Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
cs:index [13.02.2017 10:27] mach@cesnet.cz |
cs:index [07.09.2018 12:46] mach@cesnet.cz |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== Mentat ====== | ====== Mentat ====== | ||
| - | //Mentat je distribuovaný modulární SIEM (Security Information Management System) navržený pro monitoring sítí všech velikostí. Jeho architektura umožňuje příjem, ukládání, analýzu, zpracování a reakce na velké množství bezpečnostních událostí pocházejících z nejrůznějších zdrojů, např. honeypotů, síťových sond, analyzátorů logů, detekčních služeb třetích stran atp. Navzdory tomu, že zdrojový kód ještě zatím v tuto chvíli není veřejně dostupný, systém Mentat je vyvíjen jako OpenSource projekt.// | + | //**Mentat** je distribuovaný modulární [[https://cs.wikipedia.org/wiki/|SIEM]] (Security Information and Event Management System) navržený pro monitoring sítí všech velikostí. Jeho architektura umožňuje příjem, ukládání, analýzu, zpracování a reakce na velké množství bezpečnostních událostí pocházejících z nejrůznějších zdrojů, např. honeypotů, síťových sond, analyzátorů logů, detekčních služeb třetích stran atp. Systém **Mentat** je vyvíjen jako OpenSource projekt.// |
| ---- | ---- | ||
| - | Většina síťových operátorů velmi dbá na provoz ve své síti a provádí podrobný monitoring. Za účelem zabezpečení provozu používají nějakou kombinaci různých pasivních i proaktivních metod (IDS a IPS systémy, honeypoty, sondy). Ty větší dokonce provozují vlastní bezpoečnostní tým typu CSIRT/CERT, který sleduje provoz v síti a řeší případné problémy. | + | Toto jsou oficiální stránky systému Mentat jakožto otevřeného projektu. Pokud sháníte informace o systému Mentat jakožto o službě provozované v rámci sdružení [[https://www.cesnet.cz/|CESNET, z.s.p.o.]] prosím přejděte na [[https://csirt.cesnet.cz/cs/services/mentat|stránky systému Mentat]] spravované bezpečnostním týmem [[https://csirt.cesnet.cz/en/index|CESNET-CERTS]]. |
| - | CESNET je v naprosto stejné pozici, neboť provozuje vysokorychlostní páteřní síť zvanou CESNET2, s bohatou mezinárodní i vnitrostátní konektivitou a více než 400k uživateli. Síť CESNET2 je pečlivě monitorována na mnoha úrovních prostřednictvích širokého spektra nejrůznějších nástrojů, technologií a služeb. Tyto produkují skutečně velké množství upozornění - bezpečnostních hlášení, síťových anomálií, incidentů atp. Kromě toho ještě shromažďujeme hlášení od služeb třetích stran, např. ShadowServer. Nad celou sítí poté bdí bezpečnostní tým CESNET-CERTS, jehož členové používají tiketovací systém OTRS pro správu agendy bezpečnostních incidentů. Vyhledávání relevantních událostí napříč tolika různými systému je velmi časově náročné. Proto naší největší motivací pro vývoj systému Mentat byla konsolidace sběru a následného zpracování všech těchto událostí. | + | ---- |
| - | Systém Mentat je tedy platforma umožnující jednotný sběr událostí z nejruznějších heterogenních zdrojů a jejich následné jednotné vyhodnocování, zpracování a prohledávání. Před vývojem vlastního systému jsme testovali i již existující nástroje (např. systém Prelude), jejich stav však v té době nevyhovoval našim požadavkům a proto jsme nakonec vyvinuli vlastní řešení. | + | Většina síťových operátorů velmi dbá na provoz ve své síti a provádí podrobný monitoring. Za účelem zabezpečení provozu používají nějakou kombinaci různých pasivních i proaktivních metod ([[https://cs.wikipedia.org/wiki/Intrusion_Detection_System|IDS a IPS systémy]], honeypoty, sondy). Ty větší dokonce provozují vlastní bezpečnostní tým typu CSIRT/CERT, který sleduje provoz v síti a řeší případné problémy. |
| + | |||
| + | [[https://www.cesnet.cz/|CESNET]] je v naprosto stejné pozici, neboť provozuje vysokorychlostní páteřní síť zvanou [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]], s bohatou mezinárodní i vnitrostátní konektivitou a více než 400 tisíci uživateli. Síť [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]] je pečlivě monitorována na mnoha úrovních prostřednictvích širokého spektra nejrůznějších nástrojů, technologií a služeb. Tyto produkují skutečně velké množství upozornění - bezpečnostních hlášení, síťových anomálií, incidentů atp. Kromě toho ještě shromažďujeme hlášení od služeb třetích stran, např. [[https://www.shadowserver.org/wiki/|ShadowServer]]. Nad celou sítí poté bdí bezpečnostní tým [[https://csirt.cesnet.cz/cs/index|CESNET-CERTS]], jehož členové používají tiketovací systém [[https://www.otrs.com/|OTRS]] pro správu agendy bezpečnostních incidentů. Vyhledávání relevantních událostí napříč tolika různými systému je velmi časově náročné. Proto naší největší motivací pro vývoj systému //Mentat// byla konsolidace sběru a následného zpracování všech těchto událostí. | ||
| + | |||
| + | Systém //Mentat// je tedy platforma umožnující jednotný sběr událostí z nejruznějších heterogenních zdrojů a jejich následné jednotné vyhodnocování, zpracování a prohledávání. Před vývojem vlastního systému jsme testovali i již existující nástroje (např. systém [[https://www.prelude-siem.org/|Prelude SIEM]]), jejich stav však v té době nevyhovoval našim požadavkům a proto jsme nakonec vyvinuli vlastní řešení. | ||
| {{ ::mentat-overview.png?nolink |Přehled systému Mentat}} | {{ ::mentat-overview.png?nolink |Přehled systému Mentat}} | ||
| - | Systém Mentat je navržen jako modulární distribuovaný systém s důrazem na bezpečnost, rozšiřitelnost a škálovatelnost. Jádro systému je implementováno na podobném principu jako MTA Postfix. Skládá se z mnoha jednoduchých modlů-daemonů, které každý provádějí jeden "jednoduchý" úkon. Tento přístup umožňuje jednoduchou paralelizovatelnost a rozšiřitelnost. Všechny moduly interně používají jednotnou kostru a framework, což znamená, že je velmi jednoduché přidávat další a rozšiřovat tak funkčnost. V tuto chvíli je celý systém včetně webového rozhraní implementován v jazyce Perl a používá dokumentově orientovanou NoSQL databázi MongoDB pro perzistentní ukládání dat. Jako datový model jen používána IDEA, která byla navržena speciálně s ohledem na popis širokého spektra bezpečnostních událostí a s ohledem na budoucí rozšiřitelnost. | + | Systém //Mentat// je navržen jako modulární distribuovaný systém s důrazem na bezpečnost, rozšiřitelnost a škálovatelnost. Jádro systému je implementováno na podobném principu jako [[http://www.postfix.org/|MTA Postfix]]. Skládá se z mnoha jednoduchých modulů-daemonů, které každý provádějí jeden "jednoduchý" úkon. Tento přístup umožňuje jednoduchou paralelizovatelnost a rozšiřitelnost. Všechny moduly interně používají jednotnou kostru a framework, což znamená, že je velmi jednoduché přidávat další a rozšiřovat tak funkčnost. |
| + | |||
| + | Celý systém je implementován v jazyce [[https://www.python.org/|Python3]] a používá databázi [[https://www.postgresql.org/|PostgreSQL]] pro perzistentní ukládání dat. Jako datový model jen používána [[https://idea.cesnet.cz/en/index|IDEA]], která byla navržena speciálně s ohledem na popis širokého spektra bezpečnostních událostí a s ohledem na budoucí rozšiřitelnost. | ||
| - | V tuto chvíli provozujeme funkční prototyp celého systému, který přijímá události z mnoha interních i externích zdrojů. Systém zpracovává cca. 1 milion událostí denně. Nejdůležitější a nejviditelnější komponentou celého systému je reportovací modul, který automaticky distribuuje informace o bezpečnostních událostech přímo zodpovědným správcům podsítí v rámci sítě CESNET2 (AS2852). | + | V tuto chvíli provozujeme funkční prototyp celého systému, který přijímá události z mnoha interních i externích zdrojů. Systém zpracovává cca. 2 miliony událostí denně. Nejdůležitější a nejviditelnější komponentou celého systému je [[cs:reporting|reportovací modul]], který automaticky distribuuje informace o bezpečnostních událostech přímo zodpovědným správcům podsítí v rámci sítě [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]] (//AS2852//). |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz