← Blog

Cortex: o motor de análise automática do SOC open-source

AtalaiaSec ·

Cortex é a ferramenta gratuita que transforma dados brutos de segurança — IPs suspeitos, hashes de ficheiros, domínios maliciosos — em respostas accionáveis em segundos. Ele integra-se ao TheHive e permite que PMEs analisem dezenas de indicadores contra múltiplas fontes de inteligência simultaneamente, sem licenças comerciais nem equipas grandes.

Cortex: o que é e por que importa

Quando um analista recebe um alerta do Wazuh ou do EDR, chega uma avalanche de dados: endereços IP, domínios, hashes, URLs. Verificar cada indicador manualmente — abrir o VirusTotal, consultar o Shodan, pesquisar no MISP, verificar DNS passivo — leva dezenas de minutos por observável. Num dia com 50 alertas, isso vira horas de trabalho repetitivo.

O Cortex resolve esse problema. Desenvolvido pelo TheHive Project e mantido pela StrangeBee, é um motor de análise open-source que expõe uma API uniforme para dezenas de fontes de dados. Você submete um IP, e ele consulta todas as fontes configuradas em paralelo, devolvendo um veredicto estruturado: seguro, suspeito, malicioso ou informativo.

Pensar no Cortex como um assistente de investigação automático é a analogia certa. Em vez de um analista visitar 10 sites diferentes para verificar um único endereço IP, o Cortex faz tudo com uma única chamada de API. Para uma PME sem equipa de segurança dedicada, isso representa a diferença entre um incidente contido em minutos e um ataque que se propaga por horas.

Como funciona: analisadores e respondedores

O Cortex organiza o trabalho em dois tipos de módulos: analysers (analisadores) e responders (respondedores).

Os analisadores recebem um observável — como um IP, domínio, hash, e-mail ou URL — e consultam uma fonte externa. O resultado vem em duas camadas: um veredicto curto, legível por máquina (safe, suspicious, malicious, info), e um relatório detalhado para o analista. Essa separação permite que automações tomem decisões rápidas enquanto humanos consultam os detalhes quando necessário.

Os respondedores vão além da análise: executam acções. Bloquear um IP no firewall, adicionar um indicador ao MISP, enviar uma notificação ao responsável ou isolar um endpoint são exemplos do que um responder pode fazer. A combinação de analisadores e respondedores cria fluxos completos: detectar, enriquecer, agir.

Analisadores essenciais para PMEs

Não é preciso activar tudo de uma vez. Uma abordagem prática é começar com três ou quatro analisadores e expandir conforme a maturidade da equipa cresce.

O VirusTotal é o cavalo de batalha. Consulta dezenas de motores antivírus ao mesmo tempo para hashes, URLs e domínios. Se um ficheiro executável tem score de zero detectores, a análise fica rápida. Se tem 30, o veredicto é claro.

O AbuseIPDB dá reputação rápida de IP com consulta gratuita e barata. Capta fontes já conhecidas como maliciosas sem custo adicional.

O analisador MISP é especial porque consulta a sua própria inteligência de ameaças. Um indicador que coincide com um evento recente da sua comunidade MISP tem peso muito maior que um desconhecido. Essa integração é o que transforma o Cortex de ferramenta de enriquecimento genérico em motor contextualizado.

Para além destes, analisadores de DNS passivo revelam o histórico de hospedagem de um IP, analisadores de sandbox detonam ficheiros suspeitos em ambiente isolado, e analisadores WHOIS expõem domínios recém-registados — um sinal comum em campanhas de phishing.

Integração com TheHive: o fluxo completo

O Cortex brilha quando trabalha junto com o TheHive. Um analista cria um caso de incidente no TheHive, adiciona observáveis (IPs, hashes, e-mails) e, com poucos cliques, submete tudo ao Cortex. Os resultados aparecem directamente no caso, organizados e prontos para decisão.

Essa integração elimina o context-switching — aquele momento em que o analista fica a alternar entre cinco separadores do browser para montar o puzzle. No mundo real, isso reduz o tempo médio de triagem de incidentes em 60 a 80%, segundo relatos de equipas que usam o par TheHive + Cortex em produção.

A comunicação entre ambos é por API REST. O Cortex corre de forma independente, o que significa que pode ter instâncias separadas para diferentes níveis de classificação ou performance — uma para análise rotineira, outra para fontes sensíveis com requisitos operacionais mais restritos.

Respondedores em acção: da análise à contenção

Quando o Cortex devolve um veredicto de “malicioso”, o próximo passo lógico é agir. É aqui que entram os respondedores.

Um responder pode adicionar um IP à blocklist do firewall. Outro pode empurrar o indicador para o MISP, alimentando a inteligência da organização. Um terceiro pode disparar uma notificação para a equipa responsável. Todos esses passos são executados automaticamente, sem intervenção humana no ciclo básico.

O essencial é desenhar os fluxos com segurança: respondedores só devem actuar automaticamente quando o veredicto é inequívoco. Para casos “suspeitos” ou inconclusivos, a automação notifica o analista sem executar acções de contenção. Essa cautela evita que um falso positivo bloqueie um serviço crítico.

Deploy prático para PMEs

O Cortex corre em Docker, o que simplifica bastante o deploy. Para uma PME com recursos limitados, uma instância única com 4 GB de RAM e dois analisadores (VirusTotal e AbuseIPDB) já cobre 80% das necessidades de enriquecimento diário.

O primeiro passo é definir quais fontes de inteligência a organização já usa ou tem acesso. Empresas que pagam por APIs como VirusTotal ou Shodan podem integrá-las directamente. A gestão de chaves de API e rate limits fica centralizada no Cortex — não é necessário configurar credenciais em cada ferramenta de análise.

Depois do deploy inicial, a recomendação é começar com analisadores rápidos e gratuitos, validar o fluxo com o TheHive e só depois adicionar camadas mais sofisticadas. Cada novo analyser traz um custo — de API, de latência ou de complexidade — e deve justificar-se pelo valor acrescentado às investigações.

Por que PMEs devem considerar o Cortex

Ferramentas comerciais de SOAR (Security Orchestration, Automation and Response) custam dezenas de milhares de euros por ano. O Cortex faz análise e resposta com funcionalidades comparáveis, totalmente gratuito e open-source sob licença AGPL-3.0.

Para uma PME que já usa Wazuh como SIEM e TheHive como plataforma de gestão de casos, adicionar o Cortex é a peça que fecha o ciclo: detectar (Wazuh), gerir (TheHive), analisar e responder (Cortex). Os três formam um stack coerente que cobre as necessidades fundamentais de um CSOC sem licenças comerciais.

O benefício directo é velocidade. Análise manual de 20 observáveis pode levar uma hora. Com o Cortex, leva segundos. Quando o tempo entre detecção e contenção define se um ataque se limita a um endpoint ou se espalha por toda a rede, essa velocidade não é um luxo — é uma necessidade.

Fontes e referências