{"id":220449,"date":"2014-04-24T00:56:03","date_gmt":"2014-04-23T20:56:03","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=220449"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=220449","title":{"rendered":"<span class=\"post_title\">SIEM \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435: \u0434\u0440\u0443\u0436\u0438\u043c Prelude + Cisco IPS \u0438 \u0432\u044b\u044f\u0432\u043b\u044f\u0435\u043c \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044e HeartBleed \u0447\u0435\u0440\u0435\u0437 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u044e<\/span>"},"content":{"rendered":"<div class=\"content html_format\">   \t\u0414\u043e\u0431\u0440\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u0441\u0443\u0442\u043e\u043a \u0432\u0441\u0435\u043c!<br \/>  \u0421\u0430\u043c\u0430 \u043f\u043e \u0441\u0435\u0431\u0435 \u0442\u0435\u043c\u0430 SIEM \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0435 \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0439. \u0412 \u0432\u0438\u0434\u0443 \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0441\u043d\u043e\u0439 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u044d\u0442\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c, \u0432\u043e\u043f\u0440\u043e\u0441\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u0438\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c, \u0433\u043b\u0443\u0431\u043e\u043a\u0438\u0435 \u0438 \u043e\u0431\u044a\u0435\u043c\u043d\u044b\u0435. \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e \u0441\u0442\u0430\u0442\u0435\u0439 (\u043d\u0430 \u0425\u0430\u0431\u0440\u0435 \u0438 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e), \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u043d\u044b\u0445 SIEM. \u041e\u0434\u043d\u0430\u043a\u043e \u0432 \u043f\u043e\u0434\u0430\u0432\u043b\u044f\u044e\u0449\u0435\u043c \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u043e\u043d\u0438 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u044e\u0442 \u0442\u0435\u043c\u0443 \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0442\u0435\u043e\u0440\u0438\u0438, \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0438 \u0438 \u043e\u0431\u0449\u0438\u0445 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u043e\u0432 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432. \u0410 \u0432\u043e\u0442 \u0441\u0442\u0430\u0442\u0435\u0439, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0445 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f\/\u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u044d\u0442\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c, <s>\u0441\u043e\u0432\u0441\u0435\u043c \u043d\u0435\u0442<\/s> \u043a\u0430\u0442\u0430\u0441\u0442\u0440\u043e\u0444\u0438\u0447\u0435\u0441\u043a\u0438 \u043c\u0430\u043b\u043e. \u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u043a\u0430\u043a \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u043f\u043e\u0434\u0440\u0443\u0436\u0438\u0442\u044c IPS \u0438 SIEM \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 Cisco IPS \u0438 Prelude, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0433\u043e \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0443\u0441\u043f\u0435\u0448\u043d\u0443\u044e \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044e \u043d\u0430\u0431\u043e\u043b\u0435\u0432\u0448\u0435\u0439 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0434\u043d\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 HeartBleed.<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/be6\/e99\/127\/be6e991272c286b292117f97d0ff4460.jpg\"\/><\/p>\n<p>  <a name=\"habracut\"><\/a>  <\/p>\n<h1>1. \u0412\u0432\u0435\u0434\u0435\u043d\u0438\u0435 \/ \u043f\u043e\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 \u0437\u0430\u0434\u0430\u0447\u0438<\/h1>\n<p>  \u0418\u0442\u0430\u043a, \u043c\u044b \u0432\u043d\u0435\u0434\u0440\u0438\u043b\u0438 <a href=\"http:\/\/habrahabr.ru\/post\/215641\/\">IPS \u0432 Inline<\/a>, \u0447\u0442\u043e \u0434\u0430\u043b\u044c\u0448\u0435?<br \/>  \u041e\u0447\u0435\u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0448\u0430\u0433\u043e\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043a\u0430\u043a-\u0442\u043e \u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0437\u0430 \u0442\u0435\u043c \u0447\u0442\u043e IPS \u043e\u0442\u043b\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442, \u0432 \u043a\u0430\u043a\u043e\u043c \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0435, \u043a\u043e\u0433\u043e \u0438 \u043e\u0442\u043a\u0443\u0434\u0430 \u0430\u0442\u0430\u043a\u0443\u044e\u0442 \u0438 \u0442.\u0434.<br \/>  \u0415\u0441\u043b\u0438 \u0431\u044b\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c:  <\/p>\n<ol>\n<li>\u041d\u0443\u0436\u043d\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0442\u044c \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u0439 \u0434\u043b\u044f \u0437\u0430\u0449\u0438\u0449\u0430\u0435\u043c\u044b\u0445 \u0445\u043e\u0441\u0442\u043e\u0432 \u043d\u0430\u0431\u043e\u0440 \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440.<\/li>\n<li>\u0414\u043b\u044f \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u044b IPS-\u0441\u0435\u043d\u0441\u043e\u0440\u043e\u0432 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u00ab\u0434\u0435\u0440\u0436\u0430\u0442\u044c \u0440\u0443\u043a\u0443 \u043d\u0430 \u043f\u0443\u043b\u044c\u0441\u0435\u00bb: \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e \u0430\u0434\u0430\u043f\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u0435\u043d\u0441\u043e\u0440 \u043f\u043e\u0434 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u0441\u0435\u0442\u044c \u0438 \u0442\u0440\u0430\u0444\u0438\u043a. \u0414\u043e\u0441\u0442\u0438\u0433\u0430\u0435\u0442\u0441\u044f \u044d\u0442\u043e \u043f\u0443\u0442\u0451\u043c \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u043f\u0440\u0430\u0432\u0438\u043b \u0441 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f\u043c\u0438.<\/li>\n<li>\u0421\u0440\u0435\u0434\u0438 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0430 \u0430\u043b\u0435\u0440\u0442\u043e\u0432, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0445 \u043e\u0442 IPS, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0432\u044b\u0434\u0435\u043b\u044f\u0442\u044c \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0432\u0430\u0436\u043d\u044b\u0435 \u0438 \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u044b\u0435.<\/li>\n<li>\u0414\u043b\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u044b\u0445 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 \u0442\u0430\u043a\u0436\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0442\u044c \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u0430\u0433\u0440\u0435\u0441\u0441\u0438\u0432\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 (\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0430 \u0442\u0440\u0430\u0444\u0438\u043a\u0430, \u0441\u0431\u0440\u043e\u0441 \u0441\u0435\u0441\u0441\u0438\u0439, \u0431\u0430\u043d IP \u0438 \u0442.\u0434.), \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u043c\u044b\u0445 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u043c, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u043e \u043d\u0438\u0445.<\/li>\n<li>\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0441\u0430\u043c\u043e\u0433\u043e \u0441\u0435\u043d\u0441\u043e\u0440\u0430 \u0442\u0430\u043a\u0436\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c (\u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u0441\u043a\u0430\u043d\u0438\u0440\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u0432\u0438\u0436\u043a\u0430, \u043e\u0448\u0438\u0431\u043a\u0438 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f, \u0441\u0440\u043e\u043a\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0439 \u0438 \u0442.\u0434.).<\/li>\n<\/ol>\n<p>  \u0414\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0442\u0430\u043a\u0438\u0445 \u0437\u0430\u0434\u0430\u0447 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u0434\u043e\u0431\u0440\u0430\u0442\u044c \u0443\u0434\u043e\u0431\u043d\u044b\u0439 \u0438 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442.<\/p>\n<h1>2. \u00ab\u0428\u0442\u0430\u0442\u043d\u044b\u0435\u00bb \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 IPS<\/h1>\n<p>  \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0441\u043f\u043e\u0441\u043e\u0431\u043e\u0432 \u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c \u0438 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442 IPS. <br \/>  \u0418\u0437 \u0448\u0442\u0430\u0442\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043e\u0442 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u0432 Cisco \u0435\u0441\u0442\u044c \u0442\u0430\u043a\u0438\u0435 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b:<\/p>\n<h4>2.1 \u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e \u043d\u0430 \u0441\u0435\u043d\u0441\u043e\u0440\u0435<\/h4>\n<p>  \u042d\u0442\u043e \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e, \u043f\u0440\u0438\u043d\u0446\u0438\u043f \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u043e\u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u00ab\u0432 \u043b\u043e\u0431\u00bb. \u041d\u0430 \u043a\u0430\u0436\u0434\u043e\u043c \u0441\u0435\u043d\u0441\u043e\u0440\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0441\u0432\u043e\u0451 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0439. \u0421\u0430\u043c\u043e \u0441\u043e\u0431\u043e\u0439, \u0443\u0432\u0438\u0434\u0435\u0442\u044c \u0432 \u043d\u0435\u043c \u043c\u043e\u0436\u043d\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043e \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043d\u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u043c \u0441\u0435\u043d\u0441\u043e\u0440\u0435.<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/4f9\/d7a\/3df\/4f9d7a3dfb10f895e38b05782f8d2315.png\"\/><\/p>\n<p>  \u041a\u0430\u043a\u043e\u0439-\u043b\u0438\u0431\u043e \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0438\/\u0430\u0433\u0440\u0435\u0433\u0430\u0446\u0438\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043f\u043e \u043a\u0430\u043a\u0438\u043c-\u043b\u0438\u0431\u043e \u043f\u0440\u0438\u0437\u043d\u0430\u043a\u0430\u043c \u043d\u0435 \u043f\u0440\u0435\u0434\u0443\u0441\u043c\u043e\u0442\u0440\u0435\u043d\u043e. \u041c\u0430\u043a\u0441\u0438\u043c\u0443\u043c, \u0447\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0441\u0435\u0431\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u2013 \u043e\u0442\u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u043c\u044b\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u043e \u0440\u044f\u0434\u0443 \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u0435\u0432 (\u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u0441\u0442\u044c \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u044b, \u0432\u0440\u0435\u043c\u044f \u0432\u044b\u0431\u043e\u0440\u043a\u0438, \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c\/\u043d\u0435 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u0435\u043d\u0441\u043e\u0440\u0430). \u0421\u0430\u043c \u043b\u0438\u0441\u0442\u0438\u043d\u0433 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/1b1\/372\/718\/1b1372718ebaf112c4a68d17df205254.png\"\/><\/p>\n<p>  \u0421\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u0430\u043d\u043d\u044b\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b \u0438\u043c\u0435\u0435\u0442 \u0441\u043c\u044b\u0441\u043b \u043b\u0438\u0431\u043e \u0434\u043b\u044f \u0434\u0435\u0431\u0430\u0433\u0430 (\u043f\u0440\u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0432\u043e \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b), \u043b\u0438\u0431\u043e \u043a\u043e\u0433\u0434\u0430 \u0432 \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043e\u0434\u0438\u043d \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0441\u0435\u043d\u0441\u043e\u0440 (\u0445\u043e\u0442\u044f \u0434\u0430\u0436\u0435 \u0434\u043b\u044f \u0442\u0430\u043a\u043e\u0439 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438 \u2013 \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u043c\u044f\u0433\u043a\u043e \u0433\u043e\u0432\u043e\u0440\u044f, \u043d\u0435 \u0441\u0430\u043c\u043e\u0435 \u0443\u0434\u043e\u0431\u043d\u043e\u0435). <\/p>\n<h4>2.2 Cisco IPS Manager Express<\/h4>\n<p>  \u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u00ab\u0440\u043e\u0434\u043d\u043e\u0439\u00bb \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043e\u0439 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u043c\u0443 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0443 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f IME. \u042d\u0442\u043e \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u043e\u0442 Cisco, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0435 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0442\u044c \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e \u0438 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0434\u043b\u044f \u043c\u0430\u043a\u0441\u0438\u043c\u0443\u043c 10-\u0442\u0438 IPS-\u0441\u0435\u043d\u0441\u043e\u0440\u043e\u0432. \u0412 \u043f\u043b\u0430\u043d\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0441\u0442\u043e\u0438\u0442 \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0442\u0443\u0442 \u0440\u0435\u0447\u044c \u0438\u0434\u0451\u0442 \u043e\u0431 \u043e\u0431\u0449\u0435\u0439 \u043a\u043e\u043d\u0441\u043e\u043b\u0438 \u0434\u043b\u044f \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432, \u0442.\u0435. \u043d\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 (\u0437\u0430 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435\u043c \u0442\u0440\u0451\u0445 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432, \u043e\u0442\u043d\u043e\u0441\u044f\u0449\u0438\u0445\u0441\u044f \u043a \u0444\u0443\u043d\u043a\u0446\u0438\u044f\u043c Global Correlation, Reputation Filtering \u0438 Network Participation). <br \/>  \u0427\u0442\u043e \u043a\u0430\u0441\u0430\u0435\u0442\u0441\u044f \u0441\u0431\u043e\u0440\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u2013 \u0437\u0434\u0435\u0441\u044c \u0443\u0436\u0435 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044f \u0441\u0438\u043b\u044c\u043d\u043e \u043b\u0443\u0447\u0448\u0435: \u0430\u043b\u0435\u0440\u0442\u044b \u043e\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u0432 \u0441\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f \u0432 \u043e\u0431\u0449\u0443\u044e \u0431\u0430\u0437\u0443 \u0434\u0430\u043d\u043d\u044b\u0445. <\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/24a\/23b\/5b2\/24a23b5b23a6a3cd54b814d020e3bdd6.png\"\/><\/p>\n<p>  \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0441\u0431\u043e\u0440 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043a\u0430\u043a \u043e\u0442 IPS-\u0430\u043f\u043f\u043b\u0430\u0438\u043d\u0441\u043e\u0432\/\u043c\u043e\u0434\u0443\u043b\u0435\u0439, \u0442\u0430\u043a \u0438 \u043e\u0442 IOS-IPS \u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432. \u0415\u0441\u0442\u044c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0438 \u0438 \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043f\u043e \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c \u043f\u0440\u0438\u0437\u043d\u0430\u043a\u0430\u043c. \u0412 \u043a\u0430\u0436\u0434\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043c\u043e\u0436\u043d\u043e \u00ab\u043f\u0440\u043e\u0432\u0430\u043b\u0438\u0442\u044c\u0441\u044f\u00bb \u0434\u043b\u044f \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/d56\/550\/58a\/d5655058a82a8e0158bd8a2ce37522e0.png\"\/><\/p>\n<p>  \u0415\u0449\u0451 \u043e\u0434\u043d\u043e\u0439 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0435\u0439 IME \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043e\u043f\u043e\u0432\u0435\u0449\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437 email \u043e \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0445 \u043e\u0442 IPS \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445. \u041a\u0440\u0438\u0442\u0435\u0440\u0438\u0435\u0432 \u0432\u044b\u0431\u043e\u0440\u0430 \u043e\u0431 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f\u0445 \u0432\u0441\u0435\u0433\u043e \u0434\u0432\u0430: Attack Severity Rating \u0438 RiskRating.