Mentat je distribuovaný modulární SIEM (Security Information and Event Management System) navržený pro monitoring sítí všech velikostí. Jeho architektura umožňuje příjem, ukládání, analýzu, zpracování a reakce na velké množství bezpečnostních událostí pocházejících z nejrůznějších zdrojů, např. honeypotů, síťových sond, analyzátorů logů, detekčních služeb třetích stran atp. Systém Mentat je vyvíjen jako OpenSource projekt.

Většina síťových operátorů velmi dbá na provoz ve své síti a provádí podrobný monitoring. Za účelem zabezpečení provozu používají nějakou kombinaci různých pasivních i proaktivních metod (IDS a IPS systémy, honeypoty, sondy). Ty větší dokonce provozují vlastní bezpečnostní tým typu CSIRT/CERT, který sleduje provoz v síti a řeší případné problémy.

CESNET je v naprosto stejné pozici, neboť provozuje vysokorychlostní páteřní síť zvanou CESNET2, s bohatou mezinárodní i vnitrostátní konektivitou a více než 400 tisíci uživateli. Síť CESNET2 je pečlivě monitorována na mnoha úrovních prostřednictvích širokého spektra nejrůznějších nástrojů, technologií a služeb. Tyto produkují skutečně velké množství upozornění - bezpečnostních hlášení, síťových anomálií, incidentů atp. Kromě toho ještě shromažďujeme hlášení od služeb třetích stran, např. ShadowServer. Nad celou sítí poté bdí bezpečnostní tým CESNET-CERTS, jehož členové používají tiketovací systém OTRS pro správu agendy bezpečnostních incidentů. Vyhledávání relevantních událostí napříč tolika různými systému je velmi časově náročné. Proto naší největší motivací pro vývoj systému Mentat byla konsolidace sběru a následného zpracování všech těchto událostí.

Systém Mentat je tedy platforma umožnující jednotný sběr událostí z nejruznějších heterogenních zdrojů a jejich následné jednotné vyhodnocování, zpracování a prohledávání. Před vývojem vlastního systému jsme testovali i již existující nástroje (např. systém Prelude SIEM), jejich stav však v té době nevyhovoval našim požadavkům a proto jsme nakonec vyvinuli vlastní řešení.

Systém Mentat je navržen jako modulární distribuovaný systém s důrazem na bezpečnost, rozšiřitelnost a škálovatelnost. Jádro systému je implementováno na podobném principu jako MTA Postfix. Skládá se z mnoha jednoduchých modulů-daemonů, které každý provádějí jeden „jednoduchý“ úkon. Tento přístup umožňuje jednoduchou paralelizovatelnost a rozšiřitelnost. Všechny moduly interně používají jednotnou kostru a framework, což znamená, že je velmi jednoduché přidávat další a rozšiřovat tak funkčnost.

Celý systém je implementován v jazyce Python3 a používá databázi PostgreSQL pro perzistentní ukládání dat. Jako datový model jen používána IDEA, která byla navržena speciálně s ohledem na popis širokého spektra bezpečnostních událostí a s ohledem na budoucí rozšiřitelnost.

V tuto chvíli provozujeme funkční prototyp celého systému, který přijímá události z mnoha interních i externích zdrojů. Systém zpracovává cca. 2 miliony událostí denně. Nejdůležitější a nejviditelnější komponentou celého systému je reportovací modul, který automaticky distribuuje informace o bezpečnostních událostech přímo zodpovědným správcům podsítí v rámci sítě CESNET2 (AS2852).