Компания R-Vision, разработчик решений для цифровизации и кибербезопасности, обновила пакеты экспертизы для своей системы R-Vision SIEM. Общее количество правил корреляции превысило 1050 — за три года их число выросло более чем в шесть раз, а покрытие матрицы MITRE ATT&CK версии 17.1 достигло 68%. Обновления пакетов экспертизы выпускаются каждые две недели, что позволяет регулярно актуализировать возможности обнаружения с учетом меняющегося ландшафта угроз.
В рамках последних обновлений были добавлены пакеты экспертизы для целого ряда корпоративных систем и сервисов: Kubernetes, Yandex Cloud, «1С-Битрикс24», MultiFactor, Active Directory Certificate Services (ADCS), Microsoft Exchange и других источников событий. Расширение правил позволяет охватывать больше сценариев атак, учитывая особенности эксплуатации различных компонентов инфраструктуры — от облачных сервисов и бизнес-приложений до систем управления доступом и корпоративных платформ.
Значительная часть новых правил направлена на выявление актуальных техник атакующих и эксплуатации уязвимостей. В обновленные пакеты вошли правила для PoC, опубликованных исследователем под псевдонимом Nightmare Eclipse, который известен серией публичных демонстраций эксплуатации уязвимостей в компонентах Microsoft Windows. Также реализовано обнаружение эксплуатации уязвимости CVE-2026-31431 (Copy Fail) и ряда других уязвимостей, которые применяются в реальных атаках или находятся в фокусе исследовательского сообщества. Эти правила существенно расширяют поверхность обнаружения угроз.
Вместе с правилами корреляции были добавлены и обновлены правила нормализации. Среди новых поддерживаемых источников событий — Positive Technologies Container Security, RedOS RedADM, IT Bastion, AVSoft Kairos, Check Point Endpoint Harmony, Efros NAC, MariaDB, MS Hyper-V, Rosa Virtualization, MultiFactor, Multidirectory, Dallas Lock ВИ, Ideco VPN, Jenkins, Harbor, Nexus Repository, Nextcloud и другие системы. Это позволяет получать структурированные и единообразные данные из более широкого спектра сегментов ИТ-инфраструктуры, включая средства контейнеризации, виртуализации, управления доступом, разработки и хранения артефактов. Для упрощения настройки сбора событий команда R-Vision подготовила примеры готовых конвейеров, доступные в репозитории на GiteVerse, которые можно импортировать напрямую в R-Vision SIEM. На сегодняшний день система поддерживает 280 источников событий с правилами нормализации.
На портале документации R-Vision SIEM теперь публикуются структурированные списки правил корреляции с разбивкой по источникам событий. В таблицах представлены: идентификатор и название правила, краткое описание сценария обнаружения, а также тактики и техники MITRE ATT&CK, покрываемые правилом. Такой формат помогает аналитикам SOC быстрее находить нужные правила, понимать их назначение и применять при расследовании инцидентов. Помимо портала, развивается открытый репозиторий аналитических материалов — публичная база знаний по экспертизе для R-Vision SIEM, где публикуются исследования и материалы, служащие основой для разработки правил. Репозиторий раскрывает не только итоговую логику детектирования, но и процесс анализа угроз: какие события формируют следы атаки, какие инструменты используют злоумышленники, какие артефакты остаются в инфраструктуре и почему выбрана конкретная логика обнаружения.
«Мы продолжаем регулярно расширять и актуализировать экспертизу в R-Vision SIEM, чтобы SOC-команды получали не просто набор правил, а прикладной контент для работы с реальными угрозами. Новые детекты, поддержка дополнительных источников событий и развитие документации помогают быстрее выявлять, понимать и отрабатывать инциденты, а также сокращают время на поиск и интерпретацию нужных правил», — отметил Николай Рягин, руководитель управления исследований и аналитики R-Vision.