключения к серверу-ловушке по RDP.

Подключение к серверу-ловушке по протоколу SSH.

Подключение к серверу-ловушке по протоколу SMB.

Подключение к серверу-ловушке по протоколу FTP.

Сработка на сервере-ловушке Xello по web-протоколу.

В Solar Dozor зарегистрировано событие ИБ.

Доступ к диспетчеру учетных данных.

Включение LLMNR через DNSClient.

Уничтожение информации на диске в Linux: корректировка фильтра для исключения ложных срабатываний.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 08.05.2026 по 14.05.2026.