<html lang="en">
<body>

 <p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 7</b><br>
	Список изменений:<br>
	Внесены изменения в правила:
		<ul>
			<li>Правила R004, R030_01, R030_02, R032_01, R032_02: Корректировка условия; удаление активного листа Workstation; добавление фильтра Workstation, с помощью которого адаптируется правило под инфраструктуру</li>
			<li>Правило R035_03: Корректировка условия</li>
			<li>Правило R036_01: Корректировка условия</li>
			<li>Правило R074: Корректировка условия и логики работы правила</li>
			<li>Правило R089_01: Корректировка условия</li>
			<li>Правило R288_04: Корректировка условия</li>
			<li>Правило R296_22: Корректировка условия</li>
			<li>Правило R402_01: Корректировка условия</li>
			<li>Правило R427_04: Корректировка условия</li>
			<li>Правило R437_07: Корректировка условия</li>
			<li>Правило R426_02: Корректировка условия</li>
			<li>Правила R116_07, R116_08, R116_14-R116_20, R437_09, R437_10: Корректировка условия в связи со сменой нормализации</li>
			<li>Правила R113, R114, R115: Корректировка условия</li>
		</ul>
	Прочие изменения:
		<ul>
			<li>Исправлены незначительные опечатки</li>
			<li>Изменено условие фильтра Windows system account, фильтр переименован</li>
			<li>Изменено условие фильтра Network connection events</li>
			<li>Исправлено условие для событий от FortiGate</li>
			<li>Исправлен порядок условий в некоторых правилах для оптимизации обработки событий</li>
			<li>Скорректирован фильтр для событий CheckPoint</li>
		</ul>
  </p>

 <p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 6</b><br>
	Список изменений:<br>
	Добавлены новые правила:
		<ul>
			<li>Правило R036_02_Потенциальный брутфорс vpn (Huawei USG)</li>
			<li>Правило R402_06_Фишинговое письмо с внутренним отправителем (KSMG)</li>
			<li>Правило R405_12_Отключение файла подкачки в Linux</li>
			<li>Правило R436_04_Декодирование файлов из base64 в Linux</li>
		</ul>
	Внесены изменения в правила:
		<ul>
			<li>Правило R034_01: Корректировка условия</li>
			<li>Правило R034_02: Корректировка условия</li>
			<li>Правило R050_03: Корректировка условия</li>
			<li>Правило R076_04: Корректировка условия</li>
			<li>Правило R082_06: Корректировка порога срабатывания</li>
			<li>Правило R082_07: Корректировка условия</li>
			<li>Правило R087_04: Корректировка условия</li>
			<li>Правило R152_08: Дополнено условие</li>
			<li>Правило R224_07: Дополнено условие</li>
			<li>Правило R225_03: Дополнено условие</li>
			<li>Правило R233_04: Дополнено условие</li>
			<li>Правило R300_04: Дополнено условие</li>
			<li>Правило R423_03: Дополнено условие</li>
			<li>Правило R436_03: Исправлена ошибка в условии</li>
			<li>Правило R436_03: Исправлена ошибка в условии</li>
		</ul>
	Прочие изменения:
		<ul>
			<li>Исправлены незначительные опечатки</li>
			<li>Исправлено условие для событий от FortiGate</li>
			<li>Исправлен порядок условий в некоторых правилах для оптимизации обработки событий</li>
			<li>Полностью пересмотрена критичность для всех правил. Значение поля "Уровень важности" для правил обновлено</li>
			<li>Для правил на основе событий аудита Linux добавлена поддержка источника Kaspersky Endpoint Security for Linux (KESL)</li>
			<li>Обновлены техники и тактики для правил в соответствии с ATT&CK MITRE v17</li>
			<li>Для фильтров Microsoft Windows добавлены условия для поля Windows logs provider с целью избежать коллизий с другими источниками событий с тем же Event ID</li>
			<li>Скорректирован фильтр для событий CheckPoint</li>
			<li>Исправлены локальные переменные в правилах по автоматическому помещению правил в стоп-лист</li>
			<li>Для правил основанных на событиях 4104 (PowerShell) поле S.ScriptBlockText добавлено в поля агрегации</li>
		</ul>
  </p>

