Zpět na hlavní stránku systému Mentat
Webové rozhraní systému Mentat je dostupné na adrese https://mentat-hub.cesnet.cz. Systém je primárně určen správcům koncových sítí v páteřní síti CESNET2 (AS2852). Pro přístup je nutné mít identitu ve federaci eduID.
Drtivá většina funkcí je přístupná až po úspěšné autentizaci. Jedinou výjimkou je v tuto chvíli možnost neautentizovaného přístupu k reportům prostřednictvím „tajného“ odkazu obsaženého v každém reportu. Hlavní myšlenkou této funkce je umožnit správcům v koncových sítí sdílet jednoduše informace o událostech i s případnými dalšími zainteresovanými osobami mimo federaci eduID.
Autentizace k webovému rozhraní systému Mentat je realizována pomocí SSO mechanismu Shibboleth. K přístupu do systému je nezbytný platný účet ve federaci eduID. Před použitím rozhraní k systému Mentat je nutné Váš účet nejprve zaregistrovat. Tato registrace probíhá v následujícím poloautomatickém režimu:
Ve chvíli, kdy Vám přijde automatické vyrozumění o aktivaci Vašeho účtu, je možné se k webovému rozhraní přihlásit a začít systém používat.
V rámci systému Mentat je přístup k datům řízen na základě členství v abuse skupinách. Tyto skupiny jsou zpravidla vytvářeny na základě z dat RIPE NCC. Jménem skupiny je abuse kontakt, na který se mají posílat hlášení o případných incidentech a každá skupina dále definuje seznam síťových rozsahů, které jí náležejí. Abuse skupina zpravidla odpovídá i organizaci v reálném světě, například abuse@cuni.cz odpovídá Univerzitě Karlově.
Uživatelé jsou v systému Mentat přiřazováni do těchto abuse skupin a na základě toho mají přístup datům té skupiny: reporty, statistiky, … Vybraní uživatelé mohou být označeni jako správci skupiny a ti pak mají právo spravovat členy skupiny (přidávat nové, odebírat existující) a případně i měnit některá nastavení skupiny (zejména parametry reportování).
Správu skupiny lze přiřadit uživatelům na základě emailové žádosti, která bude následně posouzena.
Webové rozhraní systému Mentat v tuto chvíli slouží zejména k následujícím účelům:
Hlavní funkcionalita se v tuto chvíli tedy točí okolo prohledávání bezpečnostních událostí a přístupu k výsledkům jejich zpracování. Z hlediska přístupu ke všem typům dat jsou všichni uživatelé organizováni do tzv. abuse skupin. Tyto skupiny mají definovány příslušející síťové rozsahy, které pak jednoznačně určují množinu událostí, které se dané skupiny týkají. Každé skupině lze také upravit nastavení celé řady konfiguračních hodnot, které ovlivňují další vlastnosti a funkcionalitu systému Mentat (např. konfigurace pro reportér).
Záložka Dashboardy (Dashboards) je statistický pohled sloužící k získání obecného přehledu o charakteru a četnosti zpracovávaných událostí nebo událostí hlášených pro danou skupinu za dané časové období. V submenu lze zvolit buď dashboard globálního zpracování událostí, nebo dashboard zobrazující statistiky skutečně reportovaných událostí pro dané abuse skupiny.
Obě statistiky jsou velmi podobné a k dispozici je např. sada následujících statistických grafů (seznam není úplný, slouží pouze pro představu):
Jednoduchý formulář v horní části stránky umožňuje změnit vymezené časové období, za které se statistika počítá.
Záložka Reporty (Reports) umožňuje pohled do databáze vygenerovaných a případně i odeslaných reportů (ne každý vygenerovaný report je odeslán na cílový abuse kontakt, odeslání lze potlačit vhodnou konfigurací). Ve výchozím nastavení je zobrazen seznam všech vygenerovaných reportů, které přísluší všem abuse skupinám, jichž je daný uživatel členem. Tento výpis lze ovlivnit použitím formuláře, který umožňuje vymezit časové období a vyhledávat v reportech dle ID reportu, dle příslušné abuse skupiny, případně i dle úrovně závažnosti událostí.
Kliknutím na ikonu oka v pravém rohu u každého reportu lze přejít na stránku zobrazující detail reportu. Tento detail obsahuje některé další dostupné meta-informace jako časové značky nebo cílovou emailovou adresu, a dále kompletní text reportu, tak jak byl odeslán a další statistické grafy. Pro některé uživatele může být zajímavou vlastností odkaz pro neautentizovaný přístup k datům v daném reportu. Tento link lze sdílet i s uživateli, kteří nemají do rozhraní systému Mentat běžně přístup a umožnit jim tak přístup k datům daného reportu.
Záložka Události (Events) poskytuje nástroje pro prohledávání kompletní databáze událostí. Všechna data v databázi jsou brána jako veřejná a není nijak bráněno přístupu k datům, která se fakticky týkají jiné organizace (toto vychází z ideologie projektu Warden, na jehož bedrech systém Mentat stojí). Dostupný formulář nabízí prohledávání podle nejčastějších užitečných atributů zpráv. K dispozici jsou filtry pro zdrojovou a cílovou IP adresu/síť, vymezení časového období, a specifikace typu detektoru a kategorie události a mnoho dalších voleb.
Po odeslání formuláře lze získat výsledek podobný následujícímu obrázku:
Klepnutím na ikonu oka ve sloupci akcí je možné přejít na stránku zobrazující detail dané události. Tento detail pak poskytuje strukturovaný výpis všech atributů dané události.
V průběhu zpracování každé události se provádí tzv. whois resolving, při kterém se pro všechny zdrojové IP adresy uvedené v těle události pokusí systém získat cílovou kontaktní emailovou adresu.
Záložka Interní whois (Internal whois) poskytuje jednoduché rozhraní, které umožňuje uživateli zjistit, na jakou emailovou adresu nebo adresy bude systém Mentat směrovat hlášení týkající se této adresy. Systém Mentat používá pro adresování hlášení kombinaci dat z RIPE databáze a staticky definovaných směrování. Toto rozhraní lze tedy použít ke kontrole, zda emaily skutečně chodí (nebo budou chodit) tam, kam mají.
Záložka Můj účet (My account) vede na rozhraní, které umožňuje uživatelům spravovat detaily nastavení svého účtu:
Uživatel s příslušným oprávněním se může dostat i dále na detail skupiny, jíž je členem nebo správcem. U skupin, jichž je správcem, lze pak spravovat členy a další nastavení příslušné skupiny. Mezi nejdůležitější nastavení patří následující:
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz