cs:services:mentat

Systém Mentat: SIEM sítě CESNET2

Toto jsou oficiální stránky systému Mentat jakožto služby provozované v rámci sdružení CESNET, z.s.p.o. bezpečnostním týmem CESNET-CERTS. Oficiální stránky systému Mentat jakožto otevřeného projektu jsou k dispozici zde.

Logo systému Mentat jakožto služby provozované sdružením CESNET

Systém Mentat vznikl jako reakce na velké množství detekčních systémů provozovaných v síti CESNET2. Každý z těchto systémů doposud prováděl zpracování událostí a rozesílání případných hlášení samostatně. Nasbíraná data byla roztroušena mezi velkým množstvím různých systémů a neumožňovala tak další případné zpracování, korelace, statistické analýzy atd.

Díky svému datovému modelu IDEA systém Mentat umožňuje sběr dat a jednotné zpracování informací o bezpečnostních událostech z libovolných detekčních nástrojů. V tuto chvíli fungují z hlediska uživatelů v produkčním režimu následující komponenty:

V případě jakýchkoliv dotazů, připomínek či námětů týkajících se systému Mentat, jeho webového rozhraní, nebo automatického reportingu, se na nás prosím obraťte na emailové adrese:

mentat-info@cesnet.cz.

Pro organizace

Jste-li zástupcem či správcem organizace a máte-li zájem o mailové reporty o bezpečnostních událostech ze systému Mentat, kontaktujte nás prosím na adrese mentat-info@cesnet.cz.

Pro uživatele ze zapojených organizací

Webové rozhraní systému Mentat poskytuje pohled na detailní události, ze kterých jsou reporty generovány, statistiky událostí organizace, možnost konfigurace pravidel reportování a možnost zpětné vazby.

Máte-li zájem o přístup do webového rozhraní systému Mentat, navštivte prosím https://mentat-hub.cesnet.cz a požádejte o registraci pod svým federovaným účtem. Po ověření Vaší příslušnosti bude Váš účet aktivován.

Chcete spravovat účty uživatelů své organizace?

Webové rozhraní systému Mentat umožňuje spravovat přístupy členů Vašeho bezpečnostního týmu do systému Mentat. Kontaktujte nás prosím na adrese mentat-info@cesnet.cz, po ověření získáte práva pro správu uživatelů ve skupině své organizace.

Webové rozhraní

Webové rozhraní je primárně určené dvěma skupinám uživatelů. Jednak jsou to členové bezpečnostního týmu CESNET-CERTS, kteří ho používají jako pomocný nástroj v procesu incident handlingu. Druhou skupinou cílových uživatelů jsou správci přímo z koncových sítí v síti CESNET2, kteří ho mohou používat ke konfiguraci reportování pro svou síť, pro vyhledávání událostí týkajících se jejich sítě, analýzu statistik událostí a k dalším úkonům. Další podrobnější informace o webovém rozhraní jsou dostupné na samostatné stránce.

Webové rozhraní služby pro uživatele je dostupné na adrese:

https://mentat-hub.cesnet.cz.

Automatická reportovací služba

Automatická reportovací služba hlásí zjištěné problémy týkající se strojů a zařízení v síti CESNET2 (AS2852) nebo v definovaných sítích našich partnerů, přímo na odpovědné abuse kontakty v cílové síti. Hlášení ze všech detekčních nástrojů tak mají jednotný formát a přidání dalších zdrojů informací již nyní nevyžaduje prakticky žádnou námahu. Další a podrobnější informace o reportování jsou dostupné na samostatné stránce.

FAQ: Často kladené otázky a odpovědi

Odkud získává Mentat hlášení o bezpečnostních incidentech?

Systém Mentat distribuuje hlášení o bezpečnostních incidentech, která přebírá ze dvou typů zdrojů:

  • interní (zdroje patřící institucím Sdružení CESNET)
  • externí (zdroje z jiných, nyní jen zahraničních institucí).

Co jsou interní zdroje Mentatu? Jak jsou důvěryhodná jejich data?

