О релизе № 5 от 16.12.2025
Для использования актуального пакета экспертизы необходимо обновить R-Vision SIEM до версии 2.3.0 и выше.
Кратко о релизе
-
Добавлены новые индикаторы компрометации ФСТЭК России от 05.12.2025.
-
Внесены исправления в правила нормализации для Kaspersky Security Center, Check Point Harmony, Linux Auditd, Passwork, BI.ZONE EDR.
-
Внесено улучшение в правило нормализации для Kaspersky Security Center.
-
Внесены исправления в правила детектирования для VMware vCenter, Microsoft Windows, Linux.
-
Поддержаны новые источники: Microsoft DHCP, Microsoft Active Directory Federation Services, Код Безопасности Континент 3, Efros DefOps NAC, PostgreSQL.
Правила нормализации
Новые правила
-
Microsoft:
-
Добавлено правило нормализации для Microsoft DHCP.
-
Добавлено правило нормализации для Microsoft Active Directory Federation Services.
-
-
Код Безопасности:
-
Континент 3: перевод правила в УМС 2.0.
-
-
Efros:
-
Добавлено правило нормализации Efros DefOps NAC.
-
-
PostgreSQL:
-
PostgreSQL: перевод правила в УМС 2.0.
-
Улучшения и исправления
-
Kaspersky Security Center: добавлена нормализация новых типов событий, исправлено поле description.
-
Check Point Harmony: исправлено поле description, добавлен способ подключения в наименовании правил.
-
Linux Auditd: добавлено исправление маппинга полей array_field.
-
Passwork: обновлена таблица обогащения, изменено поле description для событий с 2FA, поле device_event_category переведено в snakecase.
-
BI.ZONE EDR: добавлен способ подключения в наименовании правил.
Правила детектирования
Новые правила
-
Microsoft Windows:
-
Внедрение вредоносного агента Exchange.
-
Загрузка RstrtMgr.dll необычным процессом.
-
Загрузка DLL системным процессом из подозрительного места.
-
Загрузка процессом cmstp модулей для выполнения скриптов.
-
Произошло выполнение полезной нагрузки при наступлении WMI события.
-
Установка модуля IIS.
-
Выполнение прокси-файла через verclsid.
-
Создание правил почты через PowerShell.
-
Подозрительный доступ к облачным менеджерам секретов.
-
Использование подавления ошибок в PowerShell.
-
Исходящее подключение SYSTEM-процессов к нестандартным портам.
-
Установка пакетов msi из пользовательской директории.
-
Подозрительное чтение данных приложений.
-
Включено обратимое шифрование паролей.
-
Включение функции обратимого шифрования.
-
Подозрительные обращения к trycloudflare.com.
-
-
Linux:
-
Добавление/удаление модулей ядра Linux.
-
-
Kaspersky:
-
Зафиксирован переход по опасной ссылке.
-
Улучшения и исправления
-
Общее:
-
Таблица IoC: добавлены новые индикаторы компрометации ФСТЭК России от 05.12.2025.
-
-
VMware vCenter:
-
Создание снапшота критичной ВМ в vCenter: добавлен блок response.
-
Использование утилит ESXi через CLI: обновлен фильтр для детекта выполнения снапшотов через vim-cmd.
-
-
Microsoft Windows:
-
Использование обфускации PowerShell: исправления фильтра для исключения FP.
-
Использование средств туннелирования трафика: добавлен тег T1599.
-
Использование WinApi через PowerShell: добавлен тег T1055.002.
-
Использование утилиты TikiTorch: добавлен тег T1055.002.
-
Использование вредоносных утилит: добавлен инструмент rclone.
-
Подозрительный доступ к памяти процесса LSASS: добавлены исключения для процессов Kaspersky.
-
Зафиксирована загрузка модуля WMI подозрительным процессом: внесены исправления для модуля исключений FP.
-
Смена ассоциации запуска файла: исправление фильтра для исключения ложных срабатываний.
-
-
Linux:
-
Использование средств туннелирования трафика Linux: добавлен тег T1599.
-
Изменение конфигурационных файлов службы firewalld: добавлен тег T1599.
-
Создание туннелей и перенаправление трафика: добавлен тег T1599.
-
Использование хакерской утилиты в Linux: добавлен инструмент для эксфильтрации данных rclone.
-
Была ли полезна эта страница?
