So installierst du das Cortex Observable Analysis Tool unter Ubuntu 22.04
Cortex ist ein kostenloses und quelloffenes Tool zur Analyse von Beobachtungen, das von TheHive Project entwickelt wurde. Sicherheitsexperten und SOC-Analysten nutzen es, um gesammelte Ereignisse zu analysieren, indem sie ein einziges Tool abfragen. Es bietet eine webbasierte Oberfläche, mit der du IP- und E-Mail-Adressen, URLs, Domainnamen, Dateien und Hashes analysieren kannst. Cortex verfügt über mehr als hundert Analysatoren für beliebte Dienste wie VirusTotal, Joe Sandbox, DomainTools, PassiveTotal, Google Safe Browsing, Shodan und Onyphe.
Diese Anleitung zeigt dir, wie du die Cortex-Engine unter Ubuntu 22.04 installierst.
Voraussetzungen
- Ein Server mit Ubuntu 22.04 und mindestens 16 GB RAM.
- Ein Root-Passwort ist auf dem Server eingerichtet.
Aktualisiere das System
Es wird empfohlen, zunächst alle Systempakete zu aktualisieren und auf die neueste Version zu bringen. Du kannst alle Pakete aktualisieren, indem du den folgenden Befehl ausführst.
apt update -y apt upgrade -y
Sobald alle Pakete aktualisiert sind, kannst du mit dem nächsten Schritt fortfahren.
Java installieren
Bevor du beginnst, muss das Java JDK auf deinem Server installiert sein. Wenn es nicht installiert ist, kannst du es mit dem folgenden Befehl installieren.
apt install openjdk-11-jre-headless -y
Nach der erfolgreichen Installation kannst du die Java-Installation mit dem folgenden Befehl überprüfen.
java --version
Du erhältst die folgende Ausgabe.
openjdk 11.0.17 2022-10-18 OpenJDK Runtime Environment (build 11.0.17+8-post-Ubuntu-1ubuntu222.04) OpenJDK 64-Bit Server VM (build 11.0.17+8-post-Ubuntu-1ubuntu222.04, mixed mode, sharing)
Als Nächstes setzt du die Java-Umgebungsvariable mit dem folgenden Befehl.
echo JAVA_HOME="/usr/lib/jvm/java-11-openjdk-amd64" | tee -a /etc/environment
Aktiviere dann die Umgebungsvariable mit dem folgenden Befehl.
source /etc/environment
Wenn du damit fertig bist, kannst du mit der Installation und Konfiguration von ElasticSearch fortfahren.
Installiere und konfiguriere ElasticSearch
Cortex erfordert auch die Installation von ElasticSearch auf deinem Server. Installiere zunächst alle erforderlichen Abhängigkeiten mit dem folgenden Befehl.
apt install wget gnupg2 apt-transport-https git ca-certificates curl jq software-properties-common lsb-release python3-pip iproute2 -y
Als Nächstes fügst du den ElasticSearch GPG-Schlüssel mit dem folgenden Befehl hinzu.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | gpg --dearmor > /etc/apt/trusted.gpg.d/elasticsearch-keyring.gpg
Dann fügst du das ElasticSearch-Repository mit dem folgenden Befehl zur APT hinzu.
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee /etc/apt/sources.list.d/elastic-7.x.list
Anschließend aktualisierst du das Repository und installierst ElasticSearch mit dem folgenden Befehl.
apt update -y apt install elasticsearch -y
Nach der Installation bearbeitest du die ElasticSearch-Konfigurationsdatei und definierst deinen Clusternamen.
nano /etc/elasticsearch/elasticsearch.yml
Ändere die folgende Zeile:
cluster.name: my-application
Speichere und schließe die Datei und erstelle dann eine jvm.options-Datei.
nano /etc/elasticsearch/jvm.options.d/jvm.options
Füge die folgenden Zeilen hinzu:
-Xms1g -Xmx1g -Dlog4j2.formatMsgNoLookups=true
Speichere und schließe die Datei, wenn du fertig bist. Starte dann den ElasticSearch-Dienst neu, um die Änderungen zu übernehmen.
systemctl restart elasticsearch
Du kannst den Status von ElasticSearch mit dem folgenden Befehl überprüfen.
systemctl status elasticsearch
Du erhältst die folgende Ausgabe.
? elasticsearch.service - Elasticsearch
Loaded: loaded (/lib/systemd/system/elasticsearch.service; disabled; vendor preset: enabled)
Active: active (running) since Mon 2023-02-06 15:35:54 UTC; 2s ago
Docs: https://www.elastic.co
Main PID: 10788 (java)
Tasks: 80 (limit: 38396)
Memory: 1.3G
CPU: 1min 46.185s
CGroup: /system.slice/elasticsearch.service
??10788 /usr/share/elasticsearch/jdk/bin/java -Xshare:auto -Des.networkaddress.cache.ttl=60 -Des.networkaddress.cache.negative.t>
??10999 /usr/share/elasticsearch/modules/x-pack-ml/platform/linux-x86_64/bin/controller
Feb 06 15:35:21 ubuntu2204 systemd[1]: Starting Elasticsearch...
Feb 06 15:35:54 ubuntu2204 systemd[1]: Started Elasticsearch.
Sobald du damit fertig bist, kannst du mit der Installation von Cortex fortfahren.
Cortex unter Ubuntu 22.04 installieren
Standardmäßig ist das Cortex-Paket nicht im Standard-Repository von Ubuntu verfügbar. Daher musst du das offizielle Cortex-Repository zu APT hinzufügen.
Lade zunächst den GPG-Schlüssel von Cortex und thehive herunter und importiere ihn mit dem folgenden Befehl.
wget -qO- "https://raw.githubusercontent.com/TheHive-Project/Cortex/master/PGP-PUBLIC-KEY" | gpg --dearmor -o /etc/apt/trusted.gpg.d/cortex.gpg wget -qO- https://raw.githubusercontent.com/TheHive-Project/Cortex/master/PGP-PUBLIC-KEY | gpg --dearmor -o /etc/apt/trusted.gpg.d/thehive.gpg
Anschließend fügst du das Cortex-Repository mit dem folgenden Befehl zum APT hinzu.
echo 'deb https://deb.thehive-project.org release main' | tee -a /etc/apt/sources.list.d/thehive-project.list
Anschließend aktualisierst du das Repository und installierst Cortex mit dem folgenden Befehl.
apt update -y apt install cortex -y
Sobald das Cortex-Paket installiert ist, kannst du mit der Konfiguration des Cortex fortfahren.
Cortex konfigurieren
Als Nächstes musst du ein Geheimnis erstellen und es in deiner Cortex-Konfigurationsdatei definieren. Erstelle zunächst ein Geheimnis mit dem folgenden Befehl.
cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 64 | head -n 1
Du solltest die folgende Ausgabe sehen.
LkSc1rXTf4mx8TWEdmQJytdrJYunwiLwHSaDS7gUR6g4P8B07JKuLWgMNIxI9bcm
Als Nächstes bearbeitest du die Cortex-Konfigurationsdatei und definierst dein Geheimnis.
nano /etc/cortex/application.conf
Definiere deine Geheimnisse wie unten gezeigt:
play.http.secret.key="LkSc1rXTf4mx8TWEdmQJytdrJYunwiLwHSaDS7gUR6g4P8B07JKuLWgMNIxI9bcm"
Speichere und schließe die Datei, wenn du fertig bist. Starte und aktiviere dann den Cortex-Dienst mit dem folgenden Befehl.
systemctl enable --now cortex
Du kannst den Status von Cortex mit dem folgenden Befehl überprüfen.
systemctl status cortex
Du erhältst die folgende Ausgabe.
? cortex.service - cortex
Loaded: loaded (/etc/systemd/system/cortex.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2023-02-06 15:40:21 UTC; 12s ago
Docs: https://thehive-project.org
Main PID: 12544 (java)
Tasks: 49 (limit: 38396)
Memory: 491.9M
CPU: 32.669s
CGroup: /system.slice/cortex.service
??12544 java -Duser.dir=/opt/cortex -Dconfig.file=/etc/cortex/application.conf -Dlogger.file=/etc/cortex/logback.xml -Dpidfile.p>
??13051 /usr/bin/python3 /usr/bin/pip show cortexutils
Feb 06 15:40:21 ubuntu2204 systemd[1]: Started cortex.
Zu diesem Zeitpunkt ist Cortex gestartet und lauscht auf Port 9001. Du kannst das mit dem folgenden Befehl überprüfen.
ss -antpl | grep 9001
In der folgenden Ausgabe solltest du sehen, dass Cortex den Port abhört.
LISTEN 0 100 *:9001 *:* users:(("java",pid=12544,fd=293))
Wenn du damit fertig bist, kannst du mit dem nächsten Schritt fortfahren.
Zugriff auf Cortex Web UI
Der Cortex ist nun installiert und konfiguriert. Als Nächstes öffnest du deinen Webbrowser und rufst die Cortex-Weboberfläche über die URL http://your-server-ip:9001 auf. Auf dem folgenden Bildschirm solltest du die Aktualisierung der Datenbank sehen.
Klicke auf die Schaltfläche Datenbank aktualisieren, um die Datenbank zu aktualisieren. Du solltest den Bildschirm zum Anlegen eines Kontos sehen.
Gib deinen Anmeldenamen, deinen Namen und dein Passwort ein und klicke auf die Schaltfläche Erstellen. Du wirst auf die Cortex-Anmeldeseite weitergeleitet:
Gib deinen Benutzernamen und dein Passwort ein und klicke auf die Schaltfläche Anmelden. Auf dem folgenden Bildschirm solltest du das Cortex-Dashboard sehen.
Als Nächstes musst du deine Organisation zu Cortex hinzufügen. Klicke auf die Schaltfläche Organisation hinzufügen. Du solltest den Bildschirm zur Erstellung der Organisation sehen.
Lege den Namen deiner Organisation fest und klicke auf die Schaltfläche Speichern. Auf dem folgenden Bildschirm sollte deine neu erstellte Organisation zu sehen sein.
Klicke auf deine neu erstellte Organisation. Du solltest den folgenden Bildschirm sehen.
Klicke auf die Schaltfläche Benutzer hinzufügen. Du solltest den Bildschirm zum Anlegen von Benutzern sehen.
Lege deinen Benutzernamen und deine Rolle fest und klicke auf die Schaltfläche Benutzer speichern, um einen Benutzer anzulegen. Du solltest den folgenden Bildschirm sehen.
Fazit
Glückwunsch! Du hast die Cortex-Engine erfolgreich auf dem Ubuntu 22.04 Server installiert und konfiguriert. Jetzt kannst du Cortex als Engine für die beobachtbare Analyse und aktive Reaktion in deinem Unternehmen einsetzen. Wenn du noch Fragen hast, kannst du dich gerne an mich wenden.