Interní zdroje Mentatu:

  • Fail2Ban (CESNET Praha; hlášení o strojích, ze kterých odmítáme přijmout el. poštu, posílá Mentatu v 5minutových intervalech)
  • Honeypot Dionaea (CESNET Praha; hlášení o pokusech o připojení posílá v hodinových intervalech)
  • SSH Honeypot Kippo (CESNET Praha; hlášení o pokusech o připojení na SSH posílá v hodinových intervalech)
  • Honeypot LaBrea „CESNET IDS“ (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
  • Honeypot LaBrea „CSIRT.CZ“ (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
  • Systém Warden (CESNET) předává Mentatu hlášení z těchto dalších zdrojů:

Všechna data, která detekují stroje CESNETu, považujeme za zcela důvěryhodná.

Co jsou externí zdroje Mentatu? Jak jsou důvěryhodná jejich data?

Externí zdroje Mentatu:

  • Polský národní bezpečnostní tým CERT.PL provozuje systém N6 (Network Security Incident eXchange), který shromažďuje a distribuuje data, která se týkají zejména polských sítí a domén. Pro CESNET jsou užitečné jen záznamy o útocích přicházejících z AS2852. CERT.PL rozesílá několik desítek typů hlášení; každý typ rozesílá max. 1* za 24 hodin. Hlášení CERT.PL zpracovává systém CESNET N6.
  • Celoevropská síť GÉANT provozuje systém NSHARP, který detekuje bezpečnostní události a informuje o nich správce sítí NREN. NSHARP v současnosti běží v testovacím režimu.
  • Nadace Shadowserver - americká nezisková organisace složená z dobrovolníků, která distribuje několik desítek typů hlášení zejména o zranitelných strojích; tyto informace získává aktivním scanem, monitorováním síťového provozu celosvětového Internetu a také od spolupracujících organisací. Informace o incidentech v AS2852 rozesílá každých 24 hodin (obvykle se zpožděním 24 - 48 hodin). Hlášení Shadowserveru zpracovává systém SSERV.
  • Projekt UCEPROTECT-NETWORK detekuje přijatý spam a špatně nakonfigurované poštovní servery. Hlášení o incidentech v AS2852 rozesílá každých 24 hodin; přijímá a zpracovává je systém CESNET UCEPROT.
  • Významná bezpečnostní organisace, která si nepřeje být jmenována, detekuje a rozesílá informace o bezpečnostních problémech a podezřelém síťovém provozu. Informace o incidentech v AS2852 předává systému CESNET X2 každý (nebo téměř každý) pracovní den.
  • Bezpečnostní tým firmy Microsoft posílá Vládnímu CERTu ČR informace o virech a síťových červech detekovaných v ČR. Informace o incidentech v AS2852 posílá GovCERT.CZ systému CESNET X4 každý pracovní den ráno.

V průběhu roku 2014 jsme zjistili, že určitý typ incidentů, které Microsoft hlásí GovCERTu.CZ, obsahuje zfalšované zdrojové IP adresy. Tento typ incidentů tedy ignorujeme; ostatní typy incidentů od všech externích zdrojů považujeme za důvěryhodné.

K čemu jsou tato data užitečná?

  • Potřeba sbírat a uchovávat data o bezpečnostních incidentech plyne za Zákona 181/2014 Sb. o kybernetické bezpečnosti.
  • Nasbíraná data nám umožňují:
    • rozpoznat provozní i bezpečnostní problémy (přetížení okruhu, špatná konfigurace firewallů nebo serverů umožňující zneužití k útokům typu DoS/DDoS, …). Zjištěná data mohou umožnit odstranění problémů dříve, než jich využijí útočníci;
    • rozpoznat pokusy o zneužití infrastruktury a dat;
    • zpětně určit události, které vedly k bezpečnostním incidentům.

Jaké typy/třídy událostí lze nalézt v hlášení

Na stránce Třídy událostí udržujeme aktuální seznam tříd událostí, které se mohou vyskytnout v pravidelných hlášeních od systému Mentat.

