Cortex resuelve dos problemas comunes a los que se enfrentan con frecuencia los SOC, los CSIRT y los investigadores de seguridad en el curso de la inteligencia de amenazas, el análisis forense digital y la respuesta a incidentes:
¿Cómo analizar los observables que han recopilado, a escala, consultando una sola herramienta en lugar de varias?
¿Cómo responder activamente a las amenazas e interactuar con el electorado y otros equipos?
Gracias a sus numerosos analizadores y a su API RESTful, Cortex hace que el análisis observable sea muy sencillo, especialmente si se llama desde TheHive, nuestra Plataforma de Respuesta a Incidentes de Seguridad (SIRP, por sus siglas en inglés) altamente popular, gratuita y de código abierto. TheHive también puede aprovechar los respondedores de Cortex para realizar acciones específicas sobre alertas, casos, tareas y observables recopilados en el curso de la investigación:enviar un correo electrónico a los constituyentes, bloquear una dirección IP a nivel de proxy, notificar a los miembros del equipo que una alerta debe ser atendido con urgencia y mucho más.
A partir de la versión 2 de Cortex, puede crear y administrar varias organizaciones (es decir, multiusuario), administrar los usuarios asociados y otorgarles diferentes roles. También puede especificar la configuración del analizador por organización y los límites de tasa para evitar consumir todas sus cuotas a la vez. También hemos agregado un caché para que no se vuelva a ejecutar un análisis para el mismo observable si se llama a un analizador determinado en ese observable varias veces dentro de un período de tiempo específico (10 minutos de forma predeterminada, se puede ajustar para
En esta publicación, aprenderá el proceso de instalación de Cortex.
Requisitos previos de hardware
Cortex utiliza una máquina virtual Java. Recomendamos usar una máquina virtual con 8vCPU, 8 GB de RAM y 10 GB de disco. También puede utilizar una máquina física con especificaciones similares.
Instalación de la corteza
Los paquetes Debian se publican en el repositorio de paquetes DEB. Todos los paquetes se firman con la clave GPG 562CBC1C. Su huella digital es:
0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C Configure la configuración apt con el release repositorio:
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
Entonces podrá instalar Cortex 3.1.0+ el paquete usando apt comando:
apt install cortex
Primer comienzo
Se recomienda utilizar una cuenta de usuario dedicada y sin privilegios para iniciar Cortex. Si es así, asegúrese de que la cuenta elegida pueda crear archivos de registro en /opt/cortex/logs .
Si prefiere iniciar la aplicación como un servicio, use los siguientes comandos:
sudo addgroup cortex
sudo adduser --system cortex
sudo cp /opt/cortex/package/cortex.service /usr/lib/systemd/system
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
El único parámetro requerido para iniciar Cortex es la clave del servidor (play.http.secret.key ). Esta clave se utiliza para autenticar las cookies que contienen datos. Si Cortex se ejecuta en modo clúster, todas las instancias deben compartir la misma clave. Puede generar la configuración mínima con los siguientes comandos (suponen que ha creado un usuario dedicado para Cortex, llamado cortex )
sudo mkdir /etc/cortex
(cat << _EOF_
# Secret key
# ~~~~~
# The secret key is used to secure cryptographics functions.
# If you deploy your application to several instances be sure to use the same key!
play.http.secret.key="$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)"
_EOF_
) | sudo tee -a /etc/cortex/application.conf
Ahora puede iniciar Cortex. Para hacerlo, cambie su directorio actual al directorio de instalación de Cortex (/opt/cortex en esta guía), luego ejecute:
bin/cortex -Dconfig.file=/etc/cortex/application.conf
Tenga en cuenta que el servicio puede tardar algún tiempo en iniciarse. Una vez que se inicia, puede iniciar su navegador y conectarse a
http://YOUR_SERVER_ADDRESS:9001/
Instalación de Cortex:cree el superadministrador de Cortex
A continuación, se le invita a crear el primer usuario. Este es un usuario de administración global de Cortex o superAdmin . Esta cuenta de usuario podrá crear organizaciones y usuarios de Cortex.
A continuación, podrá iniciar sesión con esta cuenta de usuario. Notará que la cortex predeterminada se ha creado una organización y que incluye su cuenta de usuario, un administrador global de Cortex.
Crear una Organización
La cortex predeterminada organización no se puede utilizar para ningún otro propósito que no sea administrar administradores globales (usuarios con el superAdmin función), las organizaciones y sus usuarios asociados. No se puede utilizar para activar/desactivar o configurar analizadores. Para hacerlo, debe crear su propia organización dentro de Cortex haciendo clic en Add organization botón.
Crear un administrador de la organización
Cree la cuenta de administrador de la organización (usuario con un orgAdmin función).
Así que disfrútalo