====== Mentat ====== //**Mentat** je distribuovaný modulární [[https://cs.wikipedia.org/wiki/|SIEM]] (Security Information and Event Management System) navržený pro monitoring sítí všech velikostí. Jeho architektura umožňuje příjem, ukládání, analýzu, zpracování a reakce na velké množství bezpečnostních událostí pocházejících z nejrůznějších zdrojů, např. honeypotů, síťových sond, analyzátorů logů, detekčních služeb třetích stran atp. Systém **Mentat** je vyvíjen jako OpenSource projekt.// ---- Toto jsou oficiální stránky systému Mentat jakožto otevřeného projektu. Pokud sháníte informace o systému Mentat jakožto o službě provozované v rámci sdružení [[https://www.cesnet.cz/|CESNET, z.s.p.o.]] prosím přejděte na [[https://csirt.cesnet.cz/cs/services/mentat|stránky systému Mentat]] spravované bezpečnostním týmem [[https://csirt.cesnet.cz/en/index|CESNET-CERTS]]. ---- Většina síťových operátorů velmi dbá na provoz ve své síti a provádí podrobný monitoring. Za účelem zabezpečení provozu používají nějakou kombinaci různých pasivních i proaktivních metod ([[https://cs.wikipedia.org/wiki/Intrusion_Detection_System|IDS a IPS systémy]], honeypoty, sondy). Ty větší dokonce provozují vlastní bezpečnostní tým typu CSIRT/CERT, který sleduje provoz v síti a řeší případné problémy. [[https://www.cesnet.cz/|CESNET]] je v naprosto stejné pozici, neboť provozuje vysokorychlostní páteřní síť zvanou [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]], s bohatou mezinárodní i vnitrostátní konektivitou a více než 400 tisíci uživateli. Síť [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]] je pečlivě monitorována na mnoha úrovních prostřednictvích širokého spektra nejrůznějších nástrojů, technologií a služeb. Tyto produkují skutečně velké množství upozornění - bezpečnostních hlášení, síťových anomálií, incidentů atp. Kromě toho ještě shromažďujeme hlášení od služeb třetích stran, např. [[https://www.shadowserver.org/wiki/|ShadowServer]]. Nad celou sítí poté bdí bezpečnostní tým [[https://csirt.cesnet.cz/cs/index|CESNET-CERTS]], jehož členové používají tiketovací systém [[https://www.otrs.com/|OTRS]] pro správu agendy bezpečnostních incidentů. Vyhledávání relevantních událostí napříč tolika různými systému je velmi časově náročné. Proto naší největší motivací pro vývoj systému //Mentat// byla konsolidace sběru a následného zpracování všech těchto událostí. Systém //Mentat// je tedy platforma umožnující jednotný sběr událostí z nejruznějších heterogenních zdrojů a jejich následné jednotné vyhodnocování, zpracování a prohledávání. Před vývojem vlastního systému jsme testovali i již existující nástroje (např. systém [[https://www.prelude-siem.org/|Prelude SIEM]]), jejich stav však v té době nevyhovoval našim požadavkům a proto jsme nakonec vyvinuli vlastní řešení. {{ ::mentat-overview.png?nolink |Přehled systému Mentat}} Systém //Mentat// je navržen jako modulární distribuovaný systém s důrazem na bezpečnost, rozšiřitelnost a škálovatelnost. Jádro systému je implementováno na podobném principu jako [[http://www.postfix.org/|MTA Postfix]]. Skládá se z mnoha jednoduchých modulů-daemonů, které každý provádějí jeden "jednoduchý" úkon. Tento přístup umožňuje jednoduchou paralelizovatelnost a rozšiřitelnost. Všechny moduly interně používají jednotnou kostru a framework, což znamená, že je velmi jednoduché přidávat další a rozšiřovat tak funkčnost. Celý systém je implementován v jazyce [[https://www.python.org/|Python3]] a používá databázi [[https://www.postgresql.org/|PostgreSQL]] pro perzistentní ukládání dat. Jako datový model je používána [[https://idea.cesnet.cz/en/index|IDEA]], která byla navržena speciálně s ohledem na popis širokého spektra bezpečnostních událostí a s ohledem na budoucí rozšiřitelnost. V tuto chvíli provozujeme funkční prototyp celého systému, který přijímá události z mnoha interních i externích zdrojů. Systém zpracovává cca. 2 miliony událostí denně. Nejdůležitější a nejviditelnější komponentou celého systému je [[cs:reporting|reportovací modul]], který automaticky distribuuje informace o bezpečnostních událostech přímo zodpovědným správcům podsítí v rámci sítě [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]] (//AS2852//).