cs:services:mentat:webui

Webové rozhraní systému Mentat

Zpět na hlavní stránku systému Mentat

Webové rozhraní systému Mentat je dostupné na adrese https://mentat-hub.cesnet.cz. Systém je primárně určen správcům koncových sítí v páteřní síti CESNET2 (AS2852). Pro přístup je nutné mít identitu ve federaci eduID, v odůvodněných případech lze zřídit přístup prostřednictvím služby eduID Hostel.

Drtivá většina funkcí je přístupná až po úspěšné autentizaci. Jedinou výjimkou je v tuto chvíli možnost neautentizovaného přístupu k reportům prostřednictvím „tajného“ odkazu obsaženého v každém reportu. Hlavní myšlenkou této funkce je umožnit správcům v koncových sítí sdílet jednoduše informace o událostech i s případnými dalšími zainteresovanými osobami mimo federaci eduID.

Hlavní stránka webového rozhraní systému Mentat

Vytvoření nového účtu

Autentizace k webovému rozhraní systému Mentat je realizována pomocí SSO mechanismu Shibboleth. K přístupu do systému je nezbytný platný účet buď ve federaci eduID, nebo v doplňkové AAI službě Hostel. Před použitím rozhraní k systému Mentat je nutné Váš účet nejprve zaregistrovat. Tato registrace probíhá v následujícím poloautomatickém režimu:

  1. Navštivte prosím registrační stránku na URL https://mentat-hub.cesnet.cz/mentat/auth_env/register. Budete přesměrováni na službu eduID WAYF, kde si zvolte svého poskytovatele identity (IdP) a proveďte autentizaci.
  2. Systém Vám nyní automaticky předvyplní připravený registrační formulář informacemi získanými od Vašeho IdP. Zkontrolujte pozorně všechny uvedené informace a dokončete registraci odesláním formuláře. Nezapoměňte zvolit požadovaná členství v abuse skupinách, které odpovídají Vaší organizaci a uvést stručné zdůvodnění žádosti. O tomto kroku není nutné nikoho informovat, systém pošle administrátorům automatický email s informacemi o nově vytvořeném účtu.
  3. Vaše žádost bude následně posouzena. Při tomto posuzování se v některých případech budeme muset obrátit na Vašeho nadřízeného, který nám potvrdí, že skutečně máte právo přistupovat k datům příslušejícím Vaší organizaci. V případě kladného výsledku bude Váš účet aktivován, o tomto kroku Vám rovněž přijde vyrozumnění ve formě emailu s hlavičkou: [Mentat] Aktivace uctu 'vase.uzivatelske@jmeno'.

Ve chvíli, kdy Vám přijde automatické vyrozumění o aktivaci Vašeho účtu, je možné se k webovému rozhraní přihlásit a začít systém používat.

Samospráva skupin

V rámci systému Mentat je přístup k datům řízen na základě členství v abuse skupinách. Tyto skupiny jsou zpravidla vytvářeny na základě z dat RIPE NCC. Jménem skupiny je abuse kontakt, na který se mají posílat hlášení o případných incidentech a každá skupina dále definuje seznam síťových rozsahů, které jí náležejí. Abuse skupina zpravidla odpovídá i organizaci v reálném světě, například abuse@cuni.cz odpovídá Univerzitě Karlově.

Uživatelé jsou v systému Mentat přiřazováni do těchto abuse skupin a na základě toho mají přístup datům té skupiny: reporty, statistiky, … Vybraní uživatelé mohou být označeni jako správci skupiny a ti pak mají právo spravovat členy skupiny (přidávat nové, odebírat existující) a případně i měnit některá nastavení skupiny (zejména parametry reportování).

Správu skupiny lze přiřadit uživatelům na základě emailové žádosti, která bude následně posouzena.

Přehled hlavních vlastností systému

Webové rozhraní systému Mentat v tuto chvíli slouží zejména k následujícím účelům:

  1. Přístup k databázi bezpečnostních událostí
  2. Přístup k databázi odeslaných reportů
  3. Přístup ke statistikám událostí a reportování
  4. Správa skupin a konfigurace nastavení reportování

Hlavní funkcionalita se v tuto chvíli tedy točí okolo prohledávání bezpečnostních událostí a přístupu k výsledkům jejich zpracování. Z hlediska přístupu ke všem typům dat jsou všichni uživatelé organizováni do tzv. abuse skupin. Tyto skupiny mají definovány příslušející síťové rozsahy, které pak jednoznačně určují množinu událostí, které se dané skupiny týkají. Každé skupině lze také upravit nastavení celé řady konfiguračních hodnot, které ovlivňují další vlastnosti a funkcionalitu systému Mentat (např. konfigurace pro reportér).

Dashboardy (Dashboards)

Záložka Dashboardy (Dashboards) je statistický pohled sloužící k získání obecného přehledu o charakteru a četnosti zpracovávaných událostí nebo událostí hlášených pro danou skupinu za dané časové období. V submenu lze zvolit buď dashboard globálního zpracování událostí, nebo dashboard zobrazující statistiky skutečně reportovaných událostí pro dané abuse skupiny.