Co očekáváme od správců koncové sítě?

Předpokládáme, že správci koncových sítí:

  • přijmou hlášení systému Mentat
  • zhodnotí relevanci a důležitost hlášených incidentů
  • bez zbytečného zpoždění opraví, co je třeba
  • pro incidenty kategorie 2 a 3 včas odpoví, co zjistili a jak problém vyřešili.

Správce sítě samozřejmě může požádat pracovníky CESNET-CERTS o konsultaci/pomoc při řešení problému. Pokud si je správce koncové sítě jist, že ohlášený incident není důležitý a/nebo ho nelze opravit, může požádat o ignorování daného typu hlášení na příslušné IP adrese. Přitom by měl uvážit širší souvislosti uvedené v následujícím bodě.

Je v pořádku, když správce koncové sítě dlouhodobě zanedbává problém se zdánlivě nízkou mírou nebezpečí?

Některé druhy bezpečnostních problémů zdánlivě představují velmi malé nebezpečí. Jako příklad lze uvést:

  • otevřený rekursivní DNS resolver („DNS funguje, nemáme čas řešit nic dalšího“)
  • zranitelnost POODLE na webovém serveru („žádná tajná data tam nemáme, problém se nás netýká“).

Dlouhodobé ignorování problému ale může způsobit např toto:

  • otevřený rekursivní resolver bude zneužit při útoku DDoS společně s desetitisíci dalších podobně zanedbávaných strojů
  • na webovém serveru bude později nainstalována nové služba s důležitými daty; ta se pak dostanou do nepovolaných rukou.

To všechno pak může pokazit dobrou pověst příslušné instituce i celé sítě CESNET2.

Důležité je i to, že CESNET-CERTS odpovídá za celou síť CESNET2, nejen za její interní infrastrukturu - viz https://csirt.cesnet.cz/. Pracovníci CESNET-CERTS tedy nemohou nečinně přihlížet, pokud vidí dlouhodobě neřešené problémy.

Jak definujete kategorie závažnosti incidentů?

Z hlediska správců páteřní sítě i správců koncových sítí připojených k síti CESNET2 rozlišujeme tyto 4 kategorie závažnosti:

Kategorie Popis Očekávaná reakce
Nízká - Low (1) Informační charakter Žádná
Střední - Medium (2) Vážná událost Vyřešit/odpovědět do 2 dní
Vysoká - High (3) Velmi vážná událost Vyřešit/odpovědět co nejdříve
Kritická - Critical (4) Kritická událost Vyřešit/odpovědět co nejdříve

Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců páteře CESNETu2?

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

  • útoky DoS/DDoS (ověřená hlášení, nikoli všechna přijatá automatická hlášení)
  • nesprávná konfigurace umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP)
  • zkompromitovaná infrastruktura sítě.

Za středně nebezpečné považujeme:

  • útoky na SSH a RDP
  • zkompromitované stroje, botnety všeho druhu
  • potenciální ohrožení infrastruktury - OpenNTP, HeartBleed, NAT-PMP
  • porušování autorských práv.

Za málo nebezpečné považujeme:

  • málo kritický síťový provoz
  • spam, backscatter
  • méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.
Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             1
Fail2Ban Ostrava    2
Fail2Ban Praha      1
Honeyscan           1
Hoststats           1
HPScan              ???
Kippo               2
LaBrea              1 - 2
Nemea               1
RDPmonitor          2
ScanDetector        ???
SSHBruteforce       2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     1
N6 - Bots                       2
N6 - Bots Zeus P2P              2
N6 - Citadel                    2
N6 - Cutwail                    2
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           2
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            2
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    2
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    2
N6 - MalURL                     2
N6 - Moure                      2
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    2
N6 - Rovnix                     2
N6 - Shell Accounts             2
N6 - Tinba                      2
N6 - Victim Zeus                2
N6 - Virut                      2
N6 - Zeroaccess                 2
N6 - Zeus                       2
N6 - Zeus Gameover              2
N6 - Power Zeus                 2

SSERV - Botnet Proxy            2
SSERV - Command and Control     2
SSERV - Compromised Website     2
SSERV - Drone                   2
SSERV - Microsoft Sinkhole      2
SSERV - Open Proxy              2
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             1
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  1

X2 - Bots                       2
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   2
X2 - Proxy                      2
X2 - Scanners                   2
X2 - Spam                       1

X4 - B46-Simda                  2
X4 - B49-Waledac                2
X4 - B54-Citadel                2
X4 - B58-Bamital                2
X4 - B68-Zeroaccess             2
X4 - B71-Zeus/Zbot              2
X4 - B79-Kelihos                2
X4 - B93-Caphaw                 2
X4 - B106-Různé                 2
X4 - B107-Rustock               2
X4 - B157-Gameover Zeus         2
X4 - Conficker                  2

Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců koncových sítí CESNETu2?

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

  • útoky DoS/DDoS
  • zkompromitovaná infrastruktura sítě
  • zkompromitované stroje, botnety všeho druhu, phishing, spam
  • nesprávná konfigurace služeb umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP).

Za středně nebezpečné považujeme:

  • BruteForce útoky na SSH a RDP
  • potenciální ohrožení infrastruktury - OpenNTP, Open Resolver, HeartBleed, NAT-PMP, IPMI
  • MalwareURL, SandboxURL
  • porušování autorských práv.

Za málo nebezpečné považujeme:

  • málo kritický síťový provoz
  • backscatter, SpamURL
  • méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.
Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             2
Fail2Ban Ostrava    2
Fail2Ban Praha      2
Honeyscan           2
Hoststats           1
Kippo               2
LaBrea              2
Nemea               2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     2
N6 - Bots                       3
N6 - Bots Zeus P2P             3
N6 - Citadel                    3
N6 - Cutwail                    3
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           3
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            3
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    3
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    3
N6 - MalURL                     2
N6 - Moure                      3
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    3
N6 - Rovnix                     3
N6 - Shell Accounts             3
N6 - Tinba                      3
N6 - Victim Zeus                3
N6 - Virut                      3
N6 - Zeroaccess                 3
N6 - Zeus                       3
N6 - Zeus Gameover              3
N6 - Power Zeus                 3

SSERV - Botnet Proxy            2 - 3
SSERV - Command and Control     2
SSERV - Compromised Website     3
SSERV - Drone                   2 - 3
SSERV - Microsoft Sinkhole      2 - 3
SSERV - Open Proxy              2 - 3
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             2
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2 - 3
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  3

X2 - Bots                       3
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   3
X2 - Proxy                      2 - 3
X2 - Scanners                   2 - 3
X2 - Spam                       3

X4 - B46-Simda                  3
X4 - B49-Waledac                3
X4 - B54-Citadel                3
X4 - B58-Bamital                3
X4 - B68-Zeroaccess             3
X4 - B71-Zeus/Zbot              3
X4 - B79-Kelihos                3
X4 - B93-Caphaw                 3
X4 - B106-Různé                 3
X4 - B107-Rustock               3
X4 - B157-Gameover Zeus         3
X4 - Conficker                  3

Jak předáváme hlášení o incidentech do koncových sítí?

Systém Mentat rozesílá pravidelná hlášení o bezpečnostních incidentech elektronickou poštou na kontaktní adresy správců zodpovědných za bezpečnost daných sítí. RIPE DB tuto kontaktní adresu hlásí na počátku výpisu informací o každé síti takto:

> % Information related to '195.113.0.0 - 195.113.69.79'
>
> % Abuse contact for '195.113.0.0 - 195.113.69.79' is 'abuse@cuni.cz'
>
> inetnum:        195.113.0.0 - 195.113.69.79
> netname:        CUNI-T34CZ
> descr:          Charles University
> descr:          Prague
> (...)

Každé hlášení Mentatu obsahuje incidenty přijaté za dané časové období a s danou úrovní závažnosti ze všech interních i externích zdrojů. Více informací o tomto způsobu reportování lze nalézt na samostatné stránce.

Poslední úprava: 11.09.2019 10:25