<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/a66\/4e4\/aa6\/a664e4aa6de4bd28fac809bb083aadd2.png\"\/><\/p>\n<p>  \u0425\u043e\u0442\u044c IME \u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c, \u043d\u043e \u043d\u0435 \u043b\u0438\u0448\u0451\u043d \u0440\u044f\u0434\u0430 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0439. \u041e\u0434\u0438\u043d \u0438\u0437 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043a\u043e\u0432 \u044d\u0442\u043e \u0442\u043e, \u0447\u0442\u043e IME \u043d\u0435 \u043a\u043b\u0438\u0435\u043d\u0442-\u0441\u0435\u0440\u0432\u0435\u0440\u043d\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430, \u0430 \u043f\u043e \u0441\u0443\u0442\u0438 \u0441\u0432\u043e\u0435\u0439 \u2013 \u043e\u0431\u044b\u0447\u043d\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0435\u0435 \u0431\u0430\u0437\u0443 \u0434\u0430\u043d\u043d\u044b\u0445 MySQL. \u0412 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 IME \u0434\u0430\u0436\u0435 \u043d\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u043b\u0441\u044f \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u044b\u0445 \u0438 x64-\u0431\u0438\u0442\u043d\u044b\u0445 \u041e\u0421. \u0422\u0430\u043a\u0436\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f\u043c\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432 (\u043d\u0435 \u0431\u043e\u043b\u0435\u0435 10-\u0442\u0438) \u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0432 \u0441\u0435\u043a\u0443\u043d\u0434\u0443 (100 EPS).<\/p>\n<h4>2.3 Cisco Security Manager<\/h4>\n<p>  CSM \u043f\u043e\u0437\u0438\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0443\u0436\u0435 \u043a\u0430\u043a \u043f\u043e\u043b\u043d\u043e\u0446\u0435\u043d\u043d\u043e\u0435 Enterprise \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u043f\u0440\u0435\u0434\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u043d\u043e\u0435 \u0434\u043b\u044f \u0446\u0435\u043d\u0442\u0440\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c\u0438 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u043c\u0438 (IPS, ASA\/PIX, IOS-\u0440\u043e\u0443\u0442\u0435\u0440\u044b \u0438 \u0442.\u0434.). \u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u043c\u0438 \u043c\u043e\u0436\u043d\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c, \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u043f\u0440\u0438\u043e\u0431\u0440\u0435\u0442\u0435\u043d\u043d\u043e\u0439 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0438. \u0421\u0430\u043c\u043e \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0443\u0436\u0435 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a: \u043c\u043e\u0436\u043d\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u044d\u0442\u0430\u043b\u043e\u043d\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u0442\u0438\u0440\u0430\u0436\u0438\u0440\u043e\u0432\u0430\u0442\u044c.<br \/>  \u0421 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0441\u0431\u043e\u0440\u0430, \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0438 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u0439, CSM \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u0445\u043e\u0436 \u043d\u0430 IME:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/14c\/0a5\/ab5\/14c0a5ab56790c2762ff15d77e6082ba.png\"\/><\/p>\n<p>  \u0417\u0434\u0435\u0441\u044c, \u043a\u0430\u043a \u0438 \u0432 IME, \u0438\u043c\u0435\u0435\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0433\u0440\u0443\u043f\u043f\u0438\u0440\u043e\u0432\u043a\u0438\/\u0430\u0433\u0440\u0435\u0433\u0430\u0446\u0438\u0438 \u0438 \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u043c\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043f\u043e \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u044f\u043c. \u041f\u043e\u043c\u0438\u043c\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043e\u0442 IPS, \u0432 CSM \u0435\u0441\u0442\u044c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0442\u0430\u043a\u0436\u0435 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442 \u0444\u0430\u0439\u0440\u0432\u043e\u043b\u043b\u043e\u0432 ASA\/FWSM\/PIX.<br \/>  \u0412 \u043a\u0430\u0436\u0434\u044b\u0439 \u0430\u043b\u0435\u0440\u0442 \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u00ab\u043f\u0440\u043e\u0432\u0430\u043b\u0438\u0442\u044c\u0441\u044f\u00bb \u0434\u043b\u044f \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/683\/e4c\/8a8\/683e4c8a84a3a87a63d1ef434790d238.png\"\/><\/p>\n<p>  \u0425\u043e\u0442\u044f CSM \u043f\u043e\u0437\u0438\u0446\u0438\u043e\u043d\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043a\u0430\u043a Enterprise \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0438 \u043e\u0442 \u0442\u043e\u0433\u043e \u0436\u0435 IME, \u043e\u043d \u043d\u0435 \u0443\u043c\u0435\u0435\u0442 \u0441\u043e\u0431\u0438\u0440\u0430\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u0441 IOS-IPS (\u043d\u043e \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u0443\u043c\u0435\u0435\u0442 \u0438\u0445 \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438). \u0422\u0430\u043a\u0436\u0435 CSM \u043d\u0435 \u0443\u043c\u0435\u0435\u0442 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0442\u044c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e e-mail \u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445, \u043e\u0442\u043b\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0445 IPS. <\/p>\n<div class=\"spoiler\"><b class=\"spoiler_title\">CS-MARS<\/b><\/p>\n<div class=\"spoiler_text\">\u0415\u0449\u0451 <s>\u0435\u0441\u0442\u044c<\/s> \u0431\u044b\u043b\u0430 \u0442\u0430\u043a\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 <a href=\"http:\/\/www.cisco.com\/c\/en\/us\/products\/security\/security-monitoring-analysis-response-system\/index.html\">CS-MARS<\/a>, \u043d\u043e \u043f\u0440\u043e\u0435\u043a\u0442 \u044d\u0442\u043e\u0442 \u0443\u0436\u0435 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0434\u0430\u0432\u043d\u043e \u0437\u0430\u043a\u0440\u044b\u0442, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u043e\u043d \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0438\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0441\u043f\u0440\u0430\u0432\u043a\u0438.  <\/div>\n<\/div>\n<h1>3. SIEM<\/h1>\n<p>  \u041e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u0432\u044b\u0448\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0445\u043e\u0440\u043e\u0448\u0438 \u043a\u0430\u0436\u0434\u043e\u0435 \u043f\u043e-\u0441\u0432\u043e\u0435\u043c\u0443. \u041d\u043e, \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0441\u0431\u043e\u0440\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u043e\u043d\u0438 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0443\u0437\u043a\u043e\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u043d\u044b\u043c\u0438: \u043a\u0440\u043e\u043c\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043e\u0442 IPS (\u0438 \u043e\u0442 \u0444\u0430\u0439\u0440\u0432\u043e\u043b\u043b\u043e\u0432, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441 CSM) \u0443\u0432\u0438\u0434\u0435\u0442\u044c \u0432 \u043d\u0438\u0445 \u043c\u044b \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0438\u0447\u0435\u0433\u043e \u0438 \u043d\u0435 \u0441\u043c\u043e\u0436\u0435\u043c.<\/p>\n<p>  \u0414\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0447\u0430\u0441\u0442\u043e \u0432 \u043c\u043e\u0435\u0439 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0443 \u043a\u043e\u043b\u043b\u0435\u0433 \u0438\u0437 \u0441\u043e\u0441\u0435\u0434\u043d\u0438\u0445 \u043e\u0442\u0434\u0435\u043b\u043e\u0432 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u044e\u0442 \u0432\u043e\u043f\u0440\u043e\u0441\u044b:  <\/p>\n<ul>\n<li>\u0423 \u043d\u0430\u0441 \u0442\u0443\u0442 &lt;\u043f\u043e \u043a\u0430\u043d\u0430\u043b\u0430\u043c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0432\u043e\u0437\u0440\u043e\u0441\u043b\u0430 | \u0441\u0435\u0440\u0432\u0438\u0441 \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u043b \u043e\u0442\u0437\u044b\u0432\u0430\u0442\u044c\u0441\u044f | \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u043e\u0442\u044a\u0435\u0445\u0430\u043b\u0430 | \u0447\u0442\u043e-\u0442\u043e \u0441\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c&gt;, \u043d\u0435 \u0437\u043d\u0430\u0435\u0442\u0435 \u0441 \u0447\u0435\u043c \u0441\u0432\u044f\u0437\u0430\u043d\u043e?<\/li>\n<li>\u0410 \u0443 \u0432\u0430\u0441 (\u0443 \u0418\u0411) \u0442\u0430\u043c \u043d\u0438\u0447\u0435\u0433\u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u043d\u0435 \u0431\u044b\u043b\u043e \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u043e?