В R-Vision SIEM обновили правила: аналитикам добавили контекст

В R-Vision SIEM обновили правила: аналитикам добавили контекст

В R-Vision SIEM обновили правила: аналитикам добавили контекст

R-Vision сообщила о крупном обновлении экспертного контента для R-Vision SIEM. Главная идея изменений — сделать срабатывания не просто заметными, а более понятными для аналитиков SOC: правила корреляции теперь сопровождаются расширенным контекстом, описаниями на естественном языке и рекомендациями по реагированию.

Одна из ключевых технических основ обновления — переход на Универсальную модель событий 2.0. Начиная с версии 2.4, система использует новый стандарт описания событий, построенный на субъектно-объектном подходе.

За это время команда выпустила 10 релизов экспертных пакетов под новую модель — с обновлёнными правилами нормализации и корреляции, а также с более читаемым и полезным контекстом для расследований.

По данным компании, обновлённые правила нормализации позволяют ускорить обработку событий до 45% по сравнению с правилами для предыдущей версии модели. Кроме того, в событиях появились поля категоризации, которые помогают привести данные из разных систем к общей семантике. Проще говоря, это должно сократить время на ручную расшифровку событий и упростить расследование.

Заметно изменились и сами правила корреляции. Теперь они содержат не только логику детектирования, но и дополнительные поля: список нужных источников данных, ссылки на аналитические материалы, привязку к техникам и тактикам MITRE ATT&CK, таксономию инцидента с категорией и типом, а также пошаговые рекомендации по реагированию. То есть правило всё меньше похоже на «чёрный ящик» и всё больше — на уже подготовленную карточку для разбора инцидента.

Отдельно отмечается, что корреляционные события теперь дополняются описанием на естественном языке: кто, когда, где и что сделал. Для аналитика это выглядит удобнее, чем разбор сухого набора полей, особенно если речь идёт о быстром первичном анализе подозрительной активности.

Ещё одна важная часть обновления — unit-тесты для правил корреляции. Каждое правило сопровождается примерами эталонных событий, чтобы было проще понять, как именно работает детектирование и как проверить корректность настройки в инфраструктуре заказчика.

По данным R-Vision, за последние два года команда выпустила более 50 релизов экспертизы, а новые и доработанные правила выходят раз в две недели. Такой ритм позволяет быстрее добавлять поддержку новых источников и сценариев мониторинга, без долгих пауз между обновлениями.

Сейчас правила нормализации, как сообщается, покрывают более 250 источников — от операционных систем и защитных решений до инфраструктурных сервисов и бизнес-приложений. Количество правил корреляции в R-Vision SIEM превышает 850.

Компания также отдельно подчёркивает покрытие матрицы MITRE ATT&CK v17.1: по её оценке, актуальные пакеты экспертизы закрывают более 65% матрицы за счёт маппинга правил корреляции на техники и тактики атакующих. Для заказчиков это, по сути, способ понять, где мониторинг уже выстроен неплохо, а где остаются пробелы.

Помимо самих правил, в состав экспертизы входят и вспомогательные материалы: таблицы обогащения, активные списки, витрины данных и конвейеры нормализации в виде импортируемых объектов. Часть этих материалов, включая некоторые конвейеры, доступна публично. Также открыт справочный портал по настройке источников событий и публикуются аналитические материалы, которые готовятся в процессе разработки правил.

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru