index

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

index [07.09.2018 12:46] (current)
Line 1: Line 1:
 +====== Mentat ======
  
 +//​**Mentat** je distribuovaný modulární [[https://​cs.wikipedia.org/​wiki/​|SIEM]] (Security Information and Event Management System) navržený pro monitoring sítí všech velikostí. Jeho architektura umožňuje příjem, ukládání,​ analýzu, zpracování a reakce na velké množství bezpečnostních událostí pocházejících z nejrůznějších zdrojů, např. honeypotů, síťových sond, analyzátorů logů, detekčních služeb třetích stran atp. Systém **Mentat** je vyvíjen jako OpenSource projekt.//
 +
 +----
 +
 +Toto jsou oficiální stránky systému Mentat jakožto otevřeného projektu. Pokud sháníte informace o systému Mentat jakožto o službě provozované v rámci sdružení [[https://​www.cesnet.cz/​|CESNET,​ z.s.p.o.]] prosím přejděte na [[https://​csirt.cesnet.cz/​cs/​services/​mentat|stránky systému Mentat]] spravované bezpečnostním týmem ​ [[https://​csirt.cesnet.cz/​en/​index|CESNET-CERTS]].
 +
 +----
 +
 +Většina síťových operátorů velmi dbá na provoz ve své síti a provádí podrobný monitoring. Za účelem zabezpečení provozu používají nějakou kombinaci různých pasivních i proaktivních metod ([[https://​cs.wikipedia.org/​wiki/​Intrusion_Detection_System|IDS a IPS systémy]], honeypoty, sondy). Ty větší dokonce provozují vlastní bezpečnostní tým typu CSIRT/CERT, který sleduje provoz v síti a řeší případné problémy.
 +
 +[[https://​www.cesnet.cz/​|CESNET]] je v naprosto stejné pozici, neboť provozuje vysokorychlostní páteřní síť zvanou [[https://​www.cesnet.cz/​sluzby/​pripojeni/​sit-cesnet2/​|CESNET2]],​ s bohatou mezinárodní i vnitrostátní konektivitou a více než 400 tisíci uživateli. Síť [[https://​www.cesnet.cz/​sluzby/​pripojeni/​sit-cesnet2/​|CESNET2]] je pečlivě monitorována na mnoha úrovních prostřednictvích širokého spektra nejrůznějších nástrojů, technologií a služeb. Tyto produkují skutečně velké množství upozornění - bezpečnostních hlášení, síťových anomálií, incidentů atp. Kromě toho ještě shromažďujeme hlášení od služeb třetích stran, např. [[https://​www.shadowserver.org/​wiki/​|ShadowServer]]. Nad celou sítí poté bdí bezpečnostní tým [[https://​csirt.cesnet.cz/​cs/​index|CESNET-CERTS]],​ jehož členové používají tiketovací systém [[https://​www.otrs.com/​|OTRS]] pro správu agendy bezpečnostních incidentů. Vyhledávání relevantních událostí napříč tolika různými systému je velmi časově náročné. Proto naší největší motivací pro vývoj systému //Mentat// byla konsolidace sběru a následného zpracování všech těchto událostí.
 +
 +Systém //Mentat// je tedy platforma umožnující jednotný sběr událostí z nejruznějších heterogenních zdrojů a jejich následné jednotné vyhodnocování,​ zpracování a prohledávání. Před vývojem vlastního systému jsme testovali i již existující nástroje (např. systém [[https://​www.prelude-siem.org/​|Prelude SIEM]]), jejich stav však v té době nevyhovoval našim požadavkům a proto jsme nakonec vyvinuli vlastní řešení.
 +
 +{{ ::​mentat-overview.png?​nolink |Přehled systému Mentat}}
 +
 +Systém //Mentat// je navržen jako modulární distribuovaný systém s důrazem na bezpečnost,​ rozšiřitelnost a škálovatelnost. Jádro systému je implementováno na podobném principu jako [[http://​www.postfix.org/​|MTA Postfix]]. Skládá se z mnoha jednoduchých modulů-daemonů,​ které každý provádějí jeden "​jednoduchý"​ úkon. Tento přístup umožňuje jednoduchou paralelizovatelnost a rozšiřitelnost. Všechny moduly interně používají jednotnou kostru a framework, což znamená, že je velmi jednoduché přidávat další a rozšiřovat tak funkčnost. ​
 +
 +Celý systém je implementován v jazyce [[https://​www.python.org/​|Python3]] a používá databázi [[https://​www.postgresql.org/​|PostgreSQL]] pro perzistentní ukládání dat. Jako datový model jen používána [[https://​idea.cesnet.cz/​en/​index|IDEA]],​ která byla navržena speciálně s ohledem na popis širokého spektra bezpečnostních událostí a s ohledem na budoucí rozšiřitelnost.
 +
 +V tuto chvíli provozujeme funkční prototyp celého systému, který přijímá události z mnoha interních i externích zdrojů. Systém zpracovává cca. 2 miliony událostí denně. Nejdůležitější a nejviditelnější komponentou celého systému je [[cs:​reporting|reportovací modul]], který automaticky distribuuje informace o bezpečnostních událostech přímo zodpovědným správcům podsítí v rámci sítě [[https://​www.cesnet.cz/​sluzby/​pripojeni/​sit-cesnet2/​|CESNET2]] (//​AS2852//​).
Last modified: 07.09.2018 12:46