Cortexは、脅威インテリジェンス、デジタルフォレンジック、インシデント対応の過程でSOC、CSIRT、セキュリティ研究者が頻繁に遭遇する2つの一般的な問題を解決します。
複数ではなく単一のツールにクエリを実行して、収集したオブザーバブルを大規模に分析するにはどうすればよいですか?
脅威に積極的に対応し、構成員や他のチームと対話する方法は?
多くのアナライザーとRESTfulAPIのおかげで、Cortexは、特に人気の高い無料のオープンソースのセキュリティインシデントレスポンスプラットフォーム(SIRP)であるTheHiveから呼び出された場合に、観察可能な分析を簡単にします。 TheHiveは、Cortexレスポンダーを活用して、調査中に収集されたアラート、ケース、タスク、およびオブザーバブルに対して特定のアクションを実行することもできます。構成員に電子メールを送信し、プロキシレベルでIPアドレスをブロックし、アラートが必要であることをチームメンバーに通知します。緊急にそしてはるかに世話をする。
Cortexバージョン2以降、複数の組織(つまり、マルチテナンシー)を作成および管理し、関連するユーザーを管理して、それらに異なる役割を与えることができます。組織ごとのアナライザー構成とレート制限を指定して、すべてのクォータを一度に消費しないようにすることもできます。また、キャッシュを追加して、特定の期間内に特定のアナライザーがそのオブザーバブルで複数回呼び出された場合に、同じオブザーバブルに対して分析が再実行されないようにしました(デフォルトでは10分、調整可能
この投稿では、Cortexのインストールプロセスについて学習します。
ハードウェアの前提条件
CortexはJavaVMを使用します。 8vCPU、8 GBのRAM、および10GBのディスクを備えた仮想マシンを使用することをお勧めします。同様の仕様の物理マシンを使用することもできます。
Cortexのインストール
DebianパッケージはDEBパッケージリポジトリで公開されています。すべてのパッケージは、GPGキー562CBC1Cを使用して署名されています。その指紋は次のとおりです:
0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C releaseを使用してapt構成をセットアップします リポジトリ:
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -
echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
次に、 Cortex 3.1.0+をインストールできます。 aptを使用したパッケージ コマンド:
apt install cortex
最初の開始
Cortexを起動するには、専用の非特権ユーザーアカウントを使用することをお勧めします。その場合は、選択したアカウントが/opt/cortex/logsにログファイルを作成できることを確認してください 。
アプリケーションをサービスとして開始する場合は、次のコマンドを使用します。
sudo addgroup cortex
sudo adduser --system cortex
sudo cp /opt/cortex/package/cortex.service /usr/lib/systemd/system
sudo chown -R cortex:cortex /opt/cortex
sudo chgrp cortex /etc/cortex/application.conf
sudo chmod 640 /etc/cortex/application.conf
sudo systemctl enable cortex
sudo service cortex start
Cortexを起動するために必要な唯一のパラメーターは、サーバーのキー(play.http.secret.key)です。 )。このキーは、データを含むCookieを認証するために使用されます。 Cortexがクラスターモードで実行されている場合、すべてのインスタンスが同じキーを共有する必要があります。次のコマンドを使用して、最小限の構成を生成できます(cortexという名前のCortex専用ユーザーを作成したことを前提としています。 )
sudo mkdir /etc/cortex
(cat << _EOF_
# Secret key
# ~~~~~
# The secret key is used to secure cryptographics functions.
# If you deploy your application to several instances be sure to use the same key!
play.http.secret.key="$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1)"
_EOF_
) | sudo tee -a /etc/cortex/application.conf
これで、Cortexを起動できます。これを行うには、現在のディレクトリをCortexインストールディレクトリ(/opt/cortex)に変更します。 このガイドで)、次に実行します:
bin/cortex -Dconfig.file=/etc/cortex/application.conf
サービス開始までに時間がかかる場合がありますので、あらかじめご了承ください。起動したら、ブラウザを起動して接続できます
http://YOUR_SERVER_ADDRESS:9001/
Cortexのインストール– CortexSuperAdministratorを作成します
次に、最初のユーザーを作成するように招待されます。これは、Cortexグローバル管理ユーザーまたはsuperAdmin 。このユーザーアカウントは、Cortexの組織とユーザーを作成できるようになります。
これで、このユーザーアカウントを使用してログインできるようになります。デフォルトのcortexに注意してください 組織が作成され、Cortexグローバル管理者であるユーザーアカウントが含まれています。
組織を作成する
デフォルトのcortex 組織は、グローバル管理者(superAdminを持つユーザー)の管理以外の目的で使用することはできません。 役割)、組織および関連するユーザー。アナライザーの有効化/無効化または構成には使用できません。これを行うには、Add organizationをクリックして、Cortex内に独自の組織を作成する必要があります。 ボタン。
組織管理者を作成する
組織管理者アカウント(orgAdminを持つユーザー)を作成します 役割)。
だから、楽しんでください