Obě statistiky jsou velmi podobné a k dispozici je např. sada následujících statistických grafů (seznam není úplný, slouží pouze pro představu):

  1. Četnosti událostí podle detektoru - Přehled o tom, který detektor zjistil jaké procento reportovaných událostí (detektorem se rozumí fyzický stroj/detekční uzel)
  2. Četnosti událostí podle kategorie/sady kategorií - Dva podobné grafy podávající přehled o tom, do jakých kategorií spadalo kolik reportovaných událostí
  3. Četnosti událostí podle analyzátoru - Přehled o tom, který analyzátor zjistil jaké procento reportovaných událostí (analyzátorem se rozumí detekční software)
  4. Četnosti událostí podle zdrojové IP adresy - Přehled o tom jak moc která IP adresa zlobila

Jednoduchý formulář v horní části stránky umožňuje změnit vymezené časové období, za které se statistika počítá.

Reporty (Reports)

Záložka Reporty (Reports) umožňuje pohled do databáze vygenerovaných a případně i odeslaných reportů (ne každý vygenerovaný report je odeslán na cílový abuse kontakt, odeslání lze potlačit vhodnou konfigurací). Ve výchozím nastavení je zobrazen seznam všech vygenerovaných reportů, které přísluší všem abuse skupinám, jichž je daný uživatel členem. Tento výpis lze ovlivnit použitím formuláře, který umožňuje vymezit časové období a vyhledávat v reportech dle ID reportu, dle typu reportu (summary - souhrnné reporty, extra - jednotkové reporty), dle příslušné abuse skupiny, případně i dle úrovně závažnosti událostí.

Kliknutím na ikonu oka v pravém rohu u každého reportu lze přejít na stránku zobrazující detail reportu. Tento detail obsahuje některé další dostupné meta-informace jako časové značky nebo cílovou emailovou adresu, a dále kompletní text reportu, tak jak byl odeslán a další statistické grafy. Pro některé uživatele může být zajímavou vlastností odkaz pro neautentizovaný přístup k datům v daném reportu. Tento link lze sdílet i s uživateli, kteří nemají do rozhraní systému Mentat běžně přístup a umožnit jim tak přístup k datům daného reportu.

Události (Events)

Záložka Události (Events) poskytuje nástroje pro prohledávání kompletní databáze událostí. Všechna data v databázi jsou brána jako veřejná a není nijak bráněno přístupu k datům, která se fakticky týkají jiné organizace (toto vychází z ideologie projektu Warden, na jehož bedrech systém Mentat stojí). Dostupný formulář nabízí prohledávání podle nejčastějších užitečných atributů zpráv. K dispozici jsou filtry pro zdrojovou a cílovou IP adresu/síť, vymezení časového období, a specifikace typu detektoru a kategorie události a mnoho dalších voleb.

Prázdný formulář pro prohledávání databáze IDEA událostí

Po odeslání formuláře lze získat výsledek podobný následujícímu obrázku:

Výsledek prohledávání databáze IDEA událostí

Klepnutím na ikonu oka ve sloupci akcí je možné přejít na stránku zobrazující detail dané události. Tento detail pak poskytuje strukturovaný výpis všech atributů dané události.

Detail IDEA události

Interní whois (Internal whois)

V průběhu zpracování každé události se provádí tzv. whois resolving, při kterém se pro všechny zdrojové IP adresy uvedené v těle události pokusí systém získat cílovou kontaktní emailovou adresu.

Záložka Interní whois (Internal whois) poskytuje jednoduché rozhraní, které umožňuje uživateli zjistit, na jakou emailovou adresu nebo adresy bude systém Mentat směrovat hlášení týkající se této adresy. Systém Mentat používá pro adresování hlášení kombinaci dat z RIPE databáze a staticky definovaných směrování. Toto rozhraní lze tedy použít ke kontrole, zda emaily skutečně chodí (nebo budou chodit) tam, kam mají.

Prohledávání interní whois databáze

Můj účet (My account)

Záložka Můj účet (My account) vede na rozhraní, které umožňuje uživatelům spravovat detaily nastavení svého účtu:

Detail uživatelského účtu

Uživatel s příslušným oprávněním se může dostat i dále na detail skupiny, jíž je členem nebo správcem. U skupin, jichž je správcem, lze pak spravovat členy a další nastavení příslušné skupiny. Mezi nejdůležitější nastavení patří následující:

  • Definice členů skupiny (kdo bude mít přístup k datům)
  • Definice správců skupiny (kdo může měnit nastavení)
  • Definice příslušných rozsahů IP adres (které rozsahy se budou dané skupině hlásit)
  • Definice reportovacích filtrů (které události nebudou nikdy reportovány)

Velkou skupinou duležitých nastavení jsou ty, jež se týkají přizpůsobení reportování:

  • Typ reportu (summary - souhrnný report, extra - jednotkový report)
  • Typ přílohy (CSV/JSON/obojí)
  • Komprese přílohy (ano/ne)
  • Konfigurace reportovacího algoritmu (period, threshold, relapse, více informací na vlastní stránce)

Zpět na hlavní stránku systému Mentat

Poslední úprava: 12.02.2020 15:33