<p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 5</b><br>
	Список изменений:<br>
	<b>Внимание</b><br>
	В пакете правил были удалены все верхнеуровневые правила, которые ранее объединяли несколько правил. В связи с этим в каждом правиле было включено действие по созданию алертов. Для обновления пакета правил с более старых версий предлагается два варианта:<br>
			1. Удалить все ресурсы кроме папки KUMA Packages/SOC package/Integration, затем загрузить пакет заново. Все внесенные изменения не буду затронуты.<br>
			2. Удалить ресурсы, которые больше неактуальны самостоятельно. <br> 
			Для этого необходимо удалить корреляционные правил и фильтры, которые соответствуют фильтру:<br>
			^(R001|R002|R003|R005|R030|R031|R032|R034|R035|R036|R050|R057|R058|R059|R061|R062|R063|R076|R077|R078|R079|R080|R081|R082|R083|R084|R087|R089|R093|R097|R098|R099|R100|R101|R102|R103|R104|R105|R106|R107|R108|R109|R110|R116|R150|R152|R154|R203|R207|R208|R209|R211|R219|R220|R221|R222|R223|R224|R225|R226|R227|R228|R229|R230|R231|R233|R240|R280|R281|R282|R283|R285|R286|R287|R288|R289|R290|R291|R292|R293|R294|R295|R296|R300|R301|R302|R331|R335|R350|R351|R402|R405|R406|R407|R408|R409|R410|R411|R412|R413|R414|R415|R416|R417|R418|R419|R420|R421|R422|R423|R424|R425|R426|R427|R428|R429|R430|R431|R432|R433|R434|R435|R436|R437|R438)_\D
			<br>
			Данное регулярное выражение можно ввести в строку поиска в разделе ресурсов.<br>
			Если никакие пользовательские настройки правил не производились, то рекомендуем удалить директорию KUMA Packages/SOC package для всех ресурсов и поставить пакет заново.<br>
			<b>Если не удалить верхнеуровневые правила, то в алерты будут поступать дублирующие события.</b><br>
	
	Изменена структура каталога ресурсов "Integration".
  </p>

 <p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 4</b><br>
	Список изменений:<br>
	<b>Внимание</b><br>
	В пакете правил были удалены все верхнеуровневые правила, которые ранее объединяли несколько правил. В связи с этим в каждом правиле было включено действие по созданию алертов. Для обновления пакета правил с более старых версий предлагается два варианта:<br>
			1. Удалить все ресурсы кроме папки KUMA Packages/SOC package/Integration, затем загрузить пакет заново. Все внесенные изменения не буду затронуты.<br>
			2. Удалить ресурсы, которые больше неактуальны самостоятельно. <br> 
			Для этого необходимо удалить корреляционные правил и фильтры, которые соответствуют фильтру:<br>
			^(R001|R002|R003|R005|R030|R031|R032|R034|R035|R036|R050|R057|R058|R059|R061|R062|R063|R076|R077|R078|R079|R080|R081|R082|R083|R084|R087|R089|R093|R097|R098|R099|R100|R101|R102|R103|R104|R105|R106|R107|R108|R109|R110|R116|R150|R152|R154|R203|R207|R208|R209|R211|R219|R220|R221|R222|R223|R224|R225|R226|R227|R228|R229|R230|R231|R233|R240|R280|R281|R282|R283|R285|R286|R287|R288|R289|R290|R291|R292|R293|R294|R295|R296|R300|R301|R302|R331|R335|R350|R351|R402|R405|R406|R407|R408|R409|R410|R411|R412|R413|R414|R415|R416|R417|R418|R419|R420|R421|R422|R423|R424|R425|R426|R427|R428|R429|R430|R431|R432|R433|R434|R435|R436|R437|R438)_\D
			<br>
			Данное регулярное выражение можно ввести в строку поиска в разделе ресурсов.<br>
			Если никакие пользовательские настройки правил не производились, то рекомендуем удалить директорию KUMA Packages/SOC package для всех ресурсов и поставить пакет заново.<br>
			<b>Если не удалить верхнеуровневые правила, то в алерты будут поступать дублирующие события.</b><br>
	
	Добавлены новые правила:
		<ul>
			<li>Правило R033_Удаленный запуск процесса с помощью WMI</li>
			<li>Правила R084_05, R084_06: Использование ПО для удаленного администрирования</li>
			<li>Правила R087_06, R087_07, R087_08: Возможное внедрение в процесс</li>
			<li>Правило R089_08: Попытка подозрительной перезаписи файла</li>
			<li>Правило R093_40: Удаление значения ключа реестра Windows</li>
			<li>Правила R097_05, R097_06: Подозрительное создание ярлыка</li>
			<li>Правило R152_14: Подозрение на закрепление на хосте с помощью wpbbin.exe</li>
			<li>Правило R224_23: Сбор данных о конфигурации сетевого устройства Cisco</li>
			<li>Правила R231_08, R231_09, R231_10, R231_11: Сбор учетных данных из файлов ОС</li>
			<li>Правило R284_01: Создание исполняемого файла в необычной директории</li>
			<li>Правило R285_04: Подозрительная манипуляция с файлами на общих ресурсах</li>
			<li>Правило R286_05: Подозрение на веб-шелл</li>
			<li>Правила R288_03, R288_04: Подозрительное расширение файлов</li>
			<li>Правила R290_08, R290_09: Подозрительный манипуляции с системными утилитами</li>
			<li>Правила R296_20, R296_21, R296_22: Подозрительный манипуляции с PowerShell</li>
			<li>Правило R351_03: Подозрение на атаку HTML smuggling</li>
			<li>Правило R409_07: Очистка данных почтового ящика</li>
			<li>Правило R435_05: Манипуляции с локальным межсетевым экраном</li>
			<li>Правило R437_11: Обнаружено взаимодействие с C&C (Palo Alto)</li>
			<li>Правило R446_01: Изменение конфигурации MSSQL</li>
		</ul>
	Внесены изменения в правила:
		<ul>
			<li>Правило R034_01: Корректировка условия</li>
			<li>Правило R061_04: Корректировка условия</li>
			<li>Правило R072: Корректировка условия</li>
			<li>Правило R079_03: Поддержка событий KSC через БД и CEF</li>
			<li>Правило R087_04: Корректировка условия</li>
			<li>Правило R110_02: Корректировка условия</li>
			<li>Правило R110_06: Корректировка условия</li>
			<li>Правило R203_02: Корректировка условия</li>
			<li>Правило R224_04: Корректировка условия</li>
			<li>Правило R231_03: Корректировка условия</li>
			<li>Правило R296_19: Корректировка условия</li>
			<li>Правило R402_04: Корректировка условия</li>
			<li>Правило R426_02: Корректировка условия</li>
		</ul>
	Прочие изменения:
		<ul>
			<li>Исправлены незначительные опечатки</li>
			<li>Из пакета были удалены правила, относящиеся к мониторингу сетевой активности. Правила были перенесены в отдельный пакет</li>
		</ul>
  </p>


  <p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 3</b><br>
	Список изменений:<br>
	Добавлены новые правила:
		<ul>
			<li>Правило R050_07, R050_08: очистка журналов</li>
			<li>Правила R058_04, R058_05: подозрительное создание локального пользователя</li>
			<li>Правило R061_10, R061_11: манипуляции с учетными записями</li>
			<li>Правило R082_09, R082_10, R082_11, R082_12, R082_13: экфильтрация с помощью ICMP</li>
			<li>Правило R083_13: использование виртуализации</li>
			<li>Правило R087_05: возможное внедрение в процесс</li>
			<li>Правило R093_39: модификация критичных веток реестра Windows</li>
			<li>Правило R107_04: сжатие данных</li>
			<li>Правила R116: попытка обращения на вредоносный ресурс</li>
			<li>Правило R152_13: подозрительное дерево процессов</li>
			<li>Правила R154: модификация процесса аутентификации</li>
			<li>Правило R224_22: сбор информации о системе</li>
			<li>Правила R225_04, R225_05: сбор информации о системе</li>
			<li>Правило R228_04: сбор информации об инфраструктуре</li>
			<li>Правило R283_03: подозрительные действия от имени браузера</li>
			<li>Правило R285_03: создание подозрительных файлов</li>
			<li>Правила R286_02, R286_03, R286_04: подозрение на reverse shell</li>
			<li>Правило R291_06: подозрительная загрузка внешних модулей</li>
			<li>Правило R293_04: подозрительное дерево процессов</li>
			<li>Правило R296_19: подозрительное использование системной утилиты</li>
			<li>Правила R402: подозрение на фишинговую рассылку</li>
			<li>Правило R405_10: изменение конфигурационных файлов</li>
			<li>Правило R409_06: экспорт данных из почтового ящика</li>
			<li>Правила R419: манипуляции с параметрами валидации ПО</li>
			<li>Правила 427: подозрительная выгрузка файлов</li>
			<li>Правила R433_04, R433_05, R433_06: использование контейнеризации</li>
			<li>Правило R434_04: сбор данных из контейнеров</li>
			<li>Правило R435_04: мониторинг сетевого трафика</li>
			<li>Правила R437: возможная сетевая атака</li>
			<li>Правила R438: сбор данных</li>
			<li>Правило R440: отключение KES</li>
			<li>Правило R441: использование утилит для очистки диска</li>
			<li>Правило R442: использование задержки выполнения процесса</li>
			<li>Правило R443: запуск процесса в режиме nohup</li>
		</ul>
	Внесены изменения в правила:
		<ul>
			<li>Правило R002_02: корректировка условия</li>
			<li>Правило R031_01: корректировка условия</li>
			<li>Правило R083_03: корректировка условия</li>
			<li>Правило R093_07: корректировка условия</li>
			<li>Правило R100_01: корректировка условия</li>
			<li>Праивло R107_01: корректировка условия</li>
			<li>Правило R109_01: корректировка условия</li>
			<li>Правила R116, R117: переименованы в R116_01 и R116_02</li>
			<li>Правило R296_01: корректировка условия</li>
			<li>Правило R402: переименовано в R402_01</li>
			<li>Правило R438_01: корректировка условия</li>
		</ul>
	Прочие изменения:
		<ul>
			<li>Исправлены незначительные опечатки</li>
			<li>Добавлено обогащение полей Message</li>
			<li>Доработаны описания правил</li>
		</ul>
  </p>
    
