Cortex résout deux problèmes courants fréquemment rencontrés par les SOC, les CSIRT et les chercheurs en sécurité dans le cadre de la veille sur les menaces, de la criminalistique numérique et de la réponse aux incidents :
Comment analyser les observables qu'ils ont collectés, à grande échelle, en interrogeant un seul outil au lieu de plusieurs ?
Comment répondre activement aux menaces et interagir avec la circonscription et les autres équipes ?
Grâce à ses nombreux analyseurs et à son API RESTful, Cortex facilite l'analyse observable, en particulier si elle est appelée depuis TheHive, notre plate-forme de réponse aux incidents de sécurité (SIRP) très populaire, gratuite et open source. TheHive peut également tirer parti des répondeurs Cortex pour effectuer des actions spécifiques sur les alertes, les cas, les tâches et les observables collectés au cours de l'enquête :envoyer un e-mail aux constituants, bloquer une adresse IP au niveau du proxy, informer les membres de l'équipe qu'une alerte doit être déclenchée. être pris en charge de toute urgence et bien plus encore.
À partir de la version 2 de Cortex, vous pouvez créer et gérer plusieurs organisations (c'est-à-dire multi-locataires), gérer les utilisateurs associés et leur attribuer différents rôles. Vous pouvez également spécifier une configuration d'analyseur par organisation et des limites de taux pour éviter de consommer tous vos quotas en même temps. Nous avons également ajouté un cache afin qu'une analyse ne soit pas ré-exécutée pour le même observable si un analyseur donné est appelé plusieurs fois sur cet observable dans un laps de temps spécifique (10 minutes par défaut, peut être ajusté pour
Dans cet article, vous apprendrez le processus d'installation de Cortex.
Prérequis matériels
Cortex utilise une machine virtuelle Java. Nous vous recommandons d'utiliser une machine virtuelle avec 8 vCPU, 8 Go de RAM et 10 Go de disque. Vous pouvez également utiliser une machine physique avec des spécifications similaires.
Installation du cortex
Les packages Debian sont publiés dans le référentiel de packages DEB. Tous les packages sont signés à l'aide de la clé GPG 562CBC1C. Son empreinte digitale est :
0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C
Configurer la configuration d'apt avec la release
référentiel :
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
Ensuite, vous pourrez installer Cortex 3.1.0+ le paquet en utilisant apt
commande :
apt install cortex
Premier démarrage
Il est recommandé d'utiliser un compte utilisateur dédié et non privilégié pour démarrer Cortex. Si c'est le cas, assurez-vous que le compte choisi peut créer des fichiers journaux dans /opt/cortex/logs
.
Si vous préférez démarrer l'application en tant que service, utilisez les commandes suivantes :
sudo addgroup cortex
sudo adduser --system cortex
sudo cp /opt/cortex/package/cortex.service /usr/lib/systemd/system
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
Le seul paramètre requis pour démarrer Cortex est la clé du serveur (play.http.secret.key
). Cette clé est utilisée pour authentifier les cookies qui contiennent des données. Si Cortex s'exécute en mode cluster, toutes les instances doivent partager la même clé. Vous pouvez générer la configuration minimale avec les commandes suivantes (elles supposent que vous avez créé un utilisateur dédié pour Cortex, nommé cortex
)
sudo mkdir /etc/cortex
(cat << _EOF_
# Secret key
# ~~~~~
# The secret key is used to secure cryptographics functions.
# If you deploy your application to several instances be sure to use the same key!
play.http.secret.key="$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)"
_EOF_
) | sudo tee -a /etc/cortex/application.conf
Vous pouvez maintenant démarrer Cortex. Pour ce faire, changez votre répertoire actuel pour le répertoire d'installation de Cortex (/opt/cortex
dans ce guide), puis exécutez :
bin/cortex -Dconfig.file=/etc/cortex/application.conf
Veuillez noter que le service peut prendre un certain temps pour démarrer. Une fois lancé, vous pouvez lancer votre navigateur et vous connecter à
http://YOUR_SERVER_ADDRESS:9001/
Installation de Cortex – Créer le super administrateur de Cortex
Vous êtes alors invité à créer le premier utilisateur. Il s'agit d'un utilisateur de l'administration globale de Cortex ou d'un superAdmin
. Ce compte utilisateur pourra créer des organisations et des utilisateurs Cortex.
Vous pourrez alors vous connecter en utilisant ce compte utilisateur. Vous remarquerez que le cortex
par défaut organisation a été créée et qu'elle inclut votre compte d'utilisateur, un administrateur global de Cortex.
Créer une organisation
Le cortex
par défaut l'organisation ne peut pas être utilisée à d'autres fins que la gestion des administrateurs globaux (utilisateurs avec le superAdmin
rôle), les organisations et leurs utilisateurs associés. Il ne peut pas être utilisé pour activer/désactiver ou configurer des analyseurs. Pour ce faire, vous devez créer votre propre organisation dans Cortex en cliquant sur Add organization
bouton.
Créer un administrateur d'organisation
Créer le compte administrateur de l'organisation (utilisateur avec un orgAdmin
rôle).
Alors, profitez-en