<\/li>\n<li>etc<\/li>\n<\/ul>\n<p>  \u0418\u043c\u0435\u043d\u043d\u043e \u0432 \u0442\u0430\u043a\u0438\u0445 \u0441\u043b\u0443\u0447\u0430\u044f\u0445 \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441 \u0440\u043e\u0443\u0442\u0435\u0440\u043e\u0432, \u0441\u0432\u0438\u0442\u0447\u0435\u0439, \u043b\u043e\u0433\u0438 \u0441 unix\/windows, \u0436\u0443\u0440\u043d\u0430\u043b\u044b \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c, \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u044b, \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0435 \u0448\u043b\u044e\u0437\u044b \u0438 \u0442.\u0434. \u041d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u044d\u0442\u043e\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0442\u044c \u0431\u0435\u0441\u043a\u043e\u043d\u0435\u0447\u043d\u043e. <br \/>  \u0410 \u0435\u0449\u0451 \u0432\u0441\u0451 \u044d\u0442\u043e \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439 \u0441\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043f\u043e \u043a\u0430\u043a\u0438\u043c-\u043b\u0438\u0431\u043e \u043a\u0440\u0438\u0442\u0435\u0440\u0438\u044f\u043c (\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0441\u0442\u0438 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u044e), \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0430 \u0445\u043e\u0434\u0443 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0445\u043e\u0441\u0442\u0430\u0445, \u0443\u0447\u0430\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0438: \u0447\u0442\u043e \u0437\u0430 \u0440\u0435\u0441\u0443\u0440\u0441, \u0443\u044f\u0437\u0432\u0438\u043c \u0438\u043b\u0438 \u043d\u0435\u0442, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u0440\u0442\u044b \u043e\u0442\u043a\u0440\u044b\u0442\u044b \u0438 \u0442.\u0434.<br \/>  \u0412\u043e\u0442 \u0437\u0434\u0435\u0441\u044c \u0438 \u043f\u0440\u0438\u0445\u043e\u0434\u044f\u0442 \u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c SIEM \u0441\u0438\u0441\u0442\u0435\u043c\u044b. \u0412\u0441\u0451 \u0432\u044b\u0448\u0435\u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u043d\u043e\u0435 \u043e\u043d\u0438 \u0434\u0435\u043b\u0430\u0442\u044c \u0443\u043c\u0435\u044e\u0442, \u0430 \u043f\u0440\u0438 \u0434\u043e\u043b\u0436\u043d\u043e\u043c \u0443\u0441\u0435\u0440\u0434\u0438\u0438 \u2013 \u0435\u0449\u0451 \u0438 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043e. <\/p>\n<p>  \u041e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0442\u0430\u043a\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043c\u0430\u043b\u043e\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0439 \u0432 \u0420\u0443\u043d\u0435\u0442\u0435 \u0437\u0432\u0435\u0440\u044c, \u043f\u043e \u0438\u043c\u0435\u043d\u0438 Prelude. \u041e \u043d\u0451\u043c \u0438 \u043f\u043e\u0439\u0434\u0451\u0442 \u0440\u0435\u0447\u044c.<br \/>  \u041f\u043e\u0447\u0435\u043c\u0443 \u0438\u043c\u0435\u043d\u043d\u043e \u043e \u043d\u0451\u043c?  <\/p>\n<ol>\n<li>\u041e\u043d \u043c\u043d\u0435 \u043d\u0440\u0430\u0432\u0438\u0442\u0441\u044f.<\/li>\n<li>\u041e\u043d \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 (\u0438 \u0443\u0436\u0435 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0434\u0430\u0432\u043d\u043e).<\/li>\n<li>\u0423 \u043d\u0435\u0433\u043e \u0435\u0441\u0442\u044c OSS \u0432\u0435\u0440\u0441\u0438\u044f.<\/li>\n<li>\u0418\u043c\u0435\u0435\u0442 \u043d\u0430\u0442\u0438\u0432\u043d\u0443\u044e \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u0438\u043c\u043e\u0441\u0442\u044c <a href=\"https:\/\/www.prelude-ids.org\/wiki\/prelude\/InstallingAgentThirdparty\">\u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 OSS-\u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438<\/a>.<\/li>\n<li>\u041f\u0440\u0438 \u0436\u0435\u043b\u0430\u043d\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u043b\u044e\u0431\u043e\u0439 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0438\u0448\u0435\u0442 \u043b\u043e\u0433.<\/li>\n<li>\u0418\u0437 \u043d\u0435\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0431\u0440\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u00ab\u0448\u0432\u0435\u0439\u0446\u0430\u0440\u0441\u043a\u0438\u0439 \u043d\u043e\u0436\u00bb \u043f\u043e\u0434 \u0441\u0432\u043e\u0438 \u0437\u0430\u0434\u0430\u0447\u0438 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f, \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u0440\u0435\u0430\u043a\u0446\u0438\u0438 \u043d\u0430 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u044b.<\/li>\n<li>\u041c\u043e\u0434\u0443\u043b\u044c \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d \u0432 \u0432\u0438\u0434\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u043c\u044b\u0445 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 \u043d\u0430 Python, \u0447\u0442\u043e \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u0433\u0438\u0431\u043a\u043e\u0441\u0442\u044c \u0432 \u0441\u0430\u043c\u043e\u043c \u043f\u043e\u043b\u043d\u043e\u043c \u0441\u043c\u044b\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0441\u043b\u043e\u0432\u0430. \u041f\u043e\u043b\u043d\u043e\u0446\u0435\u043d\u043d\u044b\u0439 \u044f\u0437\u044b\u043a \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u043b\u044e\u0431\u044b\u0445 \u043f\u0440\u0430\u0432\u0438\u043b \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438.<\/li>\n<li>\u0415\u0441\u0442\u044c \u0443\u0434\u043e\u0431\u043d\u044b\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 Prewikka.<\/li>\n<\/ol>\n<p>  \u0412 \u043e\u0441\u043d\u043e\u0432\u0435 \u0440\u0430\u0431\u043e\u0442\u044b Prelude \u043b\u0435\u0436\u0438\u0442 \u0444\u043e\u0440\u043c\u0430\u0442 <a href=\"http:\/\/www.ietf.org\/rfc\/rfc4765.txt\">IDMEF<\/a>, \u043f\u0440\u0435\u0434\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u044e\u0449\u0438\u0439 \u043f\u043e\u043b\u044f \u0432 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c\u044b\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f\u0445. \u041f\u043e\u043c\u0438\u043c\u043e \u043f\u0440\u0435\u0434\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u0435\u0439 \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0435, \u0441 \u0437\u0430\u0434\u0430\u043d\u043d\u044b\u043c \u0438\u043c\u0435\u043d\u0435\u043c \u0438 \u0444\u043e\u0440\u043c\u0430\u0442\u043e\u043c (additional data), \u043a\u0443\u0434\u0430 \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u0432\u0441\u0451, \u0447\u0442\u043e \u043d\u0435 \u0432\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0435 \u043f\u043e\u043b\u044f. \u041d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u0434\u0430\u043d\u043d\u044b\u0445, \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0432 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043f\u043e\u043b\u044f, \u043c\u043e\u0436\u0435\u0442 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f, \u0430\u0433\u0440\u0435\u0433\u0430\u0446\u0438\u044f \u0438 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u0439. <\/p>\n<h4>3.1 \u0410\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 Prelude<\/h4>\n<p>  \u0412 \u0443\u043f\u0440\u043e\u0449\u0435\u043d\u043d\u043e\u043c \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0435 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0443 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/7ae\/50f\/0f3\/7ae50f0f3196a836919d02b801c64fbe.png\"\/><\/p>\n<p>  <u>Manager<\/u> \u2013 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u044f\u0434\u0440\u043e\u043c \u0441\u0438\u0441\u0442\u0435\u043c\u044b. \u041e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u043f\u0440\u0438\u0435\u043c \u0443\u0436\u0435 \u043d\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 (\u0440\u0430\u0441\u043f\u0430\u0440\u0435\u043d\u043d\u044b\u0445) \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043e\u0442 LML-\u0430\u0433\u0435\u043d\u0442\u043e\u0432, \u043c\u043e\u0434\u0443\u043b\u044f \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438, \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u0438\u043b\u0438 \u043f\u043e\u0434\u0447\u0438\u043d\u0435\u043d\u043d\u044b\u0445 \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u043e\u0432 (\u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e \u0432 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438). \u041f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0432 \u0431\u0430\u0437\u0443 \u0434\u0430\u043d\u043d\u044b\u0445. \u0422\u0430\u043a\u0436\u0435 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u0447\u0435\u0440\u0435\u0437 email.<\/p>\n<p>  <u>LML<\/u> \u2013 \u0430\u0433\u0435\u043d\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0438 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u043e\u0441\u0442\u0430\u0432\u0449\u0438\u043a \u0441\u043e\u0431\u044b\u0442\u0438\u0439. \u041e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442 \u043f\u0440\u0438\u0435\u043c \u043b\u043e\u0433\u043e\u0432 \u043e\u0442 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c (\u0447\u0435\u0440\u0435\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0438\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 syslog \u043d\u0430 UDP-\u043f\u043e\u0440\u0442). \u041f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 \u043b\u043e\u0433\u0438 \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0435\u0442\/\u043d\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043d\u0430\u0431\u043e\u0440\u0430 \u043f\u0440\u0430\u0432\u0438\u043b, \u0441\u043e\u0441\u0442\u043e\u044f\u0449\u0438\u0445 \u0438\u0437 \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u0445 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0439. \u041d\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442\u0434\u0430\u0451\u0442 Manager-\u0443. LML \u043c\u043e\u0436\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043a\u0430\u043a \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e (\u043d\u0430 \u043e\u0434\u043d\u043e\u043c \u0441\u0435\u0440\u0432\u0435\u0440\u0435 \u0441 Manager-\u043e\u043c), \u0442\u0430\u043a \u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e.<\/p>\n<p>  <u>Correlator<\/u> \u2013 \u043c\u043e\u0434\u0443\u043b\u044c \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438. \u041f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u043a Manager-\u0443 \u043a\u0430\u043a \u0430\u0433\u0435\u043d\u0442. \u041f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u044e \u043f\u043e\u0441\u0442\u0443\u043f\u0438\u0432\u0448\u0438\u0445 \u0432 Manager \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u043e\u0432, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u0432\u0438\u0434\u0435 Python-\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432.<\/p>\n<p>  <u>DataBase<\/u> \u2013 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0431\u0430\u0437\u0430 \u0434\u0430\u043d\u043d\u044b\u0445, \u0433\u0434\u0435 \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u0432\u0441\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f, \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043e\u0439.<\/p>\n<p>  <u>3<sup>rd<\/sup> Party Systems<\/u> \u2013 \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0441 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u043e\u0439 IDMEF, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0438\u0445 \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u043a Manager-\u0443.<\/p>\n<p>  <u>Prewikka<\/u> \u2013 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 Web. \u041f\u0440\u0435\u0434\u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d \u0434\u043b\u044f \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0438\u0445 \u0430\u0433\u0440\u0435\u0433\u0430\u0446\u0438\u0438\/\u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u0438, \u0432\u044b\u0432\u043e\u0434\u0430 \u0441\u0442\u0430\u0442\u0438\u0441\u0442\u0438\u043a\u0438 \u0438 \u0442.\u0434.<\/p>\n<p>  \u0412\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u044d\u0442\u043e \u0432\u0441\u0451 \u0432\u043e\u0442 \u0442\u0430\u043a:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/9d1\/481\/d2a\/9d1481d2a1c34a56c5c415f16cac22c5.png\"\/><\/p>\n<p>  \u0421\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u044e\u0442\u0441\u044f \u0432 \u0442\u0430\u0431\u043b\u0438\u0446\u0435, \u0432 \u0441\u0442\u043e\u043b\u0431\u0446\u0430\u0445 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0430 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\/\u043e\u0431:  <\/p>\n<ul>\n<li>\u043a\u043b\u0430\u0441\u0441\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0430\u043b\u0435\u0440\u0442\u043e\u0432 (Classification), \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \u043f\u043e\u043b\u044f \u0441 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u044f, \u043f\u0440\u0438\u0437\u043d\u0430\u043a\u043e\u043c \u0435\u0433\u043e (\u043d\u0435)\u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0433\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u044f, id-\u0441\u043e\u0431\u044b\u0442\u0438\u044f (\u043d\u043e\u043c\u0435\u0440 \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u044b, \u043d\u043e\u043c\u0435\u0440 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u043e CVE \u0438 \u0442.\u043f.), \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u0441\u0442\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0438 \u0442.\u0434.<\/li>\n<li>\u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0435\/\u0446\u0435\u043b\u0438 (Source\/Target), \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \u043f\u043e\u043b\u044f \u0441 ip-\u0430\u0434\u0440\u0435\u0441\u043e\u043c, mac-\u0430\u0434\u0440\u0435\u0441\u043e\u043c (\u0435\u0441\u043b\u0438 \u043e\u043d \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u043e\u0432\u0430\u043b \u0432 \u0441\u043e\u0431\u044b\u0442\u0438\u0438), \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u043c \u0438\u043c\u0435\u043d\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435, \u0444\u0430\u0439\u043b\u0435 \u0438 \u0442.\u0434.<\/li>\n<li>\u0430\u043d\u0430\u043b\u0438\u0437\u0430\u0442\u043e\u0440\u0435 (Analyzer \u2013 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f), \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \u043f\u043e\u043b\u044f \u0441 ip-\u0430\u0434\u0440\u0435\u0441\u043e\u043c, \u043a\u043b\u0430\u0441\u0441\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430\u0442\u043e\u0440\u0430 \u0438 \u0442.\u0434.<\/li>\n<\/ul>\n<p>  \u041a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0430\u0435\u043c\u044b\u0445 IDMEF-\u043f\u043e\u043b\u0435\u0439 \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u0442\u0438\u043f\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0435\u0433\u043e \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u043b\u044f \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u0438\u043d\u0434\u0435\u043a\u0441\u0438\u0440\u0443\u0435\u043c\u044b\u0435, \u0442.\u0435. \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0439. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0434\u0432\u0430 \u043f\u043e\u043b\u044f userid.name, \u0432 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 samaccountname, \u0430 \u0432\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u2013 SID \u044d\u0442\u043e\u0439 \u0436\u0435 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438. \u0410, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0446\u0435\u043b\u043e\u0441\u0442\u043d\u043e\u0441\u0442\u0438 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e\u0431 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0435 \u0438 \u0446\u0435\u043b\u0438 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u043e \u043d\u0438 \u0430\u0434\u0440\u0435\u0441\u0430, \u043d\u0438 \u043f\u043e\u0440\u0442\u0430, \u043d\u0438 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 \u2013 \u044d\u0442\u0438 \u043f\u043e\u043b\u044f \u0431\u0443\u0434\u0443\u0442 \u0437\u0430\u043d\u044f\u0442\u044b \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u043e\u0431 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u043d\u044b\u0445 \u0441\u0443\u043c\u043c\u0430\u0445 \u0438 \u0434\u0440\u0443\u0433\u043e\u0439 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438.<br \/>  \u0412 \u043b\u044e\u0431\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043c\u043e\u0436\u043d\u043e \u00ab\u043f\u0440\u043e\u0432\u0430\u043b\u0438\u0442\u044c\u0441\u044f\u00bb \u0434\u043b\u044f \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/4bb\/da4\/769\/4bbda47690c4582bc5d006bd93a2ddc9.png\"\/><\/p>\n<h1>4. \u041a\u0430\u043a \u0437\u0430\u0431\u0438\u0440\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u0432?<\/h1>\n<p>  \u041f\u0435\u0440\u0435\u0434 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435\u043c IPS \u043a \u043d\u0430\u0448\u0435\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430, \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043d\u044f\u0442\u044c, \u043a\u0430\u043a \u0438\u0437 IPS \u043c\u043e\u0436\u043d\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u044c, \u0445\u0440\u0430\u043d\u044f\u0449\u0438\u0435\u0441\u044f \u0432 \u043d\u0435\u043c \u0430\u043b\u0435\u0440\u0442\u044b. <br \/>  \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u0432\u0430 c \u043c\u0435\u0442\u043e\u0434\u0430 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043e\u0442 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u0432 Cisco (\u0438 \u043e\u0434\u0438\u043d \u043f\u043e\u043b\u0443-\u043c\u0435\u0442\u043e\u0434 \u0434\u043b\u044f IOS-IPS) \u0432\u043e \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b:<\/p>\n<p>  1) <u>\u0427\u0435\u0440\u0435\u0437 SNMP Trap<\/u>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u0430\u043c \u0441\u0435\u043d\u0441\u043e\u0440 \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u044b \u0438\u043b\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0433\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f.<br \/>  \u041e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0435 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u043c \u0442\u0440\u0430\u043f\u044b \u0438\u043c\u0435\u044e\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0432\u0438\u0434:<\/p>\n<pre><code>#012iso.3.6.1.2.1.1.3.0 15:1:47:08.58#011iso.3.6.1.6.3.1.1.4.1.0 iso.3.6.1.4.1.9.9.383.0.1#011iso.3.6.1.4.1.9.9.383.1.1.1.0 6822393729640#011iso.3.6.1.4.1.9.9.383.1.1.2.0 &quot;07 DE 04 0A 0B 2C 0E 00 &quot;#011iso.3.6.1.4.1.9.9.383.1.1.3.0 &quot;07 DE 04 0A 07 2C 0E 00 &quot;#011iso.3.6.1.4.1.9.9.383.1.1.4.0 &quot;IPS-SENSOR-01&quot;#011iso.3.6.1.4.1.9.9.383.1.2.2.0 2147516416#011iso.3.6.1.4.1.9.9.383.1.2.3.0 &quot;Heartbleed&quot;#011iso.3.6.1.4.1.9.9.383.1.2.4.0 &quot;OpenSSL Information Disclosure&quot;#011iso.3.6.1.4.1.9.9.383.1.2.5.0 4187#011iso.3.6.1.4.1.9.9.383.1.2.6.0 0#011iso.3.6.1.4.1.9.9.383.1.2.7.0 &quot;S785&quot;#011iso.3.6.1.4.1.9.9.383.1.2.13.0 0#011iso.3.6.1.4.1.9.9.383.1.2.14.0 &quot;iBCRX+m57XRkOtzSnz0MSIw\/CJWscqWUKqhEjadJYMWue6yLZAgTFpc8+LuL#012H\/4o5rulPzbm1D9tQZ2tnoY\/qfwSZ3H1VE2Wt2\/rwUHcjVaKjGue9I0FdGZN#012JgpdbIcOOiBxB0T0JJ0qsqAzTMO37pf6GNOcByoHVgcgubBM2x148331MWSP#012O4hROt\/p8Zpk8ZmNBIfUwy4yA0ByxPANY4e+ixHoPOe0aJGk1GUthnyAhKn8#012ztzv\/kfCXHyPH5X7DBXTTXYZN+Xv6vnWYJV3tojoaOIpv6shRYLjeg84qeO5#012vY3P0uXwcYSCj1YY4rdgQpQvL8PkOxYDAgAEDgAAAA==&quot;#011iso.3.6.1.4.1.9.9.383.1.2.15.0 &quot;FgMCANwBAADYAwJTQ1uQnZtyC7wMvCuSqEiXz705BMwWCoUDkJ93BDPU3gAA#012ZsAUwArAIsAhADkAOACIAIfAD8AFADUAhMASwAjAHMAbABYAE8ANwAMACsAT#012wAnAH8AeADMAMgCaAJkARQBEwA7ABAAvAJYAQcARwAfADMACAAUABAAVABIA#012CQAUABEACAAGAAMA\/wEAAEkACwAEAwABAgAKADQAMgAOAA0AGQALAAwAGAAJ#012AAoAFgAXAAgABgAHABQAFQAEAAUAEgATAAEAAgADAA8AEAARACMAAAAPAAEB#012GAMCAAMBQAAYAwIAAwFAAA==&quot;#011iso.3.6.1.4.1.9.9.383.1.2.16.0 &quot;192.168.1.1:51716&quot;#011iso.3.6.1.4.1.9.9.383.1.2.17.0 &quot;osIdSource=\\&quot;unknown\\&quot; osRelevance=\\&quot;relevant\\&quot; osType=\\&quot;unknown\\&quot; 10.10.10.1:443&quot;#011iso.3.6.1.4.1.9.9.383.1.2.21.0 &quot;InterfaceAttributes:  context=\\&quot;single_vf\\&quot; physical=\\&quot;Unknown\\&quot; backplane=\\&quot;PortChannel0\/0\\&quot; ; &quot;#011iso.3.6.1.4.1.9.9.383.1.2.25.0 70#011iso.3.6.1.4.1.9.9.383.1.2.26.0 5#011iso.3.6.1.4.1.9.9.383.1.2.27.0 6#011iso.3.6.1.4.1.9.9.383.1.2.42.0 70#011iso.3.6.1.4.1.9.9.383.1.2.49.0 &quot;vs0&quot;#011iso.3.6.1.4.1.9.9.383.1.3.1.0 &quot;high&quot; <\/code><\/pre>\n<p>  2) <u>\u0427\u0435\u0440\u0435\u0437 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442 SDEE.<\/u> \u0412 \u044d\u0442\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 IPS-\u0441\u0435\u043d\u0441\u043e\u0440 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043a\u0430\u043a Web-\u0441\u0435\u0440\u0432\u0435\u0440, \u0430 \u0432\u043d\u0435\u0448\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u043a \u043d\u0435\u043c\u0443 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u044e\u0442\u0441\u044f \u0438 \u0437\u0430\u0431\u0438\u0440\u0430\u044e\u0442 \u043d\u043e\u0432\u044b\u0435 \u0430\u043b\u0435\u0440\u0442\u044b. \u0418\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u043e\u0442 \u043c\u0435\u0442\u043e\u0434 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430\u0445 CSM \u0438 IME. \u0412 Cisco \u0432 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0435 SDEE \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435 CIDEE, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0435\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u043f\u043e\u043b\u044f. <br \/>  \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c SDEE-\u0430\u043b\u0435\u0440\u0442\u044b \u0432 \u00ab\u0447\u0438\u0441\u0442\u043e\u043c \u0432\u0438\u0434\u0435\u00bb \u043c\u043e\u0436\u043d\u043e \u0447\u0435\u0440\u0435\u0437 \u0431\u0440\u0430\u0443\u0437\u0435\u0440, \u0437\u0430\u0431\u0438\u0432 \u0432 \u0430\u0434\u0440\u0435\u0441\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0435 https:\/\/&lt;sensor-ip-address&gt;\/cgi-bin\/sdee-server (\u043d\u0443\u0436\u043d\u043e \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u0439\u0442\u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e).<br \/>  \u0421\u0430\u043c\u0438 \u0430\u043b\u0435\u0440\u0442\u044b \u0432\u044b\u0433\u043b\u044f\u0434\u044f\u0442 \u0442\u0430\u043a:<\/p>\n<pre><code class=\"xml\">&lt;sd:evIdsAlert eventId=&quot;6821065810849&quot; vendor=&quot;Cisco&quot; severity=&quot;informational&quot; cid:alarmTraits=&quot;2147483648&quot;&gt;  &lt;sd:originator&gt;   &lt;sd:hostId&gt;IPS-SENSOR-01&lt;\/sd:hostId&gt;   &lt;cid:appName&gt;sensorApp&lt;\/cid:appName&gt;   &lt;cid:appInstanceId&gt;27106&lt;\/cid:appInstanceId&gt;  &lt;\/sd:originator&gt;  &lt;sd:time offset=&quot;240&quot; timeZone=&quot;GMT+04:00&quot;&gt;1392668796044445000&lt;\/sd:time&gt;  &lt;sd:signature  description=&quot;TCP Drop - Segment out state order&quot; id=&quot;1330&quot; cid:version=&quot;S642&quot; cid:type=&quot;anomaly&quot; cid:created=&quot;20050304&quot;&gt;   &lt;cid:subsigId&gt;17&lt;\/cid:subsigId&gt;   &lt;cid:sigDetails&gt;TCP segment is out of state order&lt;\/cid:sigDetails&gt;  &lt;\/sd:signature&gt;  &lt;sd:interfaceGroup&gt;vsx&lt;\/sd:interfaceGroup&gt;  &lt;sd:vlan&gt;302&lt;\/sd:vlan&gt;  &lt;sd:participants&gt;   &lt;sd:attacker&gt;    &lt;sd:addr cid:locality=&quot;Inside&quot;&gt;192.168.0.1&lt;\/sd:addr&gt;    &lt;sd:port&gt;443&lt;\/sd:port&gt;   &lt;\/sd:attacker&gt;   &lt;sd:target&gt;    &lt;sd:addr cid:locality=&quot;AS_Inside&quot;&gt;10.10.10.1&lt;\/sd:addr&gt;    &lt;sd:port&gt;24479&lt;\/sd:port&gt;    &lt;cid:os idSource=&quot;learned&quot; type=&quot;windows-nt-2k-xp&quot; relevance=&quot;relevant&quot; \/&gt;   &lt;\/sd:target&gt;  &lt;\/sd:participants&gt;  &lt;sd:actions&gt;   &lt;cid:snmpTrapRequested&gt;true&lt;\/cid:snmpTrapRequested&gt;  &lt;\/sd:actions&gt;  &lt;cid:riskRatingValue targetValueRating=&quot;medium&quot; attackRelevanceRating=&quot;relevant&quot;&gt;25&lt;\/cid:riskRatingValue&gt;  &lt;cid:threatRatingValue&gt;25&lt;\/cid:threatRatingValue&gt;  &lt;cid:interface&gt;ge0_3&lt;\/cid:interface&gt;  &lt;cid:protocol&gt;tcp&lt;\/cid:protocol&gt; &lt;\/sd:evIdsAlert&gt; <\/code><\/pre>\n<p>  \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u0437\u0430\u0431\u0435\u0433\u0430\u044f \u0432\u043f\u0435\u0440\u0435\u0434, \u0441\u0440\u0430\u0437\u0443 \u0441\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 SDEE \u0438\u043c\u0435\u0435\u0442 \u0441\u0432\u043e\u0438 \u043f\u043b\u044e\u0441\u044b \u0438 \u043c\u0438\u043d\u0443\u0441\u044b. \u0414\u0430\u043d\u043d\u044b\u0435, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c\u044b\u0435 \u0447\u0435\u0440\u0435\u0437 SDEE, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 \u0431\u043e\u043b\u044c\u0448\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e\u0431 \u0430\u043b\u0435\u0440\u0442\u0435 \u043f\u043e \u0441\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u044e \u0441 SNMP-\u0442\u0440\u0430\u043f\u043e\u043c. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0437\u0434\u0435\u0441\u044c \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u044f\u0442\u044b\u0445 \u0441\u0435\u043d\u0441\u043e\u0440\u043e\u043c \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f\u0445. \u041d\u043e \u0434\u043b\u044f \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u0447\u0435\u0440\u0435\u0437 SDEE \u0432 SIEM, \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043a\u043e\u043d\u043d\u0435\u043a\u0442\u043e\u0440 (\u0432 Prelude \u043e\u043d \u0435\u0441\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438).<\/p>\n<p>  3) <u>\u0427\u0435\u0440\u0435\u0437 syslog<\/u> (\u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f IOS-IPS). \u0414\u043b\u044f \u043f\u043e\u043b\u043d\u043e\u0442\u044b \u043a\u0430\u0440\u0442\u0438\u043d\u044b \u0442\u0430\u043a\u0436\u0435 \u0441\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c \u0438 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438 IOS-IPS. \u041e\u043d\u0438 \u0442\u0430\u043a \u0436\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 SDEE, \u043d\u043e \u043d\u0435 \u0443\u043c\u0435\u044e\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0430\u043b\u0435\u0440\u0442\u044b \u0447\u0435\u0440\u0435\u0437 SNMP. \u0412 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0441\u0432\u043e\u0438\u0445 \u00ab\u0441\u0442\u0430\u0440\u0448\u0438\u0445\u00bb \u0431\u0440\u0430\u0442\u044c\u0435\u0432, IOS-IPS \u0443\u043c\u0435\u0435\u0442 \u043f\u0438\u0441\u0430\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e\u0431 \u0430\u043b\u0435\u0440\u0442\u0430\u0445 \u0432 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0435 syslog-\u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u0440\u043e\u0443\u0442\u0435\u0440\u0430. Syslog \u0440\u043e\u0443\u0442\u0435\u0440\u0430 \u0432 \u0441\u0432\u043e\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043e \u043d\u0430 \u0432\u043d\u0435\u0448\u043d\u0438\u0439 \u0441\u0435\u0440\u0432\u0435\u0440. \u041e\u0434\u043d\u0430\u043a\u043e \u0434\u0430\u043d\u043d\u044b\u0435, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0438\u0448\u0443\u0442\u0441\u044f \u0432 syslog, \u043a\u0440\u0430\u0439\u043d\u0435 \u0441\u043a\u0443\u0434\u043d\u044b:<\/p>\n<p>  <u>\u0414\u043b\u044f IOS 12.x<\/u>:  <\/p>\n<pre><code>Aug 20 14:21:35 MSK: %IPS-4-SIGNATURE: Sig:15002 Subsig:1 Sev:50  [192.168.1.1:1066 -&gt; 10.10.10.1:5938] RiskRating:30 <\/code><\/pre>\n<p>  \u041e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u0430\u0436\u0435 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u044b. \u0422\u043e\u043b\u044c\u043a\u043e \u0435\u0451 SingatureID \u0438 SubsibgnatureID.<\/p>\n<p>  <u>\u0414\u043b\u044f IOS 15.x<\/u>:  <\/p>\n<pre><code>Mar  3 11:15:24 MSK: %IPS-4-SIGNATURE: Sig:11020 Subsig:0 Sev:25 BitTorrent Client Activity [192.168.1.1:62809 -&gt; 10.10.10.1:6881] VRF:NONE RiskRating:25 <\/code><\/pre>\n<p>  \u0410 \u0432\u043e\u0442 \u0447\u0435\u0440\u0435\u0437 SDEE \u0442\u0435 \u0436\u0435 \u0441\u0430\u043c\u044b\u0435 \u0430\u043b\u0435\u0440\u0442\u044b \u0431\u0443\u0434\u0443\u0442 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u044b \u0443\u0436\u0435 \u0432 \u00ab\u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u043c\u00bb \u0432\u0438\u0434\u0435, \u0442.\u0435. \u0441 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439:  <\/p>\n<pre><code class=\"xml\">&lt;sd:evIdsAlert eventId=&quot;139779925140&quot; vendor=&quot;Cisco&quot; severity=&quot;informational&quot;&gt;  &lt;sd:originator&gt;   &lt;sd:hostId&gt;IOS-IPS-ROUTER&lt;\/sd:hostId&gt;   &lt;\/sd:originator&gt;  &lt;sd:time offset=&quot;0&quot; timeZone=&quot;UTC&quot;&gt;1397799251079951920&lt;\/sd:time&gt;   &lt;sd:signature description=&quot;Jabber Activity&quot; id=&quot;11204&quot; version=&quot;S588&quot;&gt;   &lt;cid:subsigId&gt;0&lt;\/cid:subsigId&gt;    &lt;cid:sigDetails&gt;jabber:&lt;\/cid:sigDetails&gt;   &lt;\/sd:signature&gt;  &lt;cid:protocol&gt;tcp&lt;\/cid:protocol&gt;   &lt;cid:riskRatingValue&gt;25&lt;\/cid:riskRatingValue&gt;   &lt;sd:participants&gt;   &lt;sd:attacker&gt;    &lt;sd:addr&gt;192.168.1.1&lt;\/sd:addr&gt;     &lt;sd:port&gt;61208&lt;\/sd:port&gt;    &lt;\/sd:attacker&gt;   &lt;sd:target&gt;    &lt;sd:addr&gt;10.10.10.1&lt;\/sd:addr&gt;     &lt;sd:port&gt;5222&lt;\/sd:port&gt;    &lt;\/sd:target&gt;   &lt;sd:vrf_name&gt;NONE&lt;\/sd:vrf_name&gt;   &lt;\/sd:participants&gt;  &lt;sd:actions \/&gt;   &lt;cid:interface&gt;Fa0\/1&lt;\/cid:interface&gt;   &lt;cid:vrf_name&gt;NONE&lt;\/cid:vrf_name&gt;  &lt;\/sd:evIdsAlert&gt; <\/code><\/pre>\n<h1>5. \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430<\/h1>\n<p>  \u0414\u043b\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u0437\u0430\u0434\u0443\u043c\u0430\u043d\u043d\u043e\u0433\u043e \u043d\u0430 OSS \u0432\u0435\u0440\u0441\u0438\u0438 \u043f\u043e\u0434\u043e\u0439\u0434\u0451\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0432\u0430\u0440\u0438\u0430\u043d\u0442 \u0441 SNMP-\u0442\u0440\u0430\u043f\u0430\u043c\u0438.<br \/>  \u0421\u0445\u0435\u043c\u0430 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u0438 \u044d\u0442\u043e\u043c \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u0442\u0430\u043a:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/0c0\/a17\/6be\/0c0a176be8225fbbe3613c30e9b8f3ed.png\"\/><\/p>\n<ol>\n<li>IPS \u043b\u043e\u0432\u0438\u0442 \u0430\u0442\u0430\u043a\u0443 \u0438 \u043e\u0442\u0441\u044b\u043b\u0430\u0435\u0442 \u043f\u043e \u044d\u0442\u043e\u043c\u0443 \u043f\u043e\u0432\u043e\u0434\u0443 SNMP-Trap. (IOS-IPS \u0441\u0440\u0430\u0437\u0443 \u0448\u043b\u0435\u0442 \u043b\u043e\u0433 \u043d\u0430 rsyslogd).<\/li>\n<li>\u041f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u043c SNMP-Trap \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u043c \u0432 syslog.<\/li>\n<li>rsyslogd \u043f\u0438\u0448\u0435\u0442 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0439 \u0442\u0440\u0430\u043f \u0432 \u0444\u0430\u0439\u043b.<\/li>\n<li>LML \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0435\u0442 \u043b\u043e\u0433, \u043d\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u0435\u0433\u043e, \u0432\u044b\u0442\u0430\u0441\u043a\u0438\u0432\u0430\u0435\u0442 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u044e\u0449\u0438\u0445 \u043d\u0430\u0441 \u043f\u043e\u043b\u0435\u0439 \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0438\u0445 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u043f\u043e\u043b\u044f IDMEF (\u043c\u0430\u043f\u043f\u0438\u043d\u0433).<\/li>\n<li>\u041d\u043e\u0440\u043c\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u0432 Manager, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043e\u043d \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0432 \u0431\u0430\u0437\u0443 \u0434\u0430\u043d\u043d\u044b\u0445. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u043c \u0434\u043b\u044f \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0430 \u0447\u0435\u0440\u0435\u0437 Prewikka.<\/li>\n<li>\u041f\u043e\u0441\u0442\u0443\u043f\u0430\u044e\u0449\u0438\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442 IPS \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u043d\u0430 \u043c\u043e\u0434\u0443\u043b\u044c \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438 (\u044d\u0442\u043e\u0442 \u044d\u0442\u0430\u043f \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043d \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e).<\/li>\n<\/ol>\n<h4>5.1 \u041f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0430<\/h4>\n<p>  \u041f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0441\u0430\u043c Prelude. \u041a\u0430\u043a \u044d\u0442\u043e \u0434\u0435\u043b\u0430\u0442\u044c, \u0443\u0436\u0435 \u0431\u044b\u043b\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043e <a href=\"http:\/\/habrahabr.ru\/post\/190500\/\">\u0437\u0434\u0435\u0441\u044c<\/a>.<br \/>  \u041f\u043e\u043c\u0438\u043c\u043e Prewikka \u0438 prelude-manager \u043d\u0430\u043c \u043f\u043e\u0442\u0440\u0435\u0431\u0443\u044e\u0442\u0441\u044f <b>prelude-lml<\/b> \u0438 <b>prelude-correlator<\/b>.<br \/>  \u0422\u0430\u043a\u0436\u0435 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u043d\u0430 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0430\u0439\u0442\u0435 <a href=\"https:\/\/www.prelude-ids.org\/wiki\/prelude\/InstallingPackage\">Prelude<\/a>.<\/p>\n<p>  \u0427\u0442\u043e\u0431\u044b \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0442\u044c snmp-\u0442\u0440\u0430\u043f\u044b \u043f\u043e\u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0434\u0435\u043c\u043e\u043d\u044b <b>snmptrapd<\/b> \u0438 <b>rsyslogd<\/b> (\u043b\u0438\u0431\u043e \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u044b\u0435). <br \/>  \u041e\u0441\u043d\u043e\u0432\u043d\u0430\u044f \u0437\u0430\u0434\u0430\u0447\u0430 \u2013 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u044c snmp-\u0442\u0440\u0430\u043f\u044b \u0438 \u043f\u0438\u0441\u0430\u0442\u044c \u0438\u0445 \u0432 \u0444\u0430\u0439\u043b.