SlideShare a Scribd company logo

Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů

CESNET
CESNET

Prezentace ze Semináře o bezpečnosti sítí a služeb, Praha, 9. 2. 2016

Internet
1 of 14
Download to read offline
Seminář o bezpečnosti sítí a služeb & Sběr a zpracování dat z bezpečnostních nástrojů Pavel Kácha ph@cesnet.cz
9. 2. 2016 Warden & Mentat Zdroje dat - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - IDS, IPS, tar pit based systems, etc.. - SNMP based monitoring
9. 2. 2016 Warden & Mentat Začátky ● Neuspořádaná sbírka nekooperujících nástrojů ● Řadu z nich provozují sami správci (a získávají z nich data jen pro sebe – ostatní zahazují) ● Dat je hodně, je třeba s nimi pracovat ● Lidské – mailové reportování neškáluje ● Brilantní nápad: Sdílet! – Méně brilantní detaily: Jak? Formát? Obsah? Protokol? Klasifikace? Politika?
9. 2. 2016 Warden & Mentat Warden ● Efektivní automatizované sdílení – Transportní fronta (nikoliv skladiště) ● Komunitní přístup – Tvá data jsou dostupná Warden komunitě – Data celé komunity jsou dostupná Tobě ● BSD licence, https://wardenw.cesnet.cz
9. 2. 2016 Warden & Mentat Formát – IDEA ● JSON ● Jednoduchý, rozšiřitelný formát ● Jednou definované klíče a typy se ale nemění ● Dokážeme rozlišit primární data, agregovaná data, korelovaná data ● Definice: https://idea.cesnet.cz
9. 2. 2016 Warden & Mentat CESNET-CERTS ● Řešení a koordinace incidentů v síti CESNET2 – Jednotný a důvěryhodný kontaktní bod – https://csirt.cesnet.cz, certs@cesnet.cz ● Jako bezpečnostní tým je používáme k – ověření, – doplnění informací, – odhadu rozsahu útoku. ● Za pomoci systému Mentat
9. 2. 2016 Warden & Mentat Mentat ● SIEM ● Úložiště událostí (pro Warden jen další odebírající klient) ● https://mentat.cesnet.cz
9. 2. 2016 Warden & Mentat Komunita ● Poučení první: Nejsou lidi – tj. připojené organizace se nezvládnou technicky zapojit a data odebrat a  zpracovat ● Ale mají o ně zájem... – Je třeba data správcům doručit jednodušeji a předzpracovaná ● Učíme Mentat reportovat: – rozdělit data podle příslušnosti, – vytvořit reporty, – a rozeslat do koncových sítí.
9. 2. 2016 Warden & Mentat Kvalita dat ● Reakce příjemců: – Nedostatečné informace o incidentech – Zahlcení množstvím/opakováním (někdy i po vyřešení) – Nejasná závažnost incidentu (často závislá na lokální situaci) – Problematická data třetích stran ● Dat je stále mnoho a jsou heterogenní – Mají různou kvalitu, – a různou vypovídací hodnotu ● Poučení druhé: Nestačí je jen přebalit a rozeslat
9. 2. 2016 Warden & Mentat Mentat – Reporter NG  ● Učíme Mentat – Inteligentně zamlčovat opakování – Poskytovat v reportech víc informací – Ve spolupráci se správci zavádíme závažnost incidentu ● Přidáváme do Mentatu rozhraní pro správce – Možnost nastavení opakování a omezení odebírání určitých událostí – Detaily, dashboardy, statistiky
9. 2. 2016 Warden & Mentat Pro srovnání Flow data – Páteřní prvky (24) – Připojené sítě (50) ~200+ TB dat (TTL >= 2-3 měsíce) ~100 000 flow/s Událost ~30 GB dat (TTL 30 dní) ~1,1 mil denně Reporty (Na ~320 institucí) ~60 denně
9. 2. 2016 Warden & Mentat Poučení třet ● Nestačí – Sdílet pouze primární data – příliš mnoho, pro stromy nevidíme les – Sdílet jen na úrovni jedné sítě – o řadě problémů se nedozvíme – Sdílet jen data pro cílovou síť – chybí souvislosti, vidíme les, ale ne krajinu
9. 2. 2016 Warden & Mentat Současný tým ● Andrea Kropáčová ● Pavel Kácha ● Warden – Michal Kostěnec – Daniel Studený – Tomáš Plesník – Jakub Čegan ● Mentat – Jan Mach – Radomír Orkáč – Pavel Vachek
9. 2. 2016 Warden & Mentat Děkuji za pozornost GNU Terry Pratchett

Recommended

Announcments - March 31
Announcments - March 31Announcments - March 31
Announcments - March 31ParkAveBC
 
Diapositiva (Tegnoligia)
Diapositiva (Tegnoligia)Diapositiva (Tegnoligia)
Diapositiva (Tegnoligia)SeBastian Henao Bedoya
 
Thanksgiving Insights
Thanksgiving InsightsThanksgiving Insights
Thanksgiving InsightsKristian Copeland
 
Coaching
CoachingCoaching
Coachingkolivaresjara
 
Marketing 2015- 3
Marketing 2015- 3Marketing 2015- 3
Marketing 2015- 3Lauren Bannon
 
Slideshare
SlideshareSlideshare
SlideshareAnderson Cuatin
 
Cvm manana - semana 4-8 abril - 2do ex
Cvm manana - semana 4-8 abril - 2do exCvm manana - semana 4-8 abril - 2do ex
Cvm manana - semana 4-8 abril - 2do exlucero ramirez
 
Pesame a maria
Pesame a mariaPesame a maria
Pesame a mariaIngrid Polito Hernandez
 

Recommended

Announcments - March 31
Announcments - March 31Announcments - March 31
Announcments - March 31ParkAveBC
 
Diapositiva (Tegnoligia)
Diapositiva (Tegnoligia)Diapositiva (Tegnoligia)
Diapositiva (Tegnoligia)SeBastian Henao Bedoya
 
Thanksgiving Insights
Thanksgiving InsightsThanksgiving Insights
Thanksgiving InsightsKristian Copeland
 
Coaching
CoachingCoaching
Coachingkolivaresjara
 
Marketing 2015- 3
Marketing 2015- 3Marketing 2015- 3
Marketing 2015- 3Lauren Bannon
 
Slideshare
SlideshareSlideshare
SlideshareAnderson Cuatin
 
Cvm manana - semana 4-8 abril - 2do ex
Cvm manana - semana 4-8 abril - 2do exCvm manana - semana 4-8 abril - 2do ex
Cvm manana - semana 4-8 abril - 2do exlucero ramirez
 
Pesame a maria
Pesame a mariaPesame a maria
Pesame a mariaIngrid Polito Hernandez
 
Fitness Program
Fitness ProgramFitness Program
Fitness Programguestc53814
 
El Sol I El Mi Fan Rodolins
El Sol I El Mi Fan RodolinsEl Sol I El Mi Fan Rodolins
El Sol I El Mi Fan RodolinsMARTA FIGUERAS
 
кукла мотанка
кукла мотанкакукла мотанка
кукла мотанкаLarisa Korkach
 
comparative and superlative adjective
comparative and superlative adjectivecomparative and superlative adjective
comparative and superlative adjectiveameera akhtar
 
Mapa mental agua
Mapa mental aguaMapa mental agua
Mapa mental aguacchnaucalpanquimica163
 
O Homem do Céu
O Homem do CéuO Homem do Céu
O Homem do CéuGrupo Irmãos na Unção
 
VDMX_WS20160214
VDMX_WS20160214VDMX_WS20160214
VDMX_WS20160214Takeuchi Fumiya
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíCESNET
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratořCESNET
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETCESNET
 
Informatica Big Data Edition - Profinit - Jan Ulrych
Informatica Big Data Edition - Profinit - Jan UlrychInformatica Big Data Edition - Profinit - Jan Ulrych
Informatica Big Data Edition - Profinit - Jan UlrychProfinit
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)Tomas Moser
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNETCESNET
 
