R-Vision SIEM получила обновление экспертизы: добавлено 263 новых правила детектирования

Система мониторинга, сбора и анализа ИБ-событий R-Vision SIEM получила обновление экспертизы

В систему мониторинга безопасности инфраструктуры R-Vision SIEM добавлены пакеты экспертизы, которые включают 263 новых правила детектирования, правила нормализации для поддержки новых источников событий, а также улучшения существующего контента. На данный момент система предоставляет «из коробки» более 750 правил детектирования.

Среди обновлений — новые правила детектирования для Microsoft Windows Linux, MySQL, Oracle DB, VMware vCenter и ESXi, Open VPN. А также значительное расширение покрытия для Microsoft SQL Server и Kubernetes. 

Диана Гулина, руководитель отдела анализа и выявления угроз кибербезопасности R-Vision:

«Kubernetes сегодня активно используется для развёртывания микросервисных приложений, в том числе в облачной и гибридной инфраструктуре. Это расширяет поверхность атаки, что привлекает злоумышленников. Наиболее распространённые методы — злоупотребление механизмами управления доступом (RBAC) и попытки получения доступа к критичным пространствам имён, таким как kube-system. Для более эффективного выявления таких угроз мы значительно расширили набор правил детектирования в R-Vision SIEM».

Кроме того, в рамках технического партнёрства с российскими вендорами были добавлены правила детектирования для таких систем, как Гарда WAF, Infowatch TM, S-Terra Gate и Secret Net Studio.

Команда исследователей R-Vision анализирует актуальные хакерские группировки и атаки, выявляет способы эксплуатации уязвимостей и пути их обнаружения, на основе чего разрабатывает новые правила детектирования, а также совершенствует уже имеющиеся правила с учетом новых вводных. Среди них:

• Выявление использования утилиты LocaltoNet, которая применяется атакующими для организации туннелей из интернета во внутреннюю сеть. Это позволяет обходить сетевые ограничения и скрытно взаимодействовать с заражёнными машинами. Например, группировка APT Morlock использовала LocaltoNet при атаках на IT-подрядчиков для закрепления в инфраструктуре и доступа к основным целям.
• Обнаружение эксплуатации уязвимости CVE-2025-24071, связанной с обработкой файлов в Windows Explorer. Атакующий может спровоцировать утечку NTLMv2-хэша, заставив систему открыть специально подготовленный файл с расширением .library-ms. Эта техника позволяет получать учётные данные без взаимодействия с пользователем.
• Детектирование злоупотребления утилитой ssh.exe, включая создание скрытых туннелей, перехват NTLM-хэшей и удалённое выполнение команд без явного подключения к серверу. Известно, что группировка ToddyCat использовала ssh.exe для туннелирования трафика.
• Детектирование злоупотребления расширениями браузеров – распространённая практика, при которой вредоносный код внедряется в популярные расширения, что в последующем может приводить к хищению данных пользователей из браузера.

Инфраструктура компаний находится в постоянном развитии, поэтому поддержание новых источников событий, написание и обновление правил нормализации – еще одно важное направление, которым занимается команда исследователей R-Vision. На текущий момент R-Vision SIEM поддерживает более 200 источников.

В обновления вошли новые правила нормализации для таких источников как: Huawei USG, Континент 4, Garda Monitor (NDR), Garda DLP, Garda WAF, Garda DBF, Аврора Центр, ViPNet TIAS, ViPNet IDS NS, Dallas Lock, Kaspersky Secure Mail Gateway, Kaspersky CyberTrace, PT ISIM, Xello, zVirt, Linux auth.log, Lighttpd, NextCloud, OpenVPN Access Server, Microsoft AD DS, Netgate pfSense, CyberPeak, Suricata, HP ProCurve.

В состав пакета экспертизы также включены схемы типовых дашбордов, которые позволяют быстро настроить SIEM под задачи пользователя с использованием готовых компонентов и сразу начать работу. Эти схемы определяют структуру дашборда, правила отображения и обновления информации, а также расположение виджетов.

Актуальный релиз экспертизы доступен всем пользователям с действующей технической поддержкой. Для его использования необходимо обновить R-Vision SIEM до версии 2.3.0 и выше и установить обновление экспертизы. Перечень поддерживаемых источников и описание версий пакетов экспертизы  R-Vision SIEM представлены на портале документации https://docs.rvision.ru/sources/latest/ru/description/About.html