IT-Abteilungen großer Unternehmen betreiben zum Schutz der eigenen Infrastruktur und zur Aufklärung von Sicherheitsvorfällen eigene Security Operation Center (SOC). Ja nachdem, wie die IT-Abteilung in Ihrem Unternehmen strukturiert ist, können Sie auf ein Team von Analysten zurückgreifen, um dauerhaft die Infrastruktur im Auge zu behalten und bereits frühzeitig Angriffe zu erkennen und den Erfolg der Angreifer einzudämmen. Dabei kommen bei der Threat-Intelligence-Analyse unterschiedliche Werkzeuge zum Einsatz, um die Analysten bei der Sammlung von Informationen und dem Austausch von Erkenntnissen zu unterstützen.

Die Anzahl an IT-Sicherheitsvorfällen in Unternehmen steigt stetig und die Sicherheit der eigenen Infrastruktur ist für viele Unternehmen eine kontinuierliche Herausforderung. Dabei spielt es keine Rolle, ob das SOC des Unternehmens ein eigenes Team für die Vorfalls-analyse – sogenannte Computer Emergency Response Teams (CERT) oder Computer Security Incidence Respone Teams (CSIRT) – unterhält oder das Monitoring und die Incident Response als einen Aufgabenbereich zunächst selbst übernimmt.

Dabei fällt, zusätzlich zu den bereits umfänglichen Aufgaben, noch weitere Verantwortung in den Bereich von SOCs. Relevant für die Gefahrenabwehr sind etwa das Incident Management, das Erstellen und Beobachten von Lageberichten sowie die Informationsabsicherung mit klassischem Risikomanagement und Business Continuity. Das bedeutet auch, dass Sie als Analyst hier auf etablierte Reporting-Werkzeuge und -Techniken zur kontinuierlichen Analyse von Daten angewiesen sind, um im Schadensfall zuverlässig Ursachenforschung zu betreiben und auf die Bedrohung zu reagieren.

Es gibt unterschiedliche Werkzeuge, die Sie bei der Aufarbeitung von Sicherheitsvorfällen unterstützen. Neben GRR Rapid Response oder MISP finden Sie in der Liste von freien Incident Response Plattformen unter anderem "The Hive". The Hive wird von Analysten aus SOCs und CERTs weiterentwickelt und bietet bereits durch die Basisfunktionalität, aber vor allem durch die flexible Erweiterbarkeit eine gelungene Umgebung zur automatisierbaren Analyse großer und kleiner Datenmengen. Bei der Anbindung an andere Plattformen und zum Austausch mit anderen Analysten setzen die Entwickler mit MISP auf eine etablierte Sharing-Plattform.

Mit Cortex steht ein weiteres Tool zur Verfügung, das Ihnen über sogenannte "Neuronen" zusätzliche Funktionalität für die Analyse bereitstellt. Die Analyzer ermöglichen Ihnen dabei die Anbindung an externe Tools zur Überprüfung von Observables, die als IoC (Indicator of Compromise) Ihrer Analysefälle dienen. Die Responder erlauben unmittelbare Aktionen bei entsprechenden Analyseergebnissen, etwa den Versand von E-Mails zur Information oder die Blockade von DNS-Abfragen für bestimmte schadhafte Domains in Ihrem Unternehmen.

Bevor wir die Details bei der Benutzung thematisieren, benötigen Sie eine laufende Instanz von The Hive und Cortex mit entsprechenden Abhängigkeiten. Zum Zeitpunkt der Erstellung dieses Artikels ist gerade Version 4.1 von The Hive veröffentlicht worden. Die entsprechende Dokumentation [1] zeigt Ihnen unterschiedliche Wege zur Installation auf, je nachdem, welches Betriebssystem Sie einsetzen.

Wenn Sie The Hive und Cortex zunächst nur für Testzwecke aufsetzen möchten, eignen sich Docker-Container als Laufzeitumgebung besonders gut. Aus dem Projektumfeld gibt es ein eigenes Git-Repository [2], wo Sie für unterschiedliche Setups vorgefertigte Skripte für Compose erhalten. So müssen Sie sich nicht in die Details zum Konfigurieren der Komponenten einarbeiten. Laden Sie die Inhalte des Repositories mit dem folgenden Kommando herunter:

Im weiteren Verlauf des Workshops verwenden wir die Container der dort verfügbaren Compose-Dateien mit The Hive in Version 4.1, Cortex in Version 3.1 und Nginx mit HTTPs. Diese finden Sie im Unterordner "docker/thehive4-cortex31-nginx-https".