  
  <p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 2</b><br>
	Список изменений:<br>
	Добавлены новые правила:
		<ul>
			<li>Правило R050_06: обнаружение очистки журнала auditd</li>
			<li>Правило R077_05: обнаружение ВПО Kernel Callback Table Hijacking</li>
			<li>Правило R083_10: обнаружение подозрительного ПО</li>
			<li>Правило R093_37: обнаружение изменения корневых сертификатов</li>
			<li>Правило R093_38: обнаружение изменения настроек SIP и Trust provider</li>
			<li>Правила R203: обнаружение обращения на подозрительные URL</li>
			<li>Правило R209_05: обнаружение тестирования доступа в интернет</li>
			<li>Правило R219_02: обнаружение использования мессенджеров</li>
			<li>Правило R220_07: обнаружение сбора данных об учетных записях</li>
			<li>Правило R224_17, R224_18, R224_19, R224_20, R224_21: обнаружение сбора данных о системе</li>
			<li>Правило R231_07: обнаружение доступа к учетным данным внутри контейнера</li>
			<li>Правило R282_03: обнаружение остановки служб Linux</li>
			<li>Правила R302_05, R302_06, R302_07: обнаружение факта изменения временных меток файла</li>
			<li>Правило R350_07: обнаружение запуска браузера в режиме приложения</li>
			<li>Правило R405_09: обнаружение изменений файла hosts</li>
			<li>Правила R422_02, R422_03: обнаружение манипуляций с настройками аудита</li>
			<li>Правила R431: обнаружение подозрительных подключенных устройств</li>
			<li>Правила R432: обнаружение получения информации о периферийных устройствах</li>
			<li>Правила R433: обнаружение подозрительных манипуляций с контейнерами</li>
			<li>Правила R434: обнаружение получения информации о контейнерах</li>
			<li>Правила R435: обнаружение изменений конфигурации сетевых устройств</li>
			<li>Правило R436: обнаружение фактов обфускации файлов</li>
			<li>Правило R437: обнаружение возможной сетевой атаки</li>
		</ul>
	Внесены изменения в правила:
		<ul>
			<li>Правила R001_01, R002_01, R003_01, R005_02, R031_02, R050_06, R059_02, R082_03, R082_04, R083_06, R099_06, R099_08, R152_08, OR152_08, R209_05, R211_02, R221_04, R224_04, R224_05, R224_06, R224_07, R224_10, R224_16, R231_05, R231_06, R231_07, R282_03, R286_01, R302_04, R302_05, R302_06, R335_01, R405_01, R405_02, R405_04, R405_05, R405_06, R405_08, R412_02, R413_01, R416_01, R418_01, R420_02, R422_02, R423_01, R429_01, R430_01, R433_01, R433_02, R433_03, R434_01, R434_02, R434_03, R436_03: доработаны условия в соответствии с новой версией нормализатора для событий auditd.</li>
			<li>Правила R089_06, R227_01, R262, R350_01, R405_07, R405_09: доработаны условия в соответствии с нормализацией.</li>
			<li>Правила R058_03, R082_01, R083_01, R083_03, R083_07, R089_01, R098_01, R100_03, R110_06, R110_07, R150_01, R104_02: доработаны условия в соответствии с нормализацией.</li>
			<li>Правила R002_01, R002_02: удален список Servers, для настройки правила необходимо использовать фильтр исключений.</li>
			<li>Правило R077_04: скорректировано условие правила</li>
			<li>Правило R082_05: скорректировано условие правила</li>
			<li>Правило R098_01: скорректировано условие правила для снижения FP</li>
			<li>Правило R099_01: расширено условие</li>
			<li>Правило R110_01: скорректировано условие правила</li>
			<li>Правило R203: разделено на несколько правил</li>
			<li>Правило R219: разделено на несколько правил</li>
			<li>Правило R281_02: расширено условие</li>
			<li>Правило R283_01: скорректировано условие правила для снижения FP</li>			
			<li>Правило R285_01: скорректировано условие правила</li>
			<li>Правило R288_02: скорректировано условие правила для снижения FP</li>
			<li>Правила R289_01 и R289_03 переименованы в R436_02 и R436_03</li>
			<li>Правило R290_05: скорректировано условие правила</li>
			<li>Правило R295_01: скорректировано условие правила для снижения FP</li>
			<li>Правило R297: скорректировано условие правила</li>
			<li>Правила OR152_08, R035_03, R035_01, R036_01, R089_04: исправлена ошибка в переменных, добавлено экранирование в регулярное выражение.</li>
			<li>Правило R401: cкорректировано описание</li>
		</ul>	
	Прочие изменения:
	<ul>
			<li>Исправлены незначительные опечатки</li>
			<li>Доработано содержимое поля «Message» для большинства правил</li>
	</ul>	
  </p>

  <p>
  <b>[OOTB] SOC Content - RU for KUMA 3.2. Версия 1</b><br>
	Список изменений:<br>
	Добавлена информация о покрытии правилами матрицы MITRE ATT&CK.
  </p>

</body>
</html>