En el incident response uno de los factores claves cuando se identifican indicadores que pueden ser sospechosos( una dirección IP atacante, un hash, dominio, etc…) es vital obtener la máxima información posible de dicho indicador para que la resolución y erradicación del incidente sean totalmente exitoso.

Todo esto se consigue a través del threat intelligence, es importante diferenciar entre fuentes de información(comunidad otx de alienvault, xforce de IBM, malwarecode, phishtank, robtex…) protocolos y formatos(desde un simple csv o txt a documentos con formato y estructura como es STIX) , y herramientas.

De esta ultima categoría sale la herramienta de la que vamos a hablar en este articulo, CORTEX. Cortex forma parte del proyecto the hive proyect, donde hay otras herramientas en las que hablaremos en futuros posts, y es la herramienta de threat intelligence de la «suite».

Con esta solución podremos obtener información sobre un IOC concreto, una dirección IP un dominio, incluso podremos obtener información de un fichero, en base a soluciones de sandbox como cucko .

En cuanto a las opciones de instalación, a partir de la versión dos, utiliza elasticsearch como base de datos, la primera versión no requería de ninguna base de datos. Por lo que cortex tiene que estar «linkado» con un cluster de elasticsearch.

Esta instalación se puede hacer mediante dockers o de la forma tradicional. Si queréis profundizar más sobre esto consultar el github del proyecto.

https://github.com/TheHive-Project/CortexDocs

Una vez instalado, tendremos que realizar las primeras configuraciones, podremos comenzar a trabajar con la herramienta.

la extracción de información de los diferentes orígenes de datos la realiza un componente llamado analyzers. Por ejemplo hay un analizador para consultar los datos en OTX, otro para Xforce, etc…

Por otro lado, existe otro componente denominado responsers, que los veremos en artículos posteriores, cuando hablemos de the hive.

Como datos importantes:

  • Se pueden crear nuevos analyzers y responders, mediante una librería de python.
  • Se actualizan de forma periódica, tanto para eliminar posibles errores como para incluir nuevos, esta actualización conlleva hacer un push del contenido de forma manual.

Por poner un ejemplo vamos a analizar nuestro dominio chronoseye.com mediante cortex.

Como podeis ver en la imagen se muestran los resultados de la ejecución que hemos llevado a cabo.

Si vamos a ver alguno de los resultados, como por ejemplo el del analyzer abuse, podremos ver la siguiente salida en JSON

Aquí se puede ver información del whois, y la dirección de correo de abuse por si se tuviese que reportar actividad no legitima.

Iremos publicando nuevos post sobre cortex y sobre alguno de sus analyzers, viendo el potencial de esta herramienta como apoyo a la hora de determinar el alcance y detectar actividad sospechosas en un incident response o en un servicio de SOC.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *