<html lang="en">
<body>

<p>
	<b>[OOTB] SOC Content - RU. Версия 3</b><br>
	Список изменений:<br>
	Добавлены новые правила:
		<ul>
			<li>Правило R057_02: правило обнаруживает удаление учётной записи (УЗ)</li>
			<li>Правило R059_(03-06): правила обнаруживают множественные манипуляции с УЗ</li>
			<li>Правила R061_(07-09): правила обнаруживают различные манипуляции с УЗ</li>
			<li>Правило R063_04: правило обнаруживает включение УЗ в критичную группу</li>
			<li>Правило R082_(07-08): правила позволяют обнаружить события, которые могут говорить об использовании технологии VPN</li>
			<li>Правила R083_(05-09): правила обнаруживают следы использования нежелательного ПО</li>
			<li>Правило R087_04: правило обнаруживает аномалии при запуске процессов svchosts и werfault</li>
			<li>Правила R093_(30-34): правила обнаруживают модификацию критичных ветвей реестра</li>
			<li>Правило R107_03: правило позволяет обнаружить выполнение команд, связанных со сжатием данных</li>
			<li>Правило R209_04: правило обнаруживает попытку проверить подключение по нестандартным портам</li>
			<li>Правила R211_(03-06): правила позволяют обнаружить события от средств защиты, которые идентифицировали сетевой трафик как возможную атаку типа MITM</li>
			<li>Правила R224_(10-16): правила направлены на детектирование активности по сбору информации о системе</li>
			<li>Правила R225: правила позволяют обнаружить попытки обращения и чтения файлов браузеров, в которых хранятся критичные данные</li>
			<li>Правило R228_03: правило позволяет обнаружить попытки сбора информации о домене</li>
			<li>Правило R231_06: правило предназначено для мониторинга выполнения команд, которые сканируют файлы во всех системных процессах в поисках критичной информации</li>
			<li>Правила R240_(03-05): правила позволяют обнаружить манипуляции с локальным межсетевым экраном, которые могут привести к ослаблению защиты на хосте</li>
			<li>Правило R289_03: правило позволяет выявлять попытки распаковки zip-файлов из файлов изображений</li>
			<li>Правила R296_(17-18): правила позволяют обнаружить запуск системных процессов с подозрительными аргументами</li>
			<li>Правила R302_(02-03): правила позволяют обнаружить события, связанные с манипуляциями над атрибутами файла</li>
			<li>Правила R351: правила позволяют обнаружить создание подозрительных файлов</li>
			<li>Правила R417_(02-03): правило позволяют обнаружить возможный ботнет</li>
			<li>Правила R418: правила позволяют обнаружить запуск утилит, связанных с созданием снимков экрана</li>
			<li>Правила R419: правила позволяют обнаружить манипуляции с сертификатами</li>
			<li>Правила R420: правила обнаруживают модификацию файлов веб-приложений</li>
			<li>Правила R421: правила обнаруживают события изменения объектов Active Directory</li>
			<li>Правила R422: правила обнаруживают попытки манипулирования журналами событий</li>
			<li>Правила R423: правила обнаруживает выполнение команд с целью компиляции исполняемых файлов</li>
			<li>Правила R426: правила обнаруживают попытки внешних сетевых атак</li>
			<li>Правило R427: правило позволяет обнаружить попытку загрузки данных с удаленных ресурсов</li>
			<li>Правило R428: правило позволяет обнаружить попытку загрузки вредоносных данных с удаленных ресурсов</li>
			<li>Правило R429: правило обнаружения выявляет попытки сбора данных из буфера обмена</li>
			<li>Правила R430: правило позволяет обнаружить специфические команды или следы использования утилит для разбиения файлов на части</li>
		</ul>
	
	Внесены изменения в правила:
		<ul>
			<li>Правило R057: правило переименовано в R057_01</li>
			<li>Правило R061_04: расширено условие правила</li>
			<li>Правило R073: условие правила скорректировано</li>
			<li>Правило R084_01: расширено условие правила</li>
			<li>Правило R099_04: расширено условие правила</li>
			<li>Правило R101_01: исправлено условие правила</li>
			<li>Правило R101_02: исправлено условие правила</li>
			<li>Правило R104_01: исправлено условие правила</li>
			<li>Правило R105_01: исправлено условие правила</li>
			<li>Правила R110_02, R110_06: исправлено и дополнено условие правила</li>
			<li>Правило R233_01: исправлено условие правила</li>
			<li>Правило R283_01: добавлено исключение</li>
			<li>Правило R288_02: добавлено исключение и исправлено условие правила</li>
			<li>Правило R296_04: скорректировано условие правила</li>
			<li>Правило R296_13: исправлено условие правила</li>
			<li>Правило R298: добавлено исключение правила</li>
			<li>Правило R300_01: добавлено исключение правила</li>
			<li>Правило R320: расширено условие правила</li>
			<li>Правило R330: исправлено условие правила</li>
		</ul>
		
