Cortex řeší dva běžné problémy, s nimiž se často setkávají SOC, CSIRT a bezpečnostní výzkumníci v průběhu zjišťování hrozeb, digitální forenzní analýzy a reakce na incidenty:
Jak analyzovat pozorovatelná data, která shromáždili, ve velkém měřítku, dotazováním na jeden nástroj namísto několika?
Jak aktivně reagovat na hrozby a komunikovat s volebním obvodem a ostatními týmy?
Díky mnoha analyzátorům a svému RESTful API dělá Cortex pozorovatelnou analýzu hračkou, zejména pokud je volána z TheHive, naší velmi oblíbené, bezplatné a open source platformy SIRP (Security Incident Response Platform). TheHive může také využít Cortex respondéry k provádění konkrétních akcí na výstrahách, případech, úkolech a pozorovatelných položkách shromážděných v průběhu vyšetřování:poslat e-mail složkám, zablokovat IP adresu na úrovni proxy, upozornit členy týmu, že výstraha potřebuje být naléhavě postaráno a mnohem více.
Počínaje verzí Cortex 2 můžete vytvářet a spravovat více organizací (tj. multi-tenancy), spravovat přidružené uživatele a přidělovat jim různé role. Můžete také zadat konfiguraci analyzátoru pro jednotlivé organizace a limity rychlosti, abyste se vyhnuli spotřebě všech kvót najednou. Přidali jsme také mezipaměť, aby se analýza pro stejnou pozorovatelnou neprováděla znovu, pokud je daný analyzátor na tuto pozorovatelnu zavolán několikrát během určitého časového intervalu (ve výchozím nastavení 10 minut, lze upravit pro
V tomto příspěvku se naučíte proces instalace Cortex.
Hardwarové předpoklady
Cortex používá Java VM. Doporučujeme používat virtuální stroj s 8vCPU, 8 GB RAM a 10 GB disku. Můžete také použít fyzický stroj s podobnými specifikacemi.
Instalace Cortex
Balíčky Debianu jsou publikovány v úložišti balíků DEB. Všechny balíčky jsou podepsány pomocí GPG klíče 562CBC1C. Jeho otisk je:
0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C Nastavte konfiguraci apt pomocí release úložiště:
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
Poté budete moci nainstalovat Cortex 3.1.0+ balíček pomocí apt příkaz:
apt install cortex
První spuštění
Ke spuštění Cortexu se doporučuje použít vyhrazený, neprivilegovaný uživatelský účet. Pokud ano, ujistěte se, že vybraný účet může vytvářet soubory protokolu v /opt/cortex/logs .
Pokud byste raději spustili aplikaci jako službu, použijte následující příkazy:
sudo addgroup cortex
sudo adduser --system cortex
sudo cp /opt/cortex/package/cortex.service /usr/lib/systemd/system
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
Jediný požadovaný parametr pro spuštění Cortexu je klíč serveru (play.http.secret.key ). Tento klíč se používá k ověřování souborů cookie, které obsahují data. Pokud Cortex běží v režimu clusteru, všechny instance musí sdílet stejný klíč. Minimální konfiguraci můžete vygenerovat pomocí následujících příkazů (předpokládají, že jste vytvořili vyhrazeného uživatele pro Cortex s názvem cortex )
sudo mkdir /etc/cortex
(cat << _EOF_
# Secret key
# ~~~~~
# The secret key is used to secure cryptographics functions.
# If you deploy your application to several instances be sure to use the same key!
play.http.secret.key="$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)"
_EOF_
) | sudo tee -a /etc/cortex/application.conf
Nyní můžete spustit Cortex. Chcete-li tak učinit, změňte svůj aktuální adresář na instalační adresář Cortex (/opt/cortex v této příručce), poté proveďte:
bin/cortex -Dconfig.file=/etc/cortex/application.conf
Upozorňujeme, že spuštění služby může chvíli trvat. Po jeho spuštění můžete spustit prohlížeč a připojit se k
http://YOUR_SERVER_ADDRESS:9001/
Instalace Cortex – Vytvořte hlavního správce Cortex
Poté budete vyzváni k vytvoření prvního uživatele. Toto je uživatel s globální správou Cortex nebo superAdmin . Tento uživatelský účet bude moci vytvářet organizace a uživatele Cortex.
Poté se budete moci přihlásit pomocí tohoto uživatelského účtu. Všimněte si, že výchozí cortex byla vytvořena organizace a že zahrnuje váš uživatelský účet, globálního správce Cortex.
Vytvořit organizaci
Výchozí cortex organizaci nelze použít k jinému účelu než ke správě globálních správců (uživatelů s superAdmin role), organizace a jejich přidružení uživatelé. Nelze jej použít k aktivaci/deaktivaci nebo konfiguraci analyzátorů. Chcete-li tak učinit, musíte si v Cortexu vytvořit vlastní organizaci kliknutím na Add organization tlačítko.
Vytvořte správce organizace
Vytvořte účet administrátora organizace (uživatel s orgAdmin role).
Tak si to užijte