Контакты
Подписка 2025
Новости
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

R-Vision SIEM получила обновление экспертизы: добавлено 263 новых правила детектирования

17/07/25

Р-вижн-Jul-17-2025-08-46-59-5775-AM

Система мониторинга, сбора и анализа ИБ-событий R-Vision SIEM получила обновление экспертизы

В систему мониторинга безопасности инфраструктуры R-Vision SIEM добавлены пакеты экспертизы, которые включают 263 новых правила детектирования, правила нормализации для поддержки новых источников событий, а также улучшения существующего контента. На данный момент система предоставляет «из коробки» более 750 правил детектирования.

Среди обновлений — новые правила детектирования для Microsoft Windows Linux, MySQL, Oracle DB, VMware vCenter и ESXi, Open VPN. А также значительное расширение покрытия для Microsoft SQL Server и Kubernetes. 

Диана Гулина, руководитель отдела анализа и выявления угроз кибербезопасности R-Vision:

«Kubernetes сегодня активно используется для развёртывания микросервисных приложений, в том числе в облачной и гибридной инфраструктуре. Это расширяет поверхность атаки, что привлекает злоумышленников. Наиболее распространённые методы — злоупотребление механизмами управления доступом (RBAC) и попытки получения доступа к критичным пространствам имён, таким как kube-system. Для более эффективного выявления таких угроз мы значительно расширили набор правил детектирования в R-Vision SIEM».

Кроме того, в рамках технического партнёрства с российскими вендорами были добавлены правила детектирования для таких систем, как Гарда WAF, Infowatch TM, S-Terra Gate и Secret Net Studio.

Команда исследователей R-Vision анализирует актуальные хакерские группировки и атаки, выявляет способы эксплуатации уязвимостей и пути их обнаружения, на основе чего разрабатывает новые правила детектирования, а также совершенствует уже имеющиеся правила с учетом новых вводных. Среди них:

  • Выявление использования утилиты LocaltoNet, которая применяется атакующими для организации туннелей из интернета во внутреннюю сеть. Это позволяет обходить сетевые ограничения и скрытно взаимодействовать с заражёнными машинами. Например, группировка APT Morlock использовала LocaltoNet при атаках на IT-подрядчиков для закрепления в инфраструктуре и доступа к основным целям.
  • Обнаружение эксплуатации уязвимости CVE-2025-24071, связанной с обработкой файлов в Windows Explorer. Атакующий может спровоцировать утечку NTLMv2-хэша, заставив систему открыть специально подготовленный файл с расширением .library-ms. Эта техника позволяет получать учётные данные без взаимодействия с пользователем.
  • Детектирование злоупотребления утилитой ssh.exe, включая создание скрытых туннелей, перехват NTLM-хэшей и удалённое выполнение команд без явного подключения к серверу. Известно, что группировка ToddyCat использовала ssh.exe для туннелирования трафика.
  • Детектирование злоупотребления расширениями браузеров – распространённая практика, при которой вредоносный код внедряется в популярные расширения, что в последующем может приводить к хищению данных пользователей из браузера.

Инфраструктура компаний находится в постоянном развитии, поэтому поддержание новых источников событий, написание и обновление правил нормализации – еще одно важное направление, которым занимается команда исследователей R-Vision. На текущий момент R-Vision SIEM поддерживает более 200 источников.

В обновления вошли новые правила нормализации для таких источников как: Huawei USG, Континент 4, Garda Monitor (NDR), Garda DLP, Garda WAF, Garda DBF, Аврора Центр, ViPNet TIAS, ViPNet IDS NS, Dallas Lock, Kaspersky Secure Mail Gateway, Kaspersky CyberTrace, PT ISIM, Xello, zVirt, Linux auth.log, Lighttpd, NextCloud, OpenVPN Access Server, Microsoft AD DS, Netgate pfSense, CyberPeak, Suricata, HP ProCurve.

В состав пакета экспертизы также включены схемы типовых дашбордов, которые позволяют быстро настроить SIEM под задачи пользователя с использованием готовых компонентов и сразу начать работу. Эти схемы определяют структуру дашборда, правила отображения и обновления информации, а также расположение виджетов.

Актуальный релиз экспертизы доступен всем пользователям с действующей технической поддержкой. Для его использования необходимо обновить R-Vision SIEM до версии 2.3.0 и выше и установить обновление экспертизы. Перечень поддерживаемых источников и описание версий пакетов экспертизы  R-Vision SIEM представлены на портале документации https://docs.rvision.ru/sources/latest/ru/description/About.html
Темы:Пресс-релизОтрасльSIEMР-вижнкибербезопасность
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • Российский TDIR – уже реальность
    Дмитрий Чеботарев, менеджер по развитию UserGate SIEM
    TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности