===== Systém Mentat: SIEM sítě CESNET2 =====
//Toto jsou oficiální stránky systému [[https://mentat.cesnet.cz/cs/index|Mentat]] jakožto služby provozované v rámci sdružení [[https://www.cesnet.cz/|CESNET, z.s.p.o.]] bezpečnostním týmem [[https://csirt.cesnet.cz/en/index|CESNET-CERTS]]. Oficiální stránky systému [[https://mentat.cesnet.cz/cs/index|Mentat]] jakožto otevřeného projektu jsou k dispozici [[https://mentat.cesnet.cz/cs/index|zde]].//
{{ ::mentat_software-technologie_rgb.png?nolink&400 | Logo systému Mentat jakožto služby provozované sdružením CESNET}}
Systém [[https://mentat.cesnet.cz/cs/index|Mentat]] vznikl jako reakce na velké množství detekčních systémů provozovaných v síti [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]]. Každý z těchto systémů doposud prováděl zpracování událostí a rozesílání případných hlášení samostatně. Nasbíraná data byla roztroušena mezi velkým množstvím různých systémů a neumožňovala tak další případné zpracování, korelace, statistické analýzy atd.
Díky svému datovému modelu [[https://idea.cesnet.cz|IDEA]] systém [[https://mentat.cesnet.cz/cs/index|Mentat]] umožňuje sběr dat a jednotné zpracování informací o bezpečnostních událostech z libovolných detekčních nástrojů. V tuto chvíli fungují z hlediska uživatelů v produkčním režimu následující komponenty:
* [[#webove_rozhrani|Webové rozhraní]]
* [[#automaticka_reportovaci_sluzba|Automatická reportovací služba]]
V případě jakýchkoliv dotazů, připomínek či námětů týkajících se systému Mentat, jeho webového rozhraní, nebo automatického reportingu, se na nás prosím obraťte na emailové adrese:
**mentat-info@cesnet.cz**.
==== Pro organizace ====
Jste-li zástupcem či správcem organizace a máte-li zájem o mailové reporty o bezpečnostních událostech ze systému Mentat, kontaktujte nás prosím na adrese mentat-info@cesnet.cz.
==== Pro uživatele ze zapojených organizací ====
[[#webove_rozhrani|Webové rozhraní]] systému Mentat poskytuje přístup k interaktivní verzi všech odeslaných reportů, detailní pohled na události, ze kterých jsou reporty generovány, agregované statistiky událostí dle organizace, umožňuje konfiguraci pravidel reportování a zpětnou vazbu.
Máte-li zájem o přístup do webového rozhraní systému Mentat, navštivte prosím hlavní stránku webového rozhraní na https://mentat-hub.cesnet.cz a zaregistrujte si uživatelský účet pod svou federovanou identitou ve federaci [[https://www.eduid.cz/|eduID.cz]]. Můžete použít také tento [[https://mentat-hub.cesnet.cz/mentat/auth_env/register|přímý odkaz na registrační stránku]]. V žádosti uveďte požadovanou organizaci, k jejímž datům chcete v rámci systému Mentat přistupovat a stručné zdůvodnění pro posouzení žádosti. Po ověření Vaší příslušnosti bude Váš účet aktivován a o této skutečnosti budete informováni prostřednictvím emailu.
==== Chcete spravovat účty uživatelů své organizace? ====
[[#webove_rozhrani|Webové rozhraní]] systému Mentat umožňuje spravovat přístupy členů Vašeho bezpečnostního týmu do systému Mentat. Kontaktujte nás prosím na adrese mentat-info@cesnet.cz, po ověření získáte práva pro správu uživatelů ve skupině své organizace.
===== Webové rozhraní =====
Webové rozhraní je primárně určené dvěma skupinám uživatelů. Jednak jsou to členové bezpečnostního týmu [[https://csirt.cesnet.cz|CESNET-CERTS]], kteří ho používají jako pomocný nástroj v procesu incident handlingu. Druhou skupinou cílových uživatelů jsou správci přímo z koncových sítí v síti [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]], kteří ho mohou používat ke konfiguraci reportování pro svou síť, pro vyhledávání událostí týkajících se jejich sítě, analýzu statistik událostí a k dalším úkonům.
**Další podrobnější informace o webovém rozhraní jsou dostupné na [[:cs:services:mentat:webui|samostatné stránce]].**
Webové rozhraní služby pro uživatele je dostupné na adrese:
**[[https://mentat-hub.cesnet.cz|https://mentat-hub.cesnet.cz]]**.
===== Automatická reportovací služba =====
Automatická reportovací služba hlásí zjištěné problémy týkající se strojů a zařízení v síti [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]] (AS2852) nebo v definovaných sítích našich partnerů, přímo na odpovědné abuse kontakty v cílové síti. Hlášení ze všech detekčních nástrojů tak mají jednotný formát a přidání dalších zdrojů informací již nyní nevyžaduje prakticky žádnou režii.
**Další a podrobnější informace o reportování jsou dostupné na [[:cs:services:mentat:reporting|samostatné stránce]].**
===== FAQ: Často kladené otázky a odpovědi =====
==== Odkud získává Mentat hlášení o bezpečnostních incidentech? ====
Systém Mentat distribuuje hlášení o bezpečnostních incidentech, která přebírá ze dvou typů zdrojů:
* interní (zdroje patřící institucím Sdružení CESNET)
* externí (zdroje z jiných, nyní jen zahraničních institucí).
==== Co jsou interní zdroje Mentatu? Jak jsou důvěryhodná jejich data? ====
Interní zdroje Mentatu:
* [[http://www.cesnet.cz/sluzby/sledovani-provozu-site/sledovani-infrastruktury/|Systémy FTAS a G3]]
* [[http://www.fail2ban.org/|Fail2Ban]] (CESNET Praha; hlášení o strojích, ze kterých odmítáme přijmout el. poštu, posílá Mentatu v 5minutových intervalech)
* Honeypot [[http://dionaea.carnivore.it/|Dionaea]] (CESNET Praha; hlášení o pokusech o připojení posílá v hodinových intervalech)
* SSH Honeypot [[https://code.google.com/p/kippo/|Kippo]] (CESNET Praha; hlášení o pokusech o připojení na SSH posílá v hodinových intervalech)
* Honeypot [[http://labrea.sourceforge.net/|LaBrea]] "CESNET IDS" (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
* Honeypot [[http://labrea.sourceforge.net/|LaBrea]] "CSIRT.CZ" (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
* [[https://wardenw.cesnet.cz/|Systém Warden]] (CESNET) předává Mentatu hlášení z těchto dalších zdrojů:
* [[http://dionaea.carnivore.it/|Dionaea]] (TU Liberec)
* [[http://www.fail2ban.org/|Fail2Ban]] (VŠB Ostrava: hlášení o útocích SSH Bruteforce)
* [[http://www.muni.cz/ics/services/csirt/tools/honeyscan/info/|Honeyscan]] (MU Brno)
* [[https://code.google.com/p/kippo/|Kippo]] (TU Liberec)
* [[https://code.google.com/p/kippo/|Kippo]] (VŠB Ostrava)
* [[https://code.google.com/p/kippo/|Kippo]] (ZČU Plzeň)
* [[http://labrea.sourceforge.net/|LaBrea]] (ZČU Plzeň)
* [[https://www.liberouter.org/technologies/nemea/|Nemea]] (CESNET)
* [[https://www.muni.cz/ics/services/csirt/tools/phigaro|Phigaro]] (MU Brno)
* porušování autorských práv v sítích P2P (VŠB Ostrava).
Všechna data, která detekují stroje CESNETu, považujeme za zcela důvěryhodná.
==== Co jsou externí zdroje Mentatu? Jak jsou důvěryhodná jejich data? ====
Externí zdroje Mentatu:
* Polský národní bezpečnostní tým [[http://www.cert.pl/|CERT.PL]] provozuje systém N6 (Network Security Incident eXchange), který shromažďuje a distribuuje data, která se týkají zejména polských sítí a domén. Pro CESNET jsou užitečné jen záznamy o útocích přicházejících z AS2852. CERT.PL rozesílá několik desítek typů hlášení; každý typ rozesílá max. 1* za 24 hodin. Hlášení CERT.PL zpracovává [[:cs:services:n6|systém CESNET N6]].
* Celoevropská síť [[http://www.geant.net/About/Pages/home.aspx|GÉANT]] provozuje systém [[http://www.geant.net/Network/NetworkOperations/Pages/Network_Security.aspx|NSHARP]], který detekuje bezpečnostní události a informuje o nich správce sítí NREN. NSHARP v současnosti běží v testovacím režimu.
* [[http://www.shadowserver.org/|Nadace Shadowserver]] - americká nezisková organisace složená z dobrovolníků, která distribuje několik desítek typů hlášení zejména o zranitelných strojích; tyto informace získává aktivním scanem, monitorováním síťového provozu celosvětového Internetu a také od spolupracujících organisací. Informace o incidentech v AS2852 rozesílá každých 24 hodin (obvykle se zpožděním 24 - 48 hodin). Hlášení Shadowserveru zpracovává [[:cs:services:sserv|systém SSERV]].
* [[http://www.uceprotect.net/|Projekt UCEPROTECT-NETWORK]] detekuje přijatý spam a špatně nakonfigurované poštovní servery. Hlášení o incidentech v AS2852 rozesílá každých 24 hodin; přijímá a zpracovává je [[:cs:services:uceprot|systém CESNET UCEPROT]].
* Významná bezpečnostní organisace, která si nepřeje být jmenována, detekuje a rozesílá informace o bezpečnostních problémech a podezřelém síťovém provozu. Informace o incidentech v AS2852 předává [[:cs:services:x2|systému CESNET X2]] každý (nebo téměř každý) pracovní den.
* Bezpečnostní tým firmy Microsoft posílá [[http://www.govcert.cz/|Vládnímu CERTu ČR]] informace o virech a síťových červech detekovaných v ČR. Informace o incidentech v AS2852 posílá GovCERT.CZ [[:cs:services:x4|systému CESNET X4]] každý pracovní den ráno.
V průběhu roku 2014 jsme zjistili, že určitý typ incidentů, které Microsoft hlásí GovCERTu.CZ, obsahuje zfalšované zdrojové IP adresy. Tento typ incidentů tedy ignorujeme; ostatní typy incidentů od všech externích zdrojů považujeme za důvěryhodné.
==== K čemu jsou tato data užitečná? ====
* Potřeba sbírat a uchovávat data o bezpečnostních incidentech plyne za Zákona 181/2014 Sb. o kybernetické bezpečnosti.
* Nasbíraná data nám umožňují:
* rozpoznat provozní i bezpečnostní problémy (přetížení okruhu, špatná konfigurace firewallů nebo serverů umožňující zneužití k útokům typu DoS/DDoS, ...). Zjištěná data mohou umožnit odstranění problémů dříve, než jich využijí útočníci;
* rozpoznat pokusy o zneužití infrastruktury a dat;
* zpětně určit události, které vedly k bezpečnostním incidentům.
==== Jaké typy/třídy událostí lze nalézt v hlášení ====
Na stránce [[:cs:services:eventclass]] udržujeme aktuální seznam tříd událostí, které se mohou vyskytnout v pravidelných hlášeních od systému Mentat.
==== Co očekáváme od správců koncové sítě? ====
Předpokládáme, že správci koncových sítí:
* přijmou hlášení systému Mentat
* zhodnotí relevanci a důležitost hlášených incidentů
* bez zbytečného zpoždění opraví, co je třeba
* pro incidenty kategorie 2 a 3 včas odpoví, co zjistili a jak problém vyřešili.
Správce sítě samozřejmě může požádat pracovníky [[https://csirt.cesnet.cz|CESNET-CERTS]] o konsultaci/pomoc při řešení problému. Pokud si je správce koncové sítě jist, že ohlášený incident není důležitý a/nebo ho nelze opravit, může požádat o ignorování daného typu hlášení na příslušné IP adrese. Přitom by měl uvážit širší souvislosti uvedené v následujícím bodě.
==== Je v pořádku, když správce koncové sítě dlouhodobě zanedbává problém se zdánlivě nízkou mírou nebezpečí? ====
Některé druhy bezpečnostních problémů zdánlivě představují velmi malé nebezpečí. Jako příklad lze uvést:
* otevřený rekursivní DNS resolver ("DNS funguje, nemáme čas řešit nic dalšího")
* zranitelnost POODLE na webovém serveru ("žádná tajná data tam nemáme, problém se nás netýká").
Dlouhodobé ignorování problému ale může způsobit např toto:
* otevřený rekursivní resolver bude zneužit při útoku DDoS společně s desetitisíci dalších podobně zanedbávaných strojů
* na webovém serveru bude později nainstalována nové služba s důležitými daty; ta se pak dostanou do nepovolaných rukou.
To všechno pak může pokazit dobrou pověst příslušné instituce i celé sítě
[[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]].
Důležité je i to, že CESNET-CERTS odpovídá za celou síť [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]], nejen za její interní infrastrukturu - viz https://csirt.cesnet.cz/. Pracovníci CESNET-CERTS tedy nemohou nečinně přihlížet, pokud vidí dlouhodobě neřešené problémy.
==== Jak definujete kategorie závažnosti incidentů? ====
Z hlediska správců páteřní sítě i správců koncových sítí připojených k síti [[https://www.cesnet.cz/sluzby/pripojeni/sit-cesnet2/|CESNET2]] rozlišujeme tyto 4 kategorie závažnosti:
^ Kategorie ^ Popis ^ Očekávaná reakce ^
| Nízká - Low (1) | Informační charakter | Žádná |
| Střední - Medium (2) | Vážná událost | Vyřešit/odpovědět do 2 dní |
| Vysoká - High (3) | Velmi vážná událost | Vyřešit/odpovědět co nejdříve |
| Kritická - Critical (4) | Kritická událost | Vyřešit/odpovědět co nejdříve |
==== Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců páteře CESNETu2? ====
Pozn.: Koncept 20150701; připomínky jsou vítány.
Za vysoce nebezpečné považujeme tyto druhy incidentů:
* útoky DoS/DDoS (ověřená hlášení, nikoli všechna přijatá automatická hlášení)
* nesprávná konfigurace umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP)
* zkompromitovaná infrastruktura sítě.
Za středně nebezpečné považujeme:
* útoky na SSH a RDP
* zkompromitované stroje, botnety všeho druhu
* potenciální ohrožení infrastruktury - OpenNTP, HeartBleed, NAT-PMP
* porušování autorských práv.
Za málo nebezpečné považujeme:
* málo kritický síťový provoz
* spam, backscatter
* méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.
Interní zdroje CESNETu:
Název závažnost hlášení
Dionaea 1
Fail2Ban Ostrava 2
Fail2Ban Praha 1
Honeyscan 1
Hoststats 1
HPScan ???
Kippo 2
LaBrea 1 - 2
Nemea 1
RDPmonitor 2
ScanDetector ???
SSHBruteforce 2
Externí zdroje:
Název závažnost hlášení
N6 - Andromeda 2
N6 - Arakis 1
N6 - Bots 2
N6 - Bots Zeus P2P 2
N6 - Citadel 2
N6 - Cutwail 2
N6 - CERT Polska Sinkhole 2
N6 - Citadel Sinkhole 2
N6 - Cloudflare DDoS 3
N6 - Compromised CMS 2
N6 - Compromised Routers 3
N6 - DarkHotel 3
N6 - Dorkbot 2
N6 - Energetic Bear 3
N6 - Geodo Trojan 2
N6 - Heartbleed 2
N6 - Kelihos 2
N6 - MalURL 2
N6 - Moure 2
N6 - Open NTP 2
N6 - Pushdo 2
N6 - Quakbot 2
N6 - Rovnix 2
N6 - Shell Accounts 2
N6 - Tinba 2
N6 - Victim Zeus 2
N6 - Virut 2
N6 - Zeroaccess 2
N6 - Zeus 2
N6 - Zeus Gameover 2
N6 - Power Zeus 2
SSERV - Botnet Proxy 2
SSERV - Command and Control 2
SSERV - Compromised Website 2
SSERV - Drone 2
SSERV - Microsoft Sinkhole 2
SSERV - Open Proxy 2
SSERV - Open DNS Resolver 2
SSERV - Sandbox URL 1
SSERV - Scan CHARGEN 1
SSERV - Scan IPMI 3
SSERV - Scan MEMCACHED 2
SSERV - Scan MongoDB 2
SSERV - Scan NAT-PMP 2
SSERV - Scan NETBIOS 2
SSERV - Scan NTP 2
SSERV - Scan NTP Monitor 3
SSERV - Scan QOTD 1
SSERV - Scan SNMP 3
SSERV - Scan SSDP 3
SSERV - Scan SSL-FREAK 2
SSERV - Sinkhole HTTP Drone 2
SSERV - Sinkhole HTTP Referer 1
SSERV - Spam URL 1
SSERV - SSL Scan 1 - 2
UCEPROT - Backscatter 1
UCEPROT - Spam 1
X2 - Bots 2
X2 - BruteForce 2
X2 - Malware URL 2
X2 - Open Resolver 2
X2 - Phishing 2
X2 - Proxy 2
X2 - Scanners 2
X2 - Spam 1
X4 - B46-Simda 2
X4 - B49-Waledac 2
X4 - B54-Citadel 2
X4 - B58-Bamital 2
X4 - B68-Zeroaccess 2
X4 - B71-Zeus/Zbot 2
X4 - B79-Kelihos 2
X4 - B93-Caphaw 2
X4 - B106-Různé 2
X4 - B107-Rustock 2
X4 - B157-Gameover Zeus 2
X4 - Conficker 2
==== Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců koncových sítí CESNETu2? ====
Pozn.: Koncept 20150701; připomínky jsou vítány.
Za vysoce nebezpečné považujeme tyto druhy incidentů:
* útoky DoS/DDoS
* zkompromitovaná infrastruktura sítě
* zkompromitované stroje, botnety všeho druhu, phishing, spam
* nesprávná konfigurace služeb umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP).
Za středně nebezpečné považujeme:
* BruteForce útoky na SSH a RDP
* potenciální ohrožení infrastruktury - OpenNTP, Open Resolver, HeartBleed, NAT-PMP, IPMI
* MalwareURL, SandboxURL
* porušování autorských práv.
Za málo nebezpečné považujeme:
* málo kritický síťový provoz
* backscatter, SpamURL
* méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.
Interní zdroje CESNETu:
Název závažnost hlášení
Dionaea 2
Fail2Ban Ostrava 2
Fail2Ban Praha 2
Honeyscan 2
Hoststats 1
Kippo 2
LaBrea 2
Nemea 2
Externí zdroje:
Název závažnost hlášení
N6 - Andromeda 2
N6 - Arakis 2
N6 - Bots 3
N6 - Bots Zeus P2P 3
N6 - Citadel 3
N6 - Cutwail 3
N6 - CERT Polska Sinkhole 2
N6 - Citadel Sinkhole 3
N6 - Cloudflare DDoS 3
N6 - Compromised CMS 3
N6 - Compromised Routers 3
N6 - DarkHotel 3
N6 - Dorkbot 3
N6 - Energetic Bear 3
N6 - Geodo Trojan 2
N6 - Heartbleed 2
N6 - Kelihos 3
N6 - MalURL 2
N6 - Moure 3
N6 - Open NTP 2
N6 - Pushdo 2
N6 - Quakbot 3
N6 - Rovnix 3
N6 - Shell Accounts 3
N6 - Tinba 3
N6 - Victim Zeus 3
N6 - Virut 3
N6 - Zeroaccess 3
N6 - Zeus 3
N6 - Zeus Gameover 3
N6 - Power Zeus 3
SSERV - Botnet Proxy 2 - 3
SSERV - Command and Control 2
SSERV - Compromised Website 3
SSERV - Drone 2 - 3
SSERV - Microsoft Sinkhole 2 - 3
SSERV - Open Proxy 2 - 3
SSERV - Open DNS Resolver 2
SSERV - Sandbox URL 2
SSERV - Scan CHARGEN 1
SSERV - Scan IPMI 3
SSERV - Scan MEMCACHED 2
SSERV - Scan MongoDB 2
SSERV - Scan NAT-PMP 2
SSERV - Scan NETBIOS 2
SSERV - Scan NTP 2
SSERV - Scan NTP Monitor 3
SSERV - Scan QOTD 1
SSERV - Scan SNMP 3
SSERV - Scan SSDP 3
SSERV - Scan SSL-FREAK 2
SSERV - Sinkhole HTTP Drone 2 - 3
SSERV - Sinkhole HTTP Referer 1
SSERV - Spam URL 1
SSERV - SSL Scan 1 - 2
UCEPROT - Backscatter 1
UCEPROT - Spam 3
X2 - Bots 3
X2 - BruteForce 2
X2 - Malware URL 2
X2 - Open Resolver 2
X2 - Phishing 3
X2 - Proxy 2 - 3
X2 - Scanners 2 - 3
X2 - Spam 3
X4 - B46-Simda 3
X4 - B49-Waledac 3
X4 - B54-Citadel 3
X4 - B58-Bamital 3
X4 - B68-Zeroaccess 3
X4 - B71-Zeus/Zbot 3
X4 - B79-Kelihos 3
X4 - B93-Caphaw 3
X4 - B106-Různé 3
X4 - B107-Rustock 3
X4 - B157-Gameover Zeus 3
X4 - Conficker 3
==== Jak předáváme hlášení o incidentech do koncových sítí? ====
Systém [[https://mentat.cesnet.cz|Mentat]] rozesílá [[:cs:services:mentat:reporting|pravidelná hlášení]] o bezpečnostních incidentech elektronickou poštou na kontaktní adresy správců zodpovědných za bezpečnost daných sítí. RIPE DB tuto kontaktní adresu hlásí na počátku výpisu informací o každé síti takto:
> % Information related to '195.113.0.0 - 195.113.69.79'
>
> % Abuse contact for '195.113.0.0 - 195.113.69.79' is 'abuse@cuni.cz'
>
> inetnum: 195.113.0.0 - 195.113.69.79
> netname: CUNI-T34CZ
> descr: Charles University
> descr: Prague
> (...)
Každé hlášení Mentatu obsahuje incidenty přijaté za dané časové období a s danou úrovní závažnosti ze všech interních i externích zdrojů. Více informací o tomto způsobu reportování lze nalézt na [[cs:services:mentat:reporting|samostatné stránce]].