Cortex: o motor de análise automática do SOC open-source
Cortex é a ferramenta gratuita que transforma dados brutos de segurança — IPs suspeitos, hashes de ficheiros, domínios maliciosos — em respostas accionáveis em segundos. Ele integra-se ao TheHive e permite que PMEs analisem dezenas de indicadores contra múltiplas fontes de inteligência simultaneamente, sem licenças comerciais nem equipas grandes.
Cortex: o que é e por que importa
Quando um analista recebe um alerta do Wazuh ou do EDR, chega uma avalanche de dados: endereços IP, domínios, hashes, URLs. Verificar cada indicador manualmente — abrir o VirusTotal, consultar o Shodan, pesquisar no MISP, verificar DNS passivo — leva dezenas de minutos por observável. Num dia com 50 alertas, isso vira horas de trabalho repetitivo.
O Cortex resolve esse problema. Desenvolvido pelo TheHive Project e mantido pela StrangeBee, é um motor de análise open-source que expõe uma API uniforme para dezenas de fontes de dados. Você submete um IP, e ele consulta todas as fontes configuradas em paralelo, devolvendo um veredicto estruturado: seguro, suspeito, malicioso ou informativo.
Pensar no Cortex como um assistente de investigação automático é a analogia certa. Em vez de um analista visitar 10 sites diferentes para verificar um único endereço IP, o Cortex faz tudo com uma única chamada de API. Para uma PME sem equipa de segurança dedicada, isso representa a diferença entre um incidente contido em minutos e um ataque que se propaga por horas.
Como funciona: analisadores e respondedores
O Cortex organiza o trabalho em dois tipos de módulos: analysers (analisadores) e responders (respondedores).
Os analisadores recebem um observável — como um IP, domínio, hash, e-mail ou URL — e consultam uma fonte externa. O resultado vem em duas camadas: um veredicto curto, legível por máquina (safe, suspicious, malicious, info), e um relatório detalhado para o analista. Essa separação permite que automações tomem decisões rápidas enquanto humanos consultam os detalhes quando necessário.
Os respondedores vão além da análise: executam acções. Bloquear um IP no firewall, adicionar um indicador ao MISP, enviar uma notificação ao responsável ou isolar um endpoint são exemplos do que um responder pode fazer. A combinação de analisadores e respondedores cria fluxos completos: detectar, enriquecer, agir.
Analisadores essenciais para PMEs
Não é preciso activar tudo de uma vez. Uma abordagem prática é começar com três ou quatro analisadores e expandir conforme a maturidade da equipa cresce.
O VirusTotal é o cavalo de batalha. Consulta dezenas de motores antivírus ao mesmo tempo para hashes, URLs e domínios. Se um ficheiro executável tem score de zero detectores, a análise fica rápida. Se tem 30, o veredicto é claro.
O AbuseIPDB dá reputação rápida de IP com consulta gratuita e barata. Capta fontes já conhecidas como maliciosas sem custo adicional.
O analisador MISP é especial porque consulta a sua própria inteligência de ameaças. Um indicador que coincide com um evento recente da sua comunidade MISP tem peso muito maior que um desconhecido. Essa integração é o que transforma o Cortex de ferramenta de enriquecimento genérico em motor contextualizado.
Para além destes, analisadores de DNS passivo revelam o histórico de hospedagem de um IP, analisadores de sandbox detonam ficheiros suspeitos em ambiente isolado, e analisadores WHOIS expõem domínios recém-registados — um sinal comum em campanhas de phishing.
Integração com TheHive: o fluxo completo
O Cortex brilha quando trabalha junto com o TheHive. Um analista cria um caso de incidente no TheHive, adiciona observáveis (IPs, hashes, e-mails) e, com poucos cliques, submete tudo ao Cortex. Os resultados aparecem directamente no caso, organizados e prontos para decisão.
Essa integração elimina o context-switching — aquele momento em que o analista fica a alternar entre cinco separadores do browser para montar o puzzle. No mundo real, isso reduz o tempo médio de triagem de incidentes em 60 a 80%, segundo relatos de equipas que usam o par TheHive + Cortex em produção.
A comunicação entre ambos é por API REST. O Cortex corre de forma independente, o que significa que pode ter instâncias separadas para diferentes níveis de classificação ou performance — uma para análise rotineira, outra para fontes sensíveis com requisitos operacionais mais restritos.
Respondedores em acção: da análise à contenção
Quando o Cortex devolve um veredicto de “malicioso”, o próximo passo lógico é agir. É aqui que entram os respondedores.
Um responder pode adicionar um IP à blocklist do firewall. Outro pode empurrar o indicador para o MISP, alimentando a inteligência da organização. Um terceiro pode disparar uma notificação para a equipa responsável. Todos esses passos são executados automaticamente, sem intervenção humana no ciclo básico.
O essencial é desenhar os fluxos com segurança: respondedores só devem actuar automaticamente quando o veredicto é inequívoco. Para casos “suspeitos” ou inconclusivos, a automação notifica o analista sem executar acções de contenção. Essa cautela evita que um falso positivo bloqueie um serviço crítico.
Deploy prático para PMEs
O Cortex corre em Docker, o que simplifica bastante o deploy. Para uma PME com recursos limitados, uma instância única com 4 GB de RAM e dois analisadores (VirusTotal e AbuseIPDB) já cobre 80% das necessidades de enriquecimento diário.
O primeiro passo é definir quais fontes de inteligência a organização já usa ou tem acesso. Empresas que pagam por APIs como VirusTotal ou Shodan podem integrá-las directamente. A gestão de chaves de API e rate limits fica centralizada no Cortex — não é necessário configurar credenciais em cada ferramenta de análise.
Depois do deploy inicial, a recomendação é começar com analisadores rápidos e gratuitos, validar o fluxo com o TheHive e só depois adicionar camadas mais sofisticadas. Cada novo analyser traz um custo — de API, de latência ou de complexidade — e deve justificar-se pelo valor acrescentado às investigações.
Por que PMEs devem considerar o Cortex
Ferramentas comerciais de SOAR (Security Orchestration, Automation and Response) custam dezenas de milhares de euros por ano. O Cortex faz análise e resposta com funcionalidades comparáveis, totalmente gratuito e open-source sob licença AGPL-3.0.
Para uma PME que já usa Wazuh como SIEM e TheHive como plataforma de gestão de casos, adicionar o Cortex é a peça que fecha o ciclo: detectar (Wazuh), gerir (TheHive), analisar e responder (Cortex). Os três formam um stack coerente que cobre as necessidades fundamentais de um CSOC sem licenças comerciais.
O benefício directo é velocidade. Análise manual de 20 observáveis pode levar uma hora. Com o Cortex, leva segundos. Quando o tempo entre detecção e contenção define se um ataque se limita a um endpoint ou se espalha por toda a rede, essa velocidade não é um luxo — é uma necessidade.
Fontes e referências
- TheHive Project — Cortex no GitHub: github.com/TheHive-Project/Cortex
- StrangeBee — Página oficial do Cortex: strangebee.com/cortex
- Codesecure — Cortex Analyzers: Automated Observable Analysis: codesecure.in/blogs/cortex-analyzers
- ShieldNet 360 — Automated incident response: workflows and SME KPIs in 2026: shieldnet360.com — SME KPIs 2026
- IBM — What is cybersecurity: ibm.com/br-pt/think/topics/cybersecurity