BIInfrastructure
BIInfrastructureBIInfrastructure
BIInfrastructureJan Bízik
 
LTP Pilot - Archivematica Projekt v CR
LTP Pilot - Archivematica Projekt v CRLTP Pilot - Archivematica Projekt v CR
LTP Pilot - Archivematica Projekt v CRdp-blog-cz
 
KKTS_Sk_Hillstone_MaT_v4
KKTS_Sk_Hillstone_MaT_v4KKTS_Sk_Hillstone_MaT_v4
KKTS_Sk_Hillstone_MaT_v4Martin Tupa
 
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017dp-blog-cz
 
Softwarově definované úložiště
Softwarově definované úložištěSoftwarově definované úložiště
Softwarově definované úložištěLudek Safar
 
Distribuce DI z JSDI - praktické zkušenosti
Distribuce DI z JSDI - praktické zkušenostiDistribuce DI z JSDI - praktické zkušenosti
Distribuce DI z JSDI - praktické zkušenostivlcinsky
 
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a ArchivematicaMiroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a ArchivematicaLTP-portal-cz
 
Ndk mu
Ndk muNdk mu
Ndk muTomáš Bouda
 
Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Jiří Peterka
 

More Related Content

Viewers also liked

El Sol I El Mi Fan Rodolins
El Sol I El Mi Fan RodolinsEl Sol I El Mi Fan Rodolins
El Sol I El Mi Fan RodolinsMARTA FIGUERAS
 
кукла мотанка
кукла мотанкакукла мотанка
кукла мотанкаLarisa Korkach
 
comparative and superlative adjective
comparative and superlative adjectivecomparative and superlative adjective
comparative and superlative adjectiveameera akhtar
 

Viewers also liked (7)

Fitness Program
Fitness ProgramFitness Program
Fitness Program
 
El Sol I El Mi Fan Rodolins
El Sol I El Mi Fan RodolinsEl Sol I El Mi Fan Rodolins
El Sol I El Mi Fan Rodolins
 
кукла мотанка
кукла мотанкакукла мотанка
кукла мотанка
 
comparative and superlative adjective
comparative and superlative adjectivecomparative and superlative adjective
comparative and superlative adjective
 
Mapa mental agua
Mapa mental aguaMapa mental agua
Mapa mental agua
 
O Homem do Céu
O Homem do CéuO Homem do Céu
O Homem do Céu
 
VDMX_WS20160214
VDMX_WS20160214VDMX_WS20160214
VDMX_WS20160214
 

Similar to Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů

SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíCESNET
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratořCESNET
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETCESNET
 
Informatica Big Data Edition - Profinit - Jan Ulrych
Informatica Big Data Edition - Profinit - Jan UlrychInformatica Big Data Edition - Profinit - Jan Ulrych
Informatica Big Data Edition - Profinit - Jan UlrychProfinit
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)Tomas Moser
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNETCESNET
 
BIInfrastructure
BIInfrastructureBIInfrastructure
BIInfrastructureJan Bízik
 
LTP Pilot - Archivematica Projekt v CR
LTP Pilot - Archivematica Projekt v CRLTP Pilot - Archivematica Projekt v CR
LTP Pilot - Archivematica Projekt v CRdp-blog-cz
 
KKTS_Sk_Hillstone_MaT_v4
KKTS_Sk_Hillstone_MaT_v4KKTS_Sk_Hillstone_MaT_v4
KKTS_Sk_Hillstone_MaT_v4Martin Tupa
 
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017dp-blog-cz
 
Softwarově definované úložiště
Softwarově definované úložištěSoftwarově definované úložiště
Softwarově definované úložištěLudek Safar
 
Distribuce DI z JSDI - praktické zkušenosti
Distribuce DI z JSDI - praktické zkušenostiDistribuce DI z JSDI - praktické zkušenosti
Distribuce DI z JSDI - praktické zkušenostivlcinsky
 
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a ArchivematicaMiroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a ArchivematicaLTP-portal-cz
 
Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Jiří Peterka
 
Profinit_snidane_DWH_22_10_2019_publish
Profinit_snidane_DWH_22_10_2019_publishProfinit_snidane_DWH_22_10_2019_publish
Profinit_snidane_DWH_22_10_2019_publishProfinit
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíCESNET
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2CESNET
 

Similar to Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů (20)

SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostí
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratoř
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNET
 
Informatica Big Data Edition - Profinit - Jan Ulrych
Informatica Big Data Edition - Profinit - Jan UlrychInformatica Big Data Edition - Profinit - Jan Ulrych
Informatica Big Data Edition - Profinit - Jan Ulrych
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNET
 
BIInfrastructure
BIInfrastructureBIInfrastructure
BIInfrastructure
 
LTP Pilot - Archivematica Projekt v CR
LTP Pilot - Archivematica Projekt v CRLTP Pilot - Archivematica Projekt v CR
LTP Pilot - Archivematica Projekt v CR
 
KKTS_Sk_Hillstone_MaT_v4
KKTS_Sk_Hillstone_MaT_v4KKTS_Sk_Hillstone_MaT_v4
KKTS_Sk_Hillstone_MaT_v4
 
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
Libor Coufal - Australská národní knihovna 2 - přednáška Praha 22.3.2017
 
Softwarově definované úložiště
Softwarově definované úložištěSoftwarově definované úložiště
Softwarově definované úložiště
 
Distribuce DI z JSDI - praktické zkušenosti
Distribuce DI z JSDI - praktické zkušenostiDistribuce DI z JSDI - praktické zkušenosti
Distribuce DI z JSDI - praktické zkušenosti
 
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a ArchivematicaMiroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
Miroslav Bartošek - Úvod k workshopu, projekt LTP-pilot a Archivematica
 
Ndk mu
Ndk muNdk mu
Ndk mu
 
Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?
 
LTP-workshop
LTP-workshopLTP-workshop
LTP-workshop
 
Profinit_snidane_DWH_22_10_2019_publish
Profinit_snidane_DWH_22_10_2019_publishProfinit_snidane_DWH_22_10_2019_publish
Profinit_snidane_DWH_22_10_2019_publish
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využití
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2
 

More from CESNET

Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNSCESNET
 
Analýza dat z Wardenu
Analýza dat z WardenuAnalýza dat z Wardenu
Analýza dat z WardenuCESNET
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyCESNET
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware HoudinyCESNET
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 openingCESNET
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksCESNET
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresCESNET
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksCESNET
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progressCESNET
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETCESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...CESNET
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeCESNET
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratořCESNET
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETuCESNET
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyCESNET
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2CESNET
 
Služby e-infrastruktury CESNET
Služby e-infrastruktury CESNETSlužby e-infrastruktury CESNET
Služby e-infrastruktury CESNETCESNET
 
Uživatelská péče a podpora
Uživatelská péče a podporaUživatelská péče a podpora
Uživatelská péče a podporaCESNET
 

More from CESNET (18)

Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNS
 
Analýza dat z Wardenu
Analýza dat z WardenuAnalýza dat z Wardenu
Analýza dat z Wardenu
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými Incidenty
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware Houdiny
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 opening
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networks
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructures
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networks
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progress
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném čase
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratoř
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETu
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické pošty
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2
 
Služby e-infrastruktury CESNET
Služby e-infrastruktury CESNETSlužby e-infrastruktury CESNET
Služby e-infrastruktury CESNET
 
Uživatelská péče a podpora
Uživatelská péče a podporaUživatelská péče a podpora
Uživatelská péče a podpora
 

Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů

  • 1. Seminář o bezpečnosti sítí a služeb & Sběr a zpracování dat z bezpečnostních nástrojů Pavel Kácha ph@cesnet.cz
  • 2. 9. 2. 2016 Warden & Mentat Zdroje dat - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - IDS, IPS, tar pit based systems, etc.. - SNMP based monitoring
  • 3. 9. 2. 2016 Warden & Mentat Začátky ● Neuspořádaná sbírka nekooperujících nástrojů ● Řadu z nich provozují sami správci (a získávají z nich data jen pro sebe – ostatní zahazují) ● Dat je hodně, je třeba s nimi pracovat ● Lidské – mailové reportování neškáluje ● Brilantní nápad: Sdílet! – Méně brilantní detaily: Jak? Formát? Obsah? Protokol? Klasifikace? Politika?
  • 4. 9. 2. 2016 Warden & Mentat Warden ● Efektivní automatizované sdílení – Transportní fronta (nikoliv skladiště) ● Komunitní přístup – Tvá data jsou dostupná Warden komunitě – Data celé komunity jsou dostupná Tobě ● BSD licence, https://wardenw.cesnet.cz
  • 5. 9. 2. 2016 Warden & Mentat Formát – IDEA ● JSON ● Jednoduchý, rozšiřitelný formát ● Jednou definované klíče a typy se ale nemění ● Dokážeme rozlišit primární data, agregovaná data, korelovaná data ● Definice: https://idea.cesnet.cz
  • 6. 9. 2. 2016 Warden & Mentat CESNET-CERTS ● Řešení a koordinace incidentů v síti CESNET2 – Jednotný a důvěryhodný kontaktní bod – https://csirt.cesnet.cz, certs@cesnet.cz ● Jako bezpečnostní tým je používáme k – ověření, – doplnění informací, – odhadu rozsahu útoku. ● Za pomoci systému Mentat
  • 7. 9. 2. 2016 Warden & Mentat Mentat ● SIEM ● Úložiště událostí (pro Warden jen další odebírající klient) ● https://mentat.cesnet.cz
  • 8. 9. 2. 2016 Warden & Mentat Komunita ● Poučení první: Nejsou lidi – tj. připojené organizace se nezvládnou technicky zapojit a data odebrat a  zpracovat ● Ale mají o ně zájem... – Je třeba data správcům doručit jednodušeji a předzpracovaná ● Učíme Mentat reportovat: – rozdělit data podle příslušnosti, – vytvořit reporty, – a rozeslat do koncových sítí.
  • 9. 9. 2. 2016 Warden & Mentat Kvalita dat ● Reakce příjemců: – Nedostatečné informace o incidentech – Zahlcení množstvím/opakováním (někdy i po vyřešení) – Nejasná závažnost incidentu (často závislá na lokální situaci) – Problematická data třetích stran ● Dat je stále mnoho a jsou heterogenní – Mají různou kvalitu, – a různou vypovídací hodnotu ● Poučení druhé: Nestačí je jen přebalit a rozeslat
  • 10. 9. 2. 2016 Warden & Mentat Mentat – Reporter NG  ● Učíme Mentat – Inteligentně zamlčovat opakování – Poskytovat v reportech víc informací – Ve spolupráci se správci zavádíme závažnost incidentu ● Přidáváme do Mentatu rozhraní pro správce – Možnost nastavení opakování a omezení odebírání určitých událostí – Detaily, dashboardy, statistiky
  • 11. 9. 2. 2016 Warden & Mentat Pro srovnání Flow data – Páteřní prvky (24) – Připojené sítě (50) ~200+ TB dat (TTL >= 2-3 měsíce) ~100 000 flow/s Událost ~30 GB dat (TTL 30 dní) ~1,1 mil denně Reporty (Na ~320 institucí) ~60 denně
  • 12. 9. 2. 2016 Warden & Mentat Poučení třet ● Nestačí – Sdílet pouze primární data – příliš mnoho, pro stromy nevidíme les – Sdílet jen na úrovni jedné sítě – o řadě problémů se nedozvíme – Sdílet jen data pro cílovou síť – chybí souvislosti, vidíme les, ale ne krajinu
  • 13. 9. 2. 2016 Warden & Mentat Současný tým ● Andrea Kropáčová ● Pavel Kácha ● Warden – Michal Kostěnec – Daniel Studený – Tomáš Plesník – Jakub Čegan ● Mentat – Jan Mach – Radomír Orkáč – Pavel Vachek
  • 14. 9. 2. 2016 Warden & Mentat Děkuji za pozornost GNU Terry Pratchett