Cortex : Prise en main de l'analyse d'observabilité et du moteur de réponse

Fonctionnalités clés de Cortex

En tant qu'outil d'analyse de sécurité professionnel, Cortex offre principalement les fonctionnalités suivantes :

  • Analyse multi-sources : Il intègre diverses sources de données, y compris les plateformes de renseignement sur les menaces (TIP) et les plateformes de réponse aux incidents (SOAR).
  • Automatisation des flux : Grâce à ses Analyseurs intégrés, il permet le traitement automatisé des événements de sécurité.
  • Mécanismes de réponse flexibles : Des Répondeurs configurables aident à contrer rapidement les menaces identifiées.
  • Support multi-organisations : Il prend en charge des architectures multi-tenants, répondant aux besoins de configuration indépendante des différentes équipes.
  • Suivi détaillé des tâches : Tous les travaux d'analyse sont historisés avec leur état, facilitant l'audit et la traçabilité.

Aperçu de l'architecture de Cortex

Cortex repose sur une architecture microservices moderne. L'ingénierie de base est construite avec Scala, Akka et le framework Play, exposant une API REST. Le système supporte plusieurs méthodes d'authentification (LDAP/AD/Local/Clefs API). Il utilise Elasticsearch comme couche de stockage pour gérer efficacement de grands volumes de données d'analyse.

Schématiquement, le flux de données se présente comme suit : Les sources d'entrée (à gauche), telles que les TIP, SOAR, scripts personnalisés et l'interface web, alimentent le cœur du système. Celui-ci répartit les requêtes vers un cluster d'Analyseurs (à droite) qui exécutent les traitements spécifiques.

Installation rapide avec Docker

La méthode recommandée pour déployer Cortex est via Docker Compose. Suivez ces étapes :

  1. Clonez le dépôt : ``` git clone https://gitcode.com/gh_mirrors/cort/Cortex
  2. Dirigez-vous vers le répertoire Docker : ``` cd Cortex/docker/cortex
  3. Lancez les conteneurs : ``` docker-compose up -d
    
    

Les configurations plus avancées peuvent être ajustées en vous référant au fichier modèle conf/application.sample.

Exploration de l'interface web

L'interface web de Cortex permet une gestion et un suivi visuels des tâches d'analyse. La page principale "Jobs History" se compose généralement :

  • D'une barre de navigation supérieure pour accéder aux fonctions clés.
  • D'une zone de rechecrhe permettant de filtrer les résultats par type de données, analyseur ou indicateur observable.
  • D'une liste affichant tous les travaux avec leur statut, les détails et les résultats.
  • De boutons d'action pour inspecter un travail ou le supprimre.

Exécution d'une analyse

Pour démarrer une nouvelle analyse :

  1. Cliquez sur le bouton "+ New Analysis" dans la barre de navigation.
  2. Sélectionnez le type de donnée (ex: domaine, URL, adresse IP).
  3. Choisissez l'analyseur ou les analyseurs à utiliser.
  4. Saisissez l'indicateur à analyser dans le champ prévu.
  5. Lancez le processus en cliquant sur "Run".

Le statut de la tâche (Réussi, En échec, En cours), l'analyseur utilisé, l'horodatage et le niveau TLP sont affichés dans l'historique.

Personnalisation des Analyseurs et Répondeurs

La personnalisation avancée est possible. Les contrôleurs gérant la configuration des composants se trouvent dans les fichiers :

  • Analyseurs : app/org/thp/cortex/controllers/AnalyzerConfigCtrl.scala
  • Répondeurs : app/org/thp/cortex/controllers/ResponderConfigCtrl.scala

L'adaptation de ces fichiers permet d'étendre les fonctionnalités de Cortex selon des besoins spécifiques.

Étiquettes: Cortex siem SOAR analyse de menaces Observabilité

Publié le 5 juillet à 23h57