O que é o Cortex ?
Meu cachorro falou que o Cortex é uma ótima ferramenta para segurança da Informação, mas o que é o Cortex ?
Ao realizar a análise de um incidente de segurança, muitas vezes temos vários tipos de evidências para analisar, podendo se IPs, hashes, Payloads, domínios e etc, e dependendo do incidente podemos ter centenas de informações para analisar em um incidente.
E se eu te falar que existe uma aplicação capaz de fornecer análise centralizada de vários tipos de evidências, pois é, existe e o nome dessa maravilha é Cortex.
O Cortex chama as dados das evidências (IPs, hashes, Payloads, dominios) de observáveis, e com ele é possível realizar análise em escala consultando uma aplicação centralizada, de diversos tipos em várias aplicações como AbuseIPDB, AlienVault, Google Safe Browse, PhishTank, SpamhausDBL, URLhaus, Virus Total entre outras.
Vamos entender um pouco sobre as categorias do Cortex, temos os analisadores e os respondedores:
Analisadores: os analisadores são ferramentas que te trazem informações, por exemplo eu gostaria de saber se o IP X.X.X.X tem reports no AbuseIPDB, caso ele tenha vai informar a quantidade e os reports
Respondedores: Os respodendores realizam ações, por exemplo preciso que seja enviado um IOC para o Falcon (Software de Antivírus baseado em comportamento)