Die im Verzeichnis enthaltene Readme-Datei beschreibt die notwendigen Schritte zum Aufsetzen der Umgebung. Im ersten Schritt erstellen Sie mit den folgenden Kommandos ein Zertifikat für den Nginx-Proxy und kopieren diese an die richtige Stelle in das Volume des Nginx-Containers:

Anschließend editieren Sie die Nginx-Konfiguration für The Hive in der Datei "./vol/nginx/thehive.conf" und Cortex in der Datei "./vol/nginx/cortex.conf" und passen diese an Ihre Umgebung an. Im einfachsten Fall aktualisieren Sie einfach nur den Wert der server_name-Direktive. Betreiben Sie die Container lokal, tragen Sie dort etwa die Werte "thehive.localhost www.thehive.localhost" beziehungsweise "cortex.localhost www.cortex.localhost" ein. Entsprechend dieser Namen müssen Sie den Eintrag für die IP 127.0.0.1 in der Datei "/etc/hosts" um die vier Namen erweitern.

Bevor Sie die Datei ".env" mit dem API-Key für Cortex anpassen, erstellen Sie manuell das in der Compose-Datei referenzierte Netzwerk und starten anschließend alle Container mit den folgenden Kommandos:

Nach dem Start von Cortex öffnen Sie über "https://cortex.localhost/" die Webanwendung. Aktualisieren Sie die Datenbank, wenn Cortex Sie dazu auffordert, und legen Sie einen ersten Administrator-Benutzer für Ihren Login an. Mit diesem melden Sie sich anschließend direkt an der Benutzeroberfläche an. Für die Integration in The Hive benötigen Sie zunächst eine neue Organisation innerhalb von Cortex. Die automatisch angelegte Organisation mit dem Namen "cortex" lässt sich hierfür nicht verwenden, da Sie darin keine normalen Benutzer anlegen können. Erstellen Sie also unter "Organizations" eine neue Organisation, indem Sie "Add Organization" anklicken. Wählen Sie einen beliebigen Namen und geben Sie eine kurze Beschreibung der Organisation an. In der resultierenden Liste klicken Sie dann auf die soeben erzeugte Organisation und erstellen mit einem Klick auf "Add User" einen neuen Benutzer. Füllen Sie die Namensfelder entsprechend aus und belassen Sie die Rolleneinstellung auf "read, analyze".

Nach einem Klick auf "Create API Key" in der Zeile des neuen Benutzers lassen Sie sich den erzeugten API-Key mit "Reveal" anzeigen und kopieren diesen in die Variablendefinition der Datei ".env". Wenn Sie gerade in der Benutzerübersicht sind, können Sie direkt einen weiteren Benutzer in dieser Organisation anlegen und diesem als Administrator der Organisation die Rolle "read, analyze, orgadmin" zuweisen. Mit diesem konfigurieren Sie dann im nächsten Schritt die Analyzer und Responder. Damit The Hive den aktualisierten API-Key nun berücksichtigt und eine Verbindung zu Cortex aufbauen kann, stoppen und entfernen Sie den entsprechenden Container und starten ihn direkt wieder neu. Das setzen Sie mit den folgenden Kommandos um:

Wenn Sie die Container nicht mit dem root-Benutzer starten, müssen Sie die Zugriffsrechte auf die Dateien in den eingebundenen Ordnern aktualisieren. Setzen Sie daher Ihren aktuellen Benutzer als Besitzer der Dateien und starten zur Sicherheit noch einmal alle Container neu. Benutzen Sie dafür die folgenden Kommandos:

Cortex bietet Ihnen unterschiedliche Analyzer für die weitere Analyse der Observables eines Vorfalls. The Hive bringt von Haus aus 16 unterschiedliche Observable-Typen mit. Darunter finden Sie etwa IP-Adressen, Domain- und Hostnamen, Dateinamen oder Einträge in die Windows-Registrierung. Bei Ihrer Vorfallsbearbeitung dokumentieren Sie diese Observables, die gemeinsam mit einem entsprechenden Kontext, Inhalten oder Datum und Uhrzeiten zu einem Indicator of Compromise werden, also einem Hinweis auf eine Kompromittierung Ihrer Systeme.

Die Analyzer innerhalb von Cortex ermöglichen Ihnen nun, weitere Informationen zu Observables zu sammeln. So ermitteln Sie Angaben zu einem Domainnamen oder der IP-Adresse einer Verbindung oder überprüfen die Existenz eines Hosts in E-Mail-SPAM-Listen. Verdächtige Dateien lassen sich zu Viren-scannern wie Virustotal hochladen und das Ergebnis für Ihre weitere Bearbeitung verwenden. Bevor Sie diese kleinen Werkzeuge nutzen, müssen Sie diese für Ihre Organisation aber zunächