Obsah

Systém Mentat: SIEM sítě CESNET2

Toto jsou oficiální stránky systému Mentat jakožto služby provozované v rámci sdružení CESNET, z.s.p.o. bezpečnostním týmem CESNET-CERTS. Oficiální stránky systému Mentat jakožto otevřeného projektu jsou k dispozici zde.

 Logo systému Mentat jakožto služby provozované sdružením CESNET

Systém Mentat vznikl jako reakce na velké množství detekčních systémů provozovaných v síti CESNET2. Každý z těchto systémů doposud prováděl zpracování událostí a rozesílání případných hlášení samostatně. Nasbíraná data byla roztroušena mezi velkým množstvím různých systémů a neumožňovala tak další případné zpracování, korelace, statistické analýzy atd.

Díky svému datovému modelu IDEA systém Mentat umožňuje sběr dat a jednotné zpracování informací o bezpečnostních událostech z libovolných detekčních nástrojů. V tuto chvíli fungují z hlediska uživatelů v produkčním režimu následující komponenty:

V případě jakýchkoliv dotazů, připomínek či námětů týkajících se systému Mentat, jeho webového rozhraní, nebo automatického reportingu, se na nás prosím obraťte na emailové adrese:

mentat-info@cesnet.cz.

Pro organizace

Jste-li zástupcem či správcem organizace a máte-li zájem o mailové reporty o bezpečnostních událostech ze systému Mentat, kontaktujte nás prosím na adrese mentat-info@cesnet.cz.

Pro uživatele ze zapojených organizací

Webové rozhraní systému Mentat poskytuje přístup k interaktivní verzi všech odeslaných reportů, detailní pohled na události, ze kterých jsou reporty generovány, agregované statistiky událostí dle organizace, umožňuje konfiguraci pravidel reportování a zpětnou vazbu.

Máte-li zájem o přístup do webového rozhraní systému Mentat, navštivte prosím hlavní stránku webového rozhraní na https://mentat-hub.cesnet.cz a zaregistrujte si uživatelský účet pod svou federovanou identitou ve federaci eduID.cz. Můžete použít také tento přímý odkaz na registrační stránku. V žádosti uveďte požadovanou organizaci, k jejímž datům chcete v rámci systému Mentat přistupovat a stručné zdůvodnění pro posouzení žádosti. Po ověření Vaší příslušnosti bude Váš účet aktivován a o této skutečnosti budete informováni prostřednictvím emailu.

Chcete spravovat účty uživatelů své organizace?

Webové rozhraní systému Mentat umožňuje spravovat přístupy členů Vašeho bezpečnostního týmu do systému Mentat. Kontaktujte nás prosím na adrese mentat-info@cesnet.cz, po ověření získáte práva pro správu uživatelů ve skupině své organizace.

Webové rozhraní

Webové rozhraní je primárně určené dvěma skupinám uživatelů. Jednak jsou to členové bezpečnostního týmu CESNET-CERTS, kteří ho používají jako pomocný nástroj v procesu incident handlingu. Druhou skupinou cílových uživatelů jsou správci přímo z koncových sítí v síti CESNET2, kteří ho mohou používat ke konfiguraci reportování pro svou síť, pro vyhledávání událostí týkajících se jejich sítě, analýzu statistik událostí a k dalším úkonům.

Další podrobnější informace o webovém rozhraní jsou dostupné na samostatné stránce.

Webové rozhraní služby pro uživatele je dostupné na adrese:

https://mentat-hub.cesnet.cz.

Automatická reportovací služba

Automatická reportovací služba hlásí zjištěné problémy týkající se strojů a zařízení v síti CESNET2 (AS2852) nebo v definovaných sítích našich partnerů, přímo na odpovědné abuse kontakty v cílové síti. Hlášení ze všech detekčních nástrojů tak mají jednotný formát a přidání dalších zdrojů informací již nyní nevyžaduje prakticky žádnou režii.

Další a podrobnější informace o reportování jsou dostupné na samostatné stránce.

FAQ: Často kladené otázky a odpovědi

Odkud získává Mentat hlášení o bezpečnostních incidentech?

Systém Mentat distribuuje hlášení o bezpečnostních incidentech, která přebírá ze dvou typů zdrojů:

Co jsou interní zdroje Mentatu? Jak jsou důvěryhodná jejich data?

Interní zdroje Mentatu:

Všechna data, která detekují stroje CESNETu, považujeme za zcela důvěryhodná.

Co jsou externí zdroje Mentatu? Jak jsou důvěryhodná jejich data?

Externí zdroje Mentatu:

V průběhu roku 2014 jsme zjistili, že určitý typ incidentů, které Microsoft hlásí GovCERTu.CZ, obsahuje zfalšované zdrojové IP adresy. Tento typ incidentů tedy ignorujeme; ostatní typy incidentů od všech externích zdrojů považujeme za důvěryhodné.

K čemu jsou tato data užitečná?

Jaké typy/třídy událostí lze nalézt v hlášení

Na stránce Třídy událostí udržujeme aktuální seznam tříd událostí, které se mohou vyskytnout v pravidelných hlášeních od systému Mentat.

Co očekáváme od správců koncové sítě?

Předpokládáme, že správci koncových sítí:

Správce sítě samozřejmě může požádat pracovníky CESNET-CERTS o konsultaci/pomoc při řešení problému. Pokud si je správce koncové sítě jist, že ohlášený incident není důležitý a/nebo ho nelze opravit, může požádat o ignorování daného typu hlášení na příslušné IP adrese. Přitom by měl uvážit širší souvislosti uvedené v následujícím bodě.

Je v pořádku, když správce koncové sítě dlouhodobě zanedbává problém se zdánlivě nízkou mírou nebezpečí?

Některé druhy bezpečnostních problémů zdánlivě představují velmi malé nebezpečí. Jako příklad lze uvést:

Dlouhodobé ignorování problému ale může způsobit např toto:

To všechno pak může pokazit dobrou pověst příslušné instituce i celé sítě CESNET2.

Důležité je i to, že CESNET-CERTS odpovídá za celou síť CESNET2, nejen za její interní infrastrukturu - viz https://csirt.cesnet.cz/. Pracovníci CESNET-CERTS tedy nemohou nečinně přihlížet, pokud vidí dlouhodobě neřešené problémy.

Jak definujete kategorie závažnosti incidentů?

Z hlediska správců páteřní sítě i správců koncových sítí připojených k síti CESNET2 rozlišujeme tyto 4 kategorie závažnosti:

Kategorie Popis Očekávaná reakce
Nízká - Low (1) Informační charakter Žádná
Střední - Medium (2) Vážná událost Vyřešit/odpovědět do 2 dní
Vysoká - High (3) Velmi vážná událost Vyřešit/odpovědět co nejdříve
Kritická - Critical (4) Kritická událost Vyřešit/odpovědět co nejdříve

Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců páteře CESNETu2?

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

Za středně nebezpečné považujeme:

Za málo nebezpečné považujeme:

Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             1
Fail2Ban Ostrava    2
Fail2Ban Praha      1
Honeyscan           1
Hoststats           1
HPScan              ???
Kippo               2
LaBrea              1 - 2
Nemea               1
RDPmonitor          2
ScanDetector        ???
SSHBruteforce       2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     1
N6 - Bots                       2
N6 - Bots Zeus P2P              2
N6 - Citadel                    2
N6 - Cutwail                    2
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           2
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            2
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    2
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    2
N6 - MalURL                     2
N6 - Moure                      2
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    2
N6 - Rovnix                     2
N6 - Shell Accounts             2
N6 - Tinba                      2
N6 - Victim Zeus                2
N6 - Virut                      2
N6 - Zeroaccess                 2
N6 - Zeus                       2
N6 - Zeus Gameover              2
N6 - Power Zeus                 2

SSERV - Botnet Proxy            2
SSERV - Command and Control     2
SSERV - Compromised Website     2
SSERV - Drone                   2
SSERV - Microsoft Sinkhole      2
SSERV - Open Proxy              2
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             1
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  1

X2 - Bots                       2
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   2
X2 - Proxy                      2
X2 - Scanners                   2
X2 - Spam                       1

X4 - B46-Simda                  2
X4 - B49-Waledac                2
X4 - B54-Citadel                2
X4 - B58-Bamital                2
X4 - B68-Zeroaccess             2
X4 - B71-Zeus/Zbot              2
X4 - B79-Kelihos                2
X4 - B93-Caphaw                 2
X4 - B106-Různé                 2
X4 - B107-Rustock               2
X4 - B157-Gameover Zeus         2
X4 - Conficker                  2

Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců koncových sítí CESNETu2?

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

Za středně nebezpečné považujeme:

Za málo nebezpečné považujeme:

Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             2
Fail2Ban Ostrava    2
Fail2Ban Praha      2
Honeyscan           2
Hoststats           1
Kippo               2
LaBrea              2
Nemea               2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     2
N6 - Bots                       3
N6 - Bots Zeus P2P             3
N6 - Citadel                    3
N6 - Cutwail                    3
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           3
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            3
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    3
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    3
N6 - MalURL                     2
N6 - Moure                      3
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    3
N6 - Rovnix                     3
N6 - Shell Accounts             3
N6 - Tinba                      3
N6 - Victim Zeus                3
N6 - Virut                      3
N6 - Zeroaccess                 3
N6 - Zeus                       3
N6 - Zeus Gameover              3
N6 - Power Zeus                 3

SSERV - Botnet Proxy            2 - 3
SSERV - Command and Control     2
SSERV - Compromised Website     3
SSERV - Drone                   2 - 3
SSERV - Microsoft Sinkhole      2 - 3
SSERV - Open Proxy              2 - 3
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             2
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2 - 3
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  3

X2 - Bots                       3
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   3
X2 - Proxy                      2 - 3
X2 - Scanners                   2 - 3
X2 - Spam                       3

X4 - B46-Simda                  3
X4 - B49-Waledac                3
X4 - B54-Citadel                3
X4 - B58-Bamital                3
X4 - B68-Zeroaccess             3
X4 - B71-Zeus/Zbot              3
X4 - B79-Kelihos                3
X4 - B93-Caphaw                 3
X4 - B106-Různé                 3
X4 - B107-Rustock               3
X4 - B157-Gameover Zeus         3
X4 - Conficker                  3

Jak předáváme hlášení o incidentech do koncových sítí?

Systém Mentat rozesílá pravidelná hlášení o bezpečnostních incidentech elektronickou poštou na kontaktní adresy správců zodpovědných za bezpečnost daných sítí. RIPE DB tuto kontaktní adresu hlásí na počátku výpisu informací o každé síti takto:

> % Information related to '195.113.0.0 - 195.113.69.79'
>
> % Abuse contact for '195.113.0.0 - 195.113.69.79' is 'abuse@cuni.cz'
>
> inetnum:        195.113.0.0 - 195.113.69.79
> netname:        CUNI-T34CZ
> descr:          Charles University
> descr:          Prague
> (...)

Každé hlášení Mentatu obsahuje incidenty přijaté za dané časové období a s danou úrovní závažnosti ze všech interních i externích zdrojů. Více informací o tomto způsobu reportování lze nalézt na samostatné stránce.