Новые релизы экспертизы выходят каждые две недели, что позволяет регулярно актуализировать возможности обнаружения в соответствии с изменениями ландшафта угроз. За последнее время были добавлены пакеты экспертизы для популярных корпоративных систем, правила детектирования новых техник атак и эксплуатации уязвимостей, а также расширена поддержка источников событий. Кроме того, обновился портал документации, где теперь доступны структурированные списки правил корреляции с удобной навигацией по источникам событий и покрываемым техникам MITRE ATT&CK.
Правила детектирования для корпоративных систем
В рамках обновления были добавлены и обновлены правила детектирования для целого ряда систем и сервисов: Kubernetes, Yandex Cloud, 1С-Битрикс24, MultiFactor, Active Directory Certificate Services (ADCS), Microsoft Exchange и других источников событий.
Расширение пакетов правил позволяет учитывать больше сценариев атак и особенностей эксплуатации различных компонентов инфраструктуры заказчиков – от облачных сервисов и бизнес-приложений до систем управления доступом и корпоративных платформ.
Детектирование новых техник атак и эксплуатации уязвимостей
В обновленные пакеты экспертизы вошли новые правила для выявления актуальных техник атакующих и эксплуатации уязвимостей.
Так, например, были добавлены правила для PoC, опубликованных исследователем под псевдонимом Nightmare Eclipse, который получил известность благодаря серии публичных демонстраций эксплуатации уязвимостей в компонентах Microsoft Windows. Подробный разбор этих эксплоитов аналитики R-Vision подготовили в двух статьях на Habr. Первая посвящена YellowKey, GreenPlasma и MiniPlasmac, вторая — BlueHammer, RedSun, UnDefend, GreatXML и RougePlanet. В статьях также рассмотрены способы обнаружения и артефакты, которые они оставляют в телеметрии.
Кроме того, в ходе обновления было реализовано обнаружение эксплуатации уязвимости CVE-2026-31431 (Copy Fail) и других уязвимостей, которые используются в реальных атаках или находятся в зоне внимания исследовательского сообщества.
Новые правила существенно расширяют поверхность обнаружения атак.
Расширение поддержки источников событий
В рамках обновления были добавлены и правила нормализации. Среди новых поддерживаемых источников событий — Positive Technologies Container Security, RedOS RedADM, IT Bastion, AVSoft Kairos, Check Point Endpoint Harmony, Efros NAC, MariaDB, MS Hyper-V, ROSA Virtualization, MultiFactor, Multidirectory, Dallas Lock ВИ, Ideco VPN, Jenkins, Harbor, Nexus Repository, Nextcloud и другие системы.
Поддержка новых источников позволяет получать структурированные и единообразные данные из большего количества сегментов ИТ-инфраструктуры, включая средства контейнеризации, виртуализации, управления доступом, разработки и хранения артефактов.
Для упрощения конфигурации и настройки сбора событий с поддерживаемых источников событий команда подготовила примеры готовых конвейеров для R-Vision SIEM. Они доступны в репозитории на GiteVerse и могут быть импортированы напрямую в R‑Vision SIEM.
На текущий момент R‑Vision SIEM поддерживает 280 источников событий с правилами нормализации.
Обновленный портал документации и база знаний по экспертизе
На портале документации R‑Vision SIEM теперь доступны списки правил корреляции с разбивкой по источникам событий. В таблицах представлены:
идентификатор и название правила;
краткое описание сценария обнаружения;
тактики и техники MITRE ATT&CK, которые покрывает правило.
Новый формат документации помогает аналитикам SOC быстрее находить необходимые правила, понимать их назначение и использовать информацию при расследовании инцидентов.
Помимо портала документации R‑Vision развивает открытый репозиторий аналитических материалов — публичную базу знаний по экспертизе для R‑Vision SIEM. В нем публикуются исследования и материалы, которые становятся основой для разработки правил корреляции.
Репозиторий показывает не только итоговую логику детектирования, но и процесс анализа угроз: какие события формируют следы атаки, какие инструменты используют злоумышленники, какие артефакты остаются в инфраструктуре и почему для обнаружения применяется конкретная логика.
Таким образом, пользователи получают готовые правила корреляции и дополнительный аналитический контекст для их применения и адаптации под собственные сценарии.
Мы продолжаем регулярно расширять и актуализировать экспертизу в R‑Vision SIEM, чтобы SOC-команды получали не просто набор правил, а прикладной контент для работы с реальными угрозами.
Новые детекты, поддержка дополнительных источников событий и развитие документации помогают быстрее выявлять, понимать и отрабатывать инциденты, а также сокращают время на поиск и интерпретацию нужных правил