	Прочие изменения:
		<ul>
			<li>Исправлено правило SR210_02, учтены особенности KUMA v3.2</li>
			<li>Скорректирован фильтр Microsoft Windows events</li>
			<li>Небольшие правки названий и описаний правил</li>
		</ul>
<p>
	<b>[OOTB] SOC Content - RU. Версия 2</b><br>
	Список изменений:<br>
	Добавлены новые правила:
		<ul>
			<li>"R061_04_Для учетной записи установлен бессрочный пароль" "R061_05_Для учетной записи установлен бессрочный пароль с помощью wmic.exe", "R61_06_Изменение параметров шифрования пароля пользователя AD с помощью powershell", изменено название правила R061</li>
			<li>"R034_01_Массовый перебор TGS билетов (kerberoasting)" и "R034_Подозрение на атаку с использованием протокола Kerberos"</li>
			<li>R152_ХХ для обнаружения подозрительных деревьев процессов</li>
			<li>R286 "Подозрение на запуск обратного shell"</li>
			<li>R035 для обнаружения использования техники Password spraying</li>
			<li>R036 для обнаружения использования техники Password guessing</li>
			<li>R089 для обнаружения следов шифровальщиков</li>
			<li>R211 для обнаружения попыток использования техники ARP poisoning</li>
			<li>R221 для обнаружения попыток сбора данных о группах</li>
			<li>R207 для обнаружения сканирования на уязвимости</li>
			<li>R228 для обнаружения сбора данных о домене</li>
			<li>R331 для обнаружения манипуляций со службой удаленного стола</li>
			<li>R350 для обнаружения подозрительной активности офисными приложениями</li>
			<li>R405 для обнаружения попыток модификации файлов конфигурации</li>
			<li>R406 для обнаружения попыток получить учетные данные пользователя с помощью GUI</li>
			<li>R407 для обнаружения попыток кражи учетных данных</li>
			<li>R408 для обнаружения использования инструментов Sysinternals</li>
			<li>R409 для обнаружения попыток злоупотребления функционалом MS Exchange Transport Agent</li>
			<li>R410 для обнаружения попыток создания WMI подписок</li>
			<li>R229 для обнаружения попыток сбора данных о службах</li>
			<li>R152_09 для обнаружения попыток повышения привилегий через SpoolService</li>
			<li>R089_05 для обнаружения следов WannaCry</li>
			<li>R087 для обнаружения возможного внедрения в процесс</li>
			<li>R231_05 для обнаружения чтения файлов /etc/passwd, /etc/shadow</li>
			<li>R293_03 для обнаружения нетипичных процессов от имени утилиты mmc.exe</li>
			<li>R093_XX для контроля критичных веток реестра</li>
			<li>R150 для обнаружения попыток манипуляций с названиями системных утилит</li>
			<li>R083_02, R083_03, R083_04 для обнаружения установки и использования нежелательного ПО.</li>
			<li>R301 для обнаружения попыток манипуляций с конфигурацией загрузчика</li>
			<li>R082_03, R082_05, R082_05, R082_06 для обнаружения построения SSH туннеля. Правила R082 перенесены в другую категорию.</li>
			<li>R077_03, R077_04 для обнаружения вредоносных расширений браузера и руткитов</li>
			<li>R084_04 для обнаружения использования аргументов, характерных для программы UltraVNC</li>
			<li>R099_XX для контроля задач по расписанию</li>
			<li>R110_08 для контроля использования возможностей WinRM</li>
			<li>R208_03 для обнаружения использования техники port knocking</li>
			<li>R285 для обнаружения использования сетевых ресурсов для выполнения процессов или кода</li>
			<li>R296 для обнаружения подозрительного использования системных утилит</li>
			<li>"R334_Манипуляциия службы поставщика времени Windows PowerShell"</li>
			<li>R335 для контроля изменения SSH ключей</li>
			<li>R411 для обнаружения подозрительного использования специальных возможностей Windows</li>
			<li>R412 для обнаружения попыток перехвата сессии пользователя</li>
			<li>R413 для обнаружения манипуляций с ядром Linux</li>
			<li>R414 для обнаружения манипуляций с переменными среды</li>
			<li>R415 для обнаружения манипуляций с настройками питания хоста</li>
			<li>R416 для обнаружения манипуляций с настройками репозитория</li>
			<li>R417 для обнаружения индикаторов известных атак</li>
		</ul>
	Внесены изменения в правила:
		<ul>
			<li>Исправлено условие правила R098_02. Логическое условие изменено «OR» на «AND».</li>
			<li>Доработано правило R298, дополнено условие.</li>
			<li>Доработано правило R073, добавлено условие для исключения ложных срабатываний.</li>
			<li>Исправлено условие правила R233_01.</li>
			<li>В правилах R224_ изменены названия, а также добавлены новые правила.</li>
			<li>Правило R050_01 разделено на 3 разных правила.</li>
			<li>Правило R221 переименовано в R224_08.</li>
			<li>Переименованы правила R107.</li>
			<li>Обновлено правило R220_02.</li>
		</ul>
	Прочие изменения:
		<ul>
			<li>Удалено правило R033.</li>
			<li>Удалено правило R050_02.</li>
			<li>Небольшие косметические корректировки правил.</li>
		</ul>
</p>

  <p>
  <b>[OOTB] SOC Content - RU. Версия 1</b><br>
  Список изменений:
  <ul>
		<li>Наборы ресурсов SOC_package1, SOC_package2, SOC_package3 были объеденины в один пакет.</li>
		<li>Исправлены корреляционные правила R201, R202, R203.</li>
		<li>Добавлена папка "Integration". Ресурсы, которые могут быть отредактированы пользователем перенесены в данную папку.</li>
		<li>Добавлены ресурсы, выполняющие автоматическое отключение правил, в случае если правило начинает слишком часто срабатывать.</li>
		<li>Добавлены фильтры, необходимые для настройки исключений и тюнинга корреляционных правил. Фильтры размещены в папке Integration.</li>
		<li>Исправлены названия и описания корреляционных правил.</li>
	</ul>
  </p>

</body>
</html>