<br \/>  \u0421\u0434\u0435\u043b\u0430\u0442\u044c \u044d\u0442\u043e \u043c\u043e\u0436\u043d\u043e, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0442\u0430\u043a:<\/p>\n<p>  <b>snmptrapd.conf<\/b>  <\/p>\n<pre><code>donotlogtraps  no printeventnumbers  yes ignoreauthfailure  yes authCommunity log,execute public traphandle default \/usr\/sbin\/snmptthandler <\/code><\/pre>\n<p>  <b>rsyslog.conf<\/b>  <\/p>\n<pre><code>if $programname == 'snmptrapd' \\ then \/var\/log\/snmptrapd & ~ <\/code><\/pre>\n<p>  <\/p>\n<h4>5.2 \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u043d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0441\u0435\u043d\u0441\u043e\u0440\u0430<\/h4>\n<p>  \u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0448\u0430\u0433\u043e\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0437\u0430\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043d\u0430\u0448 \u0441\u0435\u043d\u0441\u043e\u0440 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c snmp-trap-\u044b \u043a\u0430\u0436\u0434\u044b\u0439 \u0440\u0430\u0437, \u043a\u043e\u0433\u0434\u0430 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u0448\u0438\u0431\u043e\u043a \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0441\u0435\u043d\u0441\u043e\u0440\u0435. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043d\u0443\u0436\u043d\u043e \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u043e \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c SNMP-Trap-\u044b \u0438 \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u0441\u0435\u0440\u0432\u0435\u0440 \u0438 community, \u043a\u0443\u0434\u0430 \u0438\u0445 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c:<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/7fe\/13e\/ffb\/7fe13effb6183b9bcd94bd0ece178a07.png\"\/><\/p>\n<h1>6. \u041a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u044f Heart bleed<\/h1>\n<p>  <\/p>\n<pre><code class=\"python\"># # Copyright (C) 2014 Vladimir Lapshin &lt;vmlapshin at gmail dot com&gt; # Copyright (C) 2014 lei_wulong # # This program is free software; you can redistribute it and\/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; see the file COPYING.  If not, write to # the Free Software Foundation, 675 Mass Ave, Cambridge, MA 02139, USA. #  import re from PreludeCorrelator.pluginmanager import Plugin from PreludeCorrelator.context import Context import time import subprocess  localtime = time.localtime() timestamp = time.strftime('%d %b %H:%M:%S', localtime)  print str(timestamp) + ' HeartBleed plugin  (correlator) INFO: Starting...'  class heartbleed(Plugin):     def run(self, idmef):         if not idmef.match('alert.classification.text', re.compile('^OpenSSL Information Disclosure$|^Other security event$')):             return          addr = idmef.Get('alert.target(*).node.address(*).address')         if not addr:             return          port = idmef.Get('alert.target(0).service.port')         if not port:             port='443'          script = str('python2.6 \/etc\/prelude-correlator\/heartbleed.py ') + str(addr).strip('[\\'\\']') + str(' -p ') + str(port)         print script         PIPE = subprocess.PIPE         p = subprocess.Popen(script, shell=True, stdin=PIPE, stdout=PIPE, stderr=subprocess.STDOUT, close_fds=True)         while True:             s = p.stdout.readline()             if not s:                 break             if re.findall('server is vulnerable', s):                 ctx = Context((&quot;HEART_BLEED&quot;, addr), update=True, idmef=idmef)                 ctx.Set(&quot;alert.classification.text&quot;, &quot;HeartBleed vulnerability detected&quot;)                 ctx.Set(&quot;alert.correlation_alert.name&quot;, &quot;HeartBleed vulnerability detected&quot;)                 ctx.Set(&quot;alert.assessment.impact.severity&quot;, &quot;high&quot;)                 ctx.Set(&quot;alert.classification.reference(0).origin&quot;, &quot;vendor-specific&quot;)                 ctx.Set(&quot;alert.classification.reference(0).name&quot;, &quot;CVE-2014-0160&quot;)                 ctx.alert()                 ctx.destroy()                 print 'Vulnerable!'                 return <\/code><\/pre>\n<h1>7. \u042d\u043f\u0438\u043b\u043e\u0433<\/h1>\n<p>      \t<\/p>\n<div class=\"clear\"><\/div>\n<\/p><\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"http:\/\/habrahabr.ru\/post\/220449\/\"> http:\/\/habrahabr.ru\/post\/220449\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div class=\"content html_format\">   \t\u0414\u043e\u0431\u0440\u043e\u0433\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u0441\u0443\u0442\u043e\u043a \u0432\u0441\u0435\u043c!<br \/>  \u0421\u0430\u043c\u0430 \u043f\u043e \u0441\u0435\u0431\u0435 \u0442\u0435\u043c\u0430 SIEM \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0435 \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0439. \u0412 \u0432\u0438\u0434\u0443 \u043a\u043e\u043c\u043f\u043b\u0435\u043a\u0441\u043d\u043e\u0439 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u044d\u0442\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c, \u0432\u043e\u043f\u0440\u043e\u0441\u044b, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u044b\u0435 \u0441 \u0438\u0445 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c, \u0433\u043b\u0443\u0431\u043e\u043a\u0438\u0435 \u0438 \u043e\u0431\u044a\u0435\u043c\u043d\u044b\u0435. \u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e \u0441\u0442\u0430\u0442\u0435\u0439 (\u043d\u0430 \u0425\u0430\u0431\u0440\u0435 \u0438 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e), \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u043d\u044b\u0445 SIEM. \u041e\u0434\u043d\u0430\u043a\u043e \u0432 \u043f\u043e\u0434\u0430\u0432\u043b\u044f\u044e\u0449\u0435\u043c \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u043e\u043d\u0438 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u044e\u0442 \u0442\u0435\u043c\u0443 \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0442\u0435\u043e\u0440\u0438\u0438, \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0438 \u0438 \u043e\u0431\u0449\u0438\u0445 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u043e\u0432 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432. \u0410 \u0432\u043e\u0442 \u0441\u0442\u0430\u0442\u0435\u0439, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0445 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0430\u0441\u043f\u0435\u043a\u0442\u044b \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f\/\u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u044d\u0442\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c, <s>\u0441\u043e\u0432\u0441\u0435\u043c \u043d\u0435\u0442<\/s> \u043a\u0430\u0442\u0430\u0441\u0442\u0440\u043e\u0444\u0438\u0447\u0435\u0441\u043a\u0438 \u043c\u0430\u043b\u043e. \u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u043a\u0430\u043a \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u043f\u043e\u0434\u0440\u0443\u0436\u0438\u0442\u044c IPS \u0438 SIEM \u043d\u0430 \u043f\u0440\u0438\u043c\u0435\u0440\u0435 Cisco IPS \u0438 Prelude, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0433\u043e \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0443\u0441\u043f\u0435\u0448\u043d\u0443\u044e \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044e \u043d\u0430\u0431\u043e\u043b\u0435\u0432\u0448\u0435\u0439 \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u0434\u043d\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 HeartBleed.<\/p>\n<p>  <img decoding=\"async\" src=\"http:\/\/habrastorage.org\/getpro\/habr\/post_images\/be6\/e99\/127\/be6e991272c286b292117f97d0ff4460.jpg\"\/><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-220449","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/220449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=220449"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/220449\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=220449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=220449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=220449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}