Экспертиза R-Vision SIEM превысила 1000 правил корреляции

R-Vision, разработчик систем цифровизации и кибербезопасности, обновил пакеты экспертизы для R-Vision SIEM: количество правил корреляции превысило 1050. За три года их число выросло более чем в шесть раз, а покрытие матрицы MITRE ATT&CK (v17.1) составило более 68%.

Новые релизы экспертизы выходят каждые две недели, что позволяет регулярно актуализировать возможности обнаружения в соответствии с изменениями ландшафта угроз. За последнее время были добавлены пакеты экспертизы для популярных корпоративных систем, правила детектирования новых техник атак и эксплуатации уязвимостей, а также расширена поддержка источников событий. Кроме того, обновился портал документации, где теперь доступны структурированные списки правил корреляции с удобной навигацией по источникам событий и покрываемым техникам MITRE ATT&CK.

Правила детектирования для корпоративных систем

В рамках обновления были добавлены и обновлены правила детектирования для целого ряда систем и сервисов: Kubernetes, Yandex Cloud, 1С-Битрикс24, MultiFactor, Active Directory Certificate Services (ADCS), Microsoft Exchange и других источников событий.

Расширение пакетов правил позволяет учитывать больше сценариев атак и особенностей эксплуатации различных компонентов инфраструктуры заказчиков — от облачных сервисов и бизнес-приложений до систем управления доступом и корпоративных платформ.

Детектирование новых техник атак и эксплуатации уязвимостей

В обновленные пакеты экспертизы вошли новые правила для выявления актуальных техник атакующих и эксплуатации уязвимостей.

Так, например, были добавлены правила для PoC, опубликованных исследователем под псевдонимом Nightmare Eclipse, который получил известность благодаря серии публичных демонстраций эксплуатации уязвимостей в компонентах Microsoft Windows. Подробный разбор этих эксплоитов аналитики R-Vision подготовили в двух статьях на Habr. Первая посвящена YellowKey, GreenPlasma и MiniPlasmac, вторая — BlueHammer, RedSun, UnDefend, GreatXML и RougePlanet. В статьях также рассмотрены способы обнаружения и артефакты, которые они оставляют в телеметрии.

Кроме того, в ходе обновления было реализовано обнаружение эксплуатации уязвимости CVE-2026-31431 (Copy Fail) и других уязвимостей, которые используются в реальных атаках или находятся в зоне внимания исследовательского сообщества.

Новые правила существенно расширяют поверхность обнаружения атак.

Расширение поддержки источников событий

В рамках обновления были добавлены и правила нормализации. Среди новых поддерживаемых источников событий — Positive Technologies Container Security, RedOS RedADM, IT Bastion, AVSoft Kairos, Check Point Endpoint Harmony, Efros NAC, MariaDB, MS Hyper-V, ROSA Virtualization, MultiFactor, Multidirectory, Dallas Lock ВИ, Ideco VPN, Jenkins, Harbor, Nexus Repository, Nextcloud и другие системы.

Поддержка новых источников позволяет получать структурированные и единообразные данные из большего количества сегментов ИТ-инфраструктуры, включая средства контейнеризации, виртуализации, управления доступом, разработки и хранения артефактов.

Для упрощения конфигурации и настройки сбора событий с поддерживаемых источников событий команда подготовила примеры готовых конвейеров для R-Vision SIEM. Они доступны в репозитории на GiteVerse и могут быть импортированы напрямую в R-Vision SIEM.

На текущий момент R-Vision SIEM поддерживает 280 источников событий с правилами нормализации.

Обновленный портал документации и база знаний по экспертизе

На портале документации R-Vision SIEM теперь доступны списки правил корреляции с разбивкой по источникам событий. В таблицах представлены:

  • идентификатор и название правила;
  • краткое описание сценария обнаружения;
  • тактики и техники MITRE ATT&CK, которые покрывает правило.

Новый формат документации помогает аналитикам SOC быстрее находить необходимые правила, понимать их назначение и использовать информацию при расследовании инцидентов.

Помимо портала документации R-Vision развивает открытый репозиторий аналитических материалов — публичную базу знаний по экспертизе для R-Vision SIEM. В нем публикуются исследования и материалы, которые становятся основой для разработки правил корреляции.

Репозиторий показывает не только итоговую логику детектирования, но и процесс анализа угроз: какие события формируют следы атаки, какие инструменты используют злоумышленники, какие артефакты остаются в инфраструктуре и почему для обнаружения применяется конкретная логика.

Таким образом, пользователи получают готовые правила корреляции и дополнительный аналитический контекст для их применения и адаптации под собственные сценарии.

«Мы продолжаем регулярно расширять и актуализировать экспертизу в R-Vision SIEM, чтобы SOC-команды получали не просто набор правил, а прикладной контент для работы с реальными угрозами. Новые детекты, поддержка дополнительных источников событий и развитие документации помогают быстрее выявлять, понимать и отрабатывать инциденты, а также сокращают время на поиск и интерпретацию нужных правил», — Николай Рягин, руководитель управления исследований и аналитики R-Vision.

R-Vision
Автор: R-Vision
R-Vision — разработчик систем цифровизации и кибербезопасности. С 2011 года компания создаёт технологии, которые помогают организациям эффективно противостоять киберугрозам, поддерживать надёжность ИТ- инфраструктуры и обеспечивать цифровую трансформацию. Технологии R-Vision используются в крупнейших банках, государственных организациях, нефтегазовой отрасли, энергетике, металлургии, промышленности и компаниях других отраслей.
Комментарии: