Cortex risolve due problemi comuni incontrati di frequente da SOC, CSIRT e ricercatori di sicurezza nel corso di intelligence sulle minacce, analisi forense digitale e risposta agli incidenti:
Come analizzare le osservabili che hanno raccolto, su larga scala, interrogando un singolo strumento invece di più?
Come rispondere attivamente alle minacce e interagire con il collegio elettorale e gli altri team?
Grazie ai suoi numerosi analizzatori e alla sua API RESTful, Cortex rende l'analisi osservabile un gioco da ragazzi, in particolare se chiamata da TheHive, la nostra piattaforma SIRP (Security Incident Response Platform) molto popolare, gratuita e open source. TheHive può anche sfruttare i risponditori Cortex per eseguire azioni specifiche su avvisi, casi, attività e osservabili raccolti nel corso dell'indagine:inviare un'e-mail ai componenti, bloccare un indirizzo IP a livello di proxy, notificare ai membri del team che è necessario un avviso per essere curato con urgenza e molto altro ancora.
A partire da Cortex versione 2, puoi creare e gestire più organizzazioni (ovvero multi-tenancy), gestire gli utenti associati e assegnare loro ruoli diversi. Puoi anche specificare la configurazione dell'analizzatore per organizzazione e i limiti di frequenza per evitare di consumare tutte le tue quote contemporaneamente. Abbiamo anche aggiunto una cache in modo che un'analisi non venga rieseguita per lo stesso osservabile se un determinato analizzatore viene richiamato su quell'osservabile più volte entro un intervallo di tempo specifico (10 minuti per impostazione predefinita, può essere regolato per
In questo post imparerai il processo di installazione di Cortex.
Prerequisiti hardware
Cortex utilizza una macchina virtuale Java. Consigliamo di utilizzare una macchina virtuale con 8vCPU, 8 GB di RAM e 10 GB di disco. Puoi anche utilizzare una macchina fisica con specifiche simili.
Installazione della corteccia
I pacchetti Debian sono pubblicati nel repository dei pacchetti DEB. Tutti i pacchetti sono firmati utilizzando la chiave GPG 562CBC1C. La sua impronta digitale è:
0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C Imposta la configurazione apt con il release deposito:
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
Quindi potrai installare Cortex 3.1.0+ il pacchetto utilizzando apt comando:
apt install cortex
Primo inizio
Si consiglia di utilizzare un account utente dedicato e non privilegiato per avviare Cortex. In tal caso, assicurati che l'account scelto possa creare file di registro in /opt/cortex/logs .
Se preferisci avviare l'applicazione come servizio, utilizza i seguenti comandi:
sudo addgroup cortex
sudo adduser --system cortex
sudo cp /opt/cortex/package/cortex.service /usr/lib/systemd/system
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
L'unico parametro richiesto per avviare Cortex è la chiave del server (play.http.secret.key ). Questa chiave viene utilizzata per autenticare i cookie che contengono dati. Se Cortex viene eseguito in modalità cluster, tutte le istanze devono condividere la stessa chiave. Puoi generare la configurazione minima con i seguenti comandi (presumono che tu abbia creato un utente dedicato per Cortex, chiamato cortex )
sudo mkdir /etc/cortex
(cat << _EOF_
# Secret key
# ~~~~~
# The secret key is used to secure cryptographics functions.
# If you deploy your application to several instances be sure to use the same key!
play.http.secret.key="$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)"
_EOF_
) | sudo tee -a /etc/cortex/application.conf
Ora puoi avviare Cortex. Per fare ciò, cambia la directory corrente nella directory di installazione di Cortex (/opt/cortex in questa guida), quindi eseguire:
bin/cortex -Dconfig.file=/etc/cortex/application.conf
Tieni presente che l'avvio del servizio potrebbe richiedere del tempo. Una volta avviato, puoi avviare il browser e connetterti a
http://YOUR_SERVER_ADDRESS:9001/
Installazione Cortex:crea il Super amministratore Cortex
Sei quindi invitato a creare il primo utente. Questo è un utente di amministrazione globale Cortex o superAdmin . Questo account utente sarà in grado di creare organizzazioni e utenti Cortex.
Potrai quindi accedere utilizzando questo account utente. Noterai che il valore predefinito cortex l'organizzazione è stata creata e che include il tuo account utente, un amministratore globale Cortex.
Crea un'organizzazione
La cortex predefinita l'organizzazione non può essere utilizzata per scopi diversi dalla gestione degli amministratori globali (utenti con il superAdmin ruolo), le organizzazioni e gli utenti associati. Non può essere utilizzato per abilitare/disabilitare o configurare analizzatori. Per fare ciò, devi creare la tua organizzazione all'interno di Cortex facendo clic su Add organization pulsante.
Crea un amministratore dell'organizzazione
Crea l'account amministratore dell'organizzazione (utente con un orgAdmin ruolo).
Quindi, divertiti