О релизе № 18 от 30.06.2026
Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.5.0 и выше.
Кратко о релизе
-
Добавлены новые индикаторы компрометации ФСТЭК России от 17.06.2026.
-
Внесены улучшения и исправления в правила нормализации для Check Point, HAProxy, Juniper Networks, Linux, Microsoft, MongoDB, VMware, zVirt, 1С, АйТи Бастион и Код Безопасности.
-
Внесены улучшения и исправления в правила детектирования для Linux и Microsoft Windows.
-
Поддержаны новые источники: Directum RX, Mattermost, Secret Net LSP, Staffcop и Winlogbeat.
-
Добавлены новые правила детектирования для Cisco ASA, GitHub Enterprise Server, Linux, Microsoft Windows, MongoDB, UserGate NGFW, VMware ESXi, 1С:Предприятие и Битрикс24.
-
Дашборды переведены на УМС 2.0.
Правила нормализации
Новые правила
-
Directum:
-
Добавлено правило нормализации для Directum RX.
-
-
Elastic:
-
Добавлено правило нормализации для Winlogbeat.
-
-
Mattermost:
-
Добавлено правило нормализации для Mattermost.
-
-
Атом Безопасность:
-
Добавлено правило нормализации для Staffcop.
-
-
Код Безопасности:
-
Добавлено правило нормализации для Secret Net LSP.
-
-
Общее:
-
Дашборды переведены на УМС 2.0.
-
Улучшения и исправления
-
Check Point:
-
Check Point Endpoint Security: исправлен
dst_hash.
-
-
HAProxy:
-
HAProxy: добавлена поддержка нового формата событий.
-
-
Juniper Networks:
-
Junos OS: исправлены поле
nameи дубли в таблице обогащения.
-
-
Linux:
-
Auditd: добавлена поддержка событий
audit.log, обрабатываемых агентом.
-
-
Microsoft:
-
Microsoft Windows Security: скорректирована нормализация поля пути объекта для события
4657. -
Microsoft Exchange: исправлен паттерн
grok.
-
-
MongoDB:
-
MongoDB: добавлен маппинг ролей.
-
-
VMware:
-
VMware vCenter: проведена донормализация событий.
-
-
zVirt:
-
zVirt: исправлена категоризация.
-
-
1С:
-
Битрикс24: дополнено правило.
-
1С:Предприятие: проведена донормализация событий.
-
-
АйТи Бастион:
-
СКДПУ НТ: унифицирован фильтр под
device_productи инструкцию.
-
-
Код Безопасности:
-
Secret Net LSP: добавлено приведение к строке аргумента функции
rv_contains_any.
-
Правила детектирования
Новые правила
-
Cisco ASA:
-
Зафиксирована активность захвата пакетов на Cisco ASA.
-
-
GitHub Enterprise Server:
-
Эксплуатация уязвимости
CVE-2024-0507в GitHub Enterprise Server.
-
-
Linux:
-
Использование
SOCKS5-проксиMicroSocksв Linux. -
Использование
tmateдля удаленного доступа. -
Использование публичных сервисов туннелирования через
ssh.
-
-
Microsoft Windows:
-
SMTP-соединение от процесса Windows из нетипичного каталога. -
Множественные завершения и повторные запуски процессов средств защиты.
-
Использование публичных сервисов туннелирования через
sshWindows. -
Отключение компонентов VMware
VMCIс помощьюDevCon.
-
-
MongoDB:
-
Атака Password Spraying на MongoDB.
-
Создание новой базы данных в MongoDB.
-
Потенциальный подбор пароля пользователя в MongoDB.
-
Массовое удаление таблиц баз данных в MongoDB.
-
Создание нового привилегированного пользователя в MongoDB.
-
Создание нового
rootпользователя в MongoDB. -
Удаление всех пользователей базы данных в MongoDB.
-
Отзыв административных прав у пользователя в MongoDB.
-
Массовое удаление пользователей в MongoDB.
-
-
UserGate NGFW:
-
Изменение администратора UserGate.
-
Успешный перебор паролей UserGate NGFW.
-
Перебор паролей UserGate NGFW.
-
Изменение правила МЭ UserGate.
-
Срабатывание СОВ UserGate NGFW.
-
Сканирование портов UserGate NGFW.
-
-
VMware ESXi:
-
Загрузка плагина из нестандартной директории.
-
-
1С:Предприятие:
-
Массовая смена паролей 1C.
-
Чтение списка пользователей 1C.
-
Создание пользователя 1C без пароля.
-
Подбор пароля в 1C:Enterprise.
-
Успешный подбор пароля в 1C:Enterprise.
-
Изменение критичного объекта 1C.
-
-
Битрикс24:
-
Успешный подбор пароля Bitrix24.
-
-
Общее:
-
Использование внешнего почтового сервиса в обход корпоративного.
-
Улучшения и исправления
-
Linux:
-
Создание туннелей и перенаправление трафика: исправление фильтра для исключения ложных срабатываний.
-
-
Microsoft Windows:
-
Сетевое подключение из подозрительной директории: расширен фильтр.
-
-
Общее:
-
Таблица
IoC: добавлены новые индикаторы компрометации ФСТЭК России от 17.06.2026.
-
Была ли полезна эта страница?