О релизе № 18 от 30.06.2026

Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.5.0 и выше.

Кратко о релизе

  • Добавлены новые индикаторы компрометации ФСТЭК России от 17.06.2026.

  • Внесены улучшения и исправления в правила нормализации для Check Point, HAProxy, Juniper Networks, Linux, Microsoft, MongoDB, VMware, zVirt, 1С, АйТи Бастион и Код Безопасности.

  • Внесены улучшения и исправления в правила детектирования для Linux и Microsoft Windows.

  • Поддержаны новые источники: Directum RX, Mattermost, Secret Net LSP, Staffcop и Winlogbeat.

  • Добавлены новые правила детектирования для Cisco ASA, GitHub Enterprise Server, Linux, Microsoft Windows, MongoDB, UserGate NGFW, VMware ESXi, 1С:Предприятие и Битрикс24.

  • Дашборды переведены на УМС 2.0.

Правила нормализации

Новые правила

  • Directum:

    • Добавлено правило нормализации для Directum RX.

  • Elastic:

    • Добавлено правило нормализации для Winlogbeat.

  • Mattermost:

    • Добавлено правило нормализации для Mattermost.

  • Атом Безопасность:

    • Добавлено правило нормализации для Staffcop.

  • Код Безопасности:

    • Добавлено правило нормализации для Secret Net LSP.

  • Общее:

    • Дашборды переведены на УМС 2.0.

Улучшения и исправления

  • Check Point:

    • Check Point Endpoint Security: исправлен dst_hash.

  • HAProxy:

    • HAProxy: добавлена поддержка нового формата событий.

  • Juniper Networks:

    • Junos OS: исправлены поле name и дубли в таблице обогащения.

  • Linux:

    • Auditd: добавлена поддержка событий audit.log, обрабатываемых агентом.

  • Microsoft:

    • Microsoft Windows Security: скорректирована нормализация поля пути объекта для события 4657.

    • Microsoft Exchange: исправлен паттерн grok.

  • MongoDB:

    • MongoDB: добавлен маппинг ролей.

  • VMware:

    • VMware vCenter: проведена донормализация событий.

  • zVirt:

    • zVirt: исправлена категоризация.

  • :

    • Битрикс24: дополнено правило.

    • 1С:Предприятие: проведена донормализация событий.

  • АйТи Бастион:

    • СКДПУ НТ: унифицирован фильтр под device_product и инструкцию.

  • Код Безопасности:

    • Secret Net LSP: добавлено приведение к строке аргумента функции rv_contains_any.

Правила детектирования

Новые правила

  • Cisco ASA:

    • Зафиксирована активность захвата пакетов на Cisco ASA.

  • GitHub Enterprise Server:

    • Эксплуатация уязвимости CVE-2024-0507 в GitHub Enterprise Server.

  • Linux:

    • Использование SOCKS5-прокси MicroSocks в Linux.

    • Использование tmate для удаленного доступа.

    • Использование публичных сервисов туннелирования через ssh.

  • Microsoft Windows:

    • SMTP-соединение от процесса Windows из нетипичного каталога.

    • Множественные завершения и повторные запуски процессов средств защиты.

    • Использование публичных сервисов туннелирования через ssh Windows.

    • Отключение компонентов VMware VMCI с помощью DevCon.

  • MongoDB:

    • Атака Password Spraying на MongoDB.

    • Создание новой базы данных в MongoDB.

    • Потенциальный подбор пароля пользователя в MongoDB.

    • Массовое удаление таблиц баз данных в MongoDB.

    • Создание нового привилегированного пользователя в MongoDB.

    • Создание нового root пользователя в MongoDB.

    • Удаление всех пользователей базы данных в MongoDB.

    • Отзыв административных прав у пользователя в MongoDB.

    • Массовое удаление пользователей в MongoDB.

  • UserGate NGFW:

    • Изменение администратора UserGate.

    • Успешный перебор паролей UserGate NGFW.

    • Перебор паролей UserGate NGFW.

    • Изменение правила МЭ UserGate.

    • Срабатывание СОВ UserGate NGFW.

    • Сканирование портов UserGate NGFW.

  • VMware ESXi:

    • Загрузка плагина из нестандартной директории.

  • 1С:Предприятие:

    • Массовая смена паролей 1C.

    • Чтение списка пользователей 1C.

    • Создание пользователя 1C без пароля.

    • Подбор пароля в 1C:Enterprise.

    • Успешный подбор пароля в 1C:Enterprise.

    • Изменение критичного объекта 1C.

  • Битрикс24:

    • Успешный подбор пароля Bitrix24.

  • Общее:

    • Использование внешнего почтового сервиса в обход корпоративного.

Улучшения и исправления

  • Linux:

    • Создание туннелей и перенаправление трафика: исправление фильтра для исключения ложных срабатываний.

  • Microsoft Windows:

    • Сетевое подключение из подозрительной директории: расширен фильтр.

  • Общее:

    • Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 17.06.2026.

Была ли полезна эта страница?

Обратная связь