Cortex löst zwei häufig auftretende Probleme, denen SOCs, CSIRTs und Sicherheitsforscher im Zuge von Threat Intelligence, digitaler Forensik und Incident Response häufig begegnen:
Wie können sie gesammelte Observables in großem Maßstab analysieren, indem sie ein einzelnes Tool anstelle mehrerer abfragen?
Wie kann man aktiv auf Bedrohungen reagieren und mit dem Wahlkreis und anderen Teams interagieren?
Dank seiner vielen Analysatoren und seiner RESTful-API macht Cortex beobachtbare Analysen zum Kinderspiel, insbesondere wenn sie von TheHive, unserer sehr beliebten, kostenlosen und quelloffenen Security Incident Response Platform (SIRP), aufgerufen werden. TheHive kann Cortex-Responder auch nutzen, um bestimmte Aktionen zu Warnungen, Fällen, Aufgaben und Beobachtungen durchzuführen, die im Verlauf der Untersuchung gesammelt wurden:Senden Sie eine E-Mail an die Beteiligten, blockieren Sie eine IP-Adresse auf Proxy-Ebene, benachrichtigen Sie Teammitglieder, dass eine Warnung erfolgen muss dringend erledigt werden und vieles mehr.
Ab Cortex Version 2 können Sie mehrere Organisationen erstellen und verwalten (d. h. mandantenfähig), die zugehörigen Benutzer verwalten und ihnen unterschiedliche Rollen zuweisen. Sie können auch Analysekonfigurationen und Ratenlimits pro Organisation angeben, um zu vermeiden, dass alle Ihre Kontingente auf einmal verbraucht werden. Wir haben auch einen Cache hinzugefügt, damit eine Analyse für dieselbe Observable nicht erneut ausgeführt wird, wenn ein bestimmter Analysator diese Observable mehrmals innerhalb einer bestimmten Zeitspanne (standardmäßig 10 Minuten, kann angepasst werden) aufgerufen wird
In diesem Beitrag lernen Sie den Installationsprozess von Cortex kennen.
Hardwarevoraussetzungen
Cortex verwendet eine Java-VM. Wir empfehlen die Verwendung einer virtuellen Maschine mit 8 vCPU, 8 GB RAM und 10 GB Festplatte. Sie können auch eine physische Maschine mit ähnlichen Spezifikationen verwenden.
Cortex-Installation
Debian-Pakete werden im DEB-Paket-Repository veröffentlicht. Alle Pakete sind mit dem GPG-Schlüssel 562CBC1C signiert. Sein Fingerabdruck ist:
0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C Richten Sie die apt-Konfiguration mit dem release ein Aufbewahrungsort:
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
Dann können Sie Cortex 3.1.0+ installieren das Paket mit apt Befehl:
apt install cortex
Erster Start
Es wird empfohlen, zum Starten von Cortex ein dediziertes, nicht privilegiertes Benutzerkonto zu verwenden. Stellen Sie in diesem Fall sicher, dass das ausgewählte Konto Protokolldateien in /opt/cortex/logs erstellen kann .
Wenn Sie die Anwendung lieber als Dienst starten möchten, verwenden Sie die folgenden Befehle:
sudo addgroup cortex
sudo adduser --system cortex
sudo cp /opt/cortex/package/cortex.service /usr/lib/systemd/system
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
Der einzige erforderliche Parameter, um Cortex zu starten, ist der Schlüssel des Servers (play.http.secret.key ). Dieser Schlüssel wird verwendet, um Cookies zu authentifizieren, die Daten enthalten. Wenn Cortex im Clustermodus ausgeführt wird, müssen alle Instanzen denselben Schlüssel verwenden. Sie können die Minimalkonfiguration mit den folgenden Befehlen generieren (sie setzen voraus, dass Sie einen dedizierten Benutzer für Cortex mit dem Namen cortex erstellt haben )
sudo mkdir /etc/cortex
(cat << _EOF_
# Secret key
# ~~~~~
# The secret key is used to secure cryptographics functions.
# If you deploy your application to several instances be sure to use the same key!
play.http.secret.key="$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)"
_EOF_
) | sudo tee -a /etc/cortex/application.conf
Jetzt können Sie Cortex starten. Wechseln Sie dazu von Ihrem aktuellen Verzeichnis in das Cortex-Installationsverzeichnis (/opt/cortex in diesem Handbuch), führen Sie dann Folgendes aus:
bin/cortex -Dconfig.file=/etc/cortex/application.conf
Bitte beachten Sie, dass der Start des Dienstes einige Zeit in Anspruch nehmen kann. Sobald es gestartet ist, können Sie Ihren Browser starten und eine Verbindung zu
herstellenhttp://YOUR_SERVER_ADDRESS:9001/
Cortex-Installation – Erstellen Sie den Cortex-Superadministrator
Sie werden dann aufgefordert, den ersten Benutzer zu erstellen. Dies ist ein globaler Cortex-Verwaltungsbenutzer oder superAdmin . Dieses Benutzerkonto kann Cortex-Organisationen und -Benutzer erstellen.
Anschließend können Sie sich mit diesem Benutzerkonto anmelden. Sie werden feststellen, dass der standardmäßige cortex Organisation erstellt wurde und Ihr Benutzerkonto, einen globalen Cortex-Administrator, enthält.
Erstellen Sie eine Organisation
Der standardmäßige cortex Organisation kann nicht für andere Zwecke als die Verwaltung globaler Administratoren verwendet werden (Benutzer mit dem superAdmin Rolle), Organisationen und deren zugeordneten Benutzern. Es kann nicht zum Aktivieren/Deaktivieren oder Konfigurieren von Analysatoren verwendet werden. Dazu müssen Sie Ihre eigene Organisation in Cortex erstellen, indem Sie auf Add organization klicken Schaltfläche.
Erstellen Sie einen Organisationsadministrator
Erstellen Sie das Administratorkonto der Organisation (Benutzer mit einem orgAdmin Rolle).
Viel Spaß damit