О релизе № 13 от 21.04.2026

Перевод правила нормализации для Web Proxy на модель 2.0.

Перевод правила нормализации для NGFW на модель 2.0.

Добавлено правило нормализации Exchange для журналов IMAP и POP.

Перевод правила нормализации для Exchange Online на модель УМС 2.0.

Перевод правила нормализации для Nexus на модель 2.0.

Покрытие источника RADIUS в УМС 2.0.

Перевод правила нормализации для Cassandra в УМС 2.0.

Перевод правила нормализации для NetScaler на модель 2.0.

Перевод правила нормализации для РЕД АДМ на модель 2.0.

Добавлено правило нормализации для ESR.

Перевод правила нормализации для Pangolin SE на модель 2.0.

В правила нормализации добавлено приведение к строке значения, передаваемого в функцию rv_contains_any().

Kaspersky Anti Targeted Attack Platform (KATA): исправление поля description.

Kaspersky Security Center: донормализация события klaud_ev_serverconnect.

Kaspersky Security Center: оптимизация структуры правила, использование if-else в частном маппинге.

Traffic Monitor: исправлена нормализация в событиях update object.

Dozor: поправлена категоризация событий.

Deception: обогащение нормализации частных событий.

Континент 4: модифицирована обработка событий ролей (БД).

Успешный подбор пароля к серверу Континент TLS.

Подбор пароля к серверу Континент TLS.

Вход привилегированного пользователя с неизвестного хоста.

Подбор пароля Континент методом Password Spraying.

Множество хостов заражены одним типом ВПО.

Множественное срабатывание вердиктов средств АВЗ на одном хосте за сутки.

Программа безопасности не запущена.

Вирусная атака.

Запуск неподписанного установочного файла TrueConf.

Массовые запросы сертификатов AD CS.

Включение флага SAN в AD CS.

Подмена установочных файлов TrueConf.

NTLM Relay на AD CS.

Аномальная аутентификация с использованием сертификата.

Злоупотребление выдачей сертификатов AD CS.

Уязвимая конфигурация шаблона AD CS.

Блокировка сервисного аккаунта.

Возможное сокрытие запланированной задачи.

Изменение меток времени через touch.

Отключение узла Linux.

Удаление пользователя или группы.

Вход администратора на InfoWatch TM.

Массовое удаление пользователей.

Создание роли администратора в InfoWatch TM.

Создание администратора в InfoWatch TM.

Отключение политики защиты данных в InfoWatch TM.

Атака Brute Force к InfoWatch TM.

Успешная атака Brute Force к InfoWatch TM.

Password Spraying в InfoWatch TM.

Запуск whoami с правами системы: добавлена проверка на легитимные ТУЗ.

Использование хакерской утилиты PowerSploit: исправления фильтра для исключения ложных срабатываний.

Вход на несколько узлов под одной учетной записью: внесены исправления в работу исключений.

Смена ассоциации запуска файла: добавлена поддержка событий Security 4657.

Внедрение стороннего ПО через отладчик IFEO: добавлена поддержка событий Security 4657.

Добавление в Appinit DLL полезной нагрузки: добавлена поддержка событий Security 4657.

Зафиксирована подмена файлов экрана заставки Windows: добавлена поддержка событий Security 4657.

Закрепление через изменения ключей автозапуска в реестре: добавлена поддержка событий Security 4657.

Кодирование файла в Base64 с помощью Certutil: добавлена поддержка флага -decode.

Изменение доверительных отношений между доменами: добавлена поддержка событий PowerShell.

Множество хостов заражены одним типом ВПО: изменена нормализация в on_correlate.

Создание туннелей и перенаправление трафика: корректировка фильтра для исключения ложных срабатываний.

Изменение конфигурационных файлов службы firewalld: расширение корреляционного фильтра.

Изменение привилегий файлов Linux: расширение корреляционного фильтра.

Большое количество подозрительных команд: расширение корреляционного фильтра.

Разведка локальных УЗ в Linux: расширение корреляционного фильтра.

Отключено несколько критичных виртуальных машин: в описание добавлен период времени активности.

Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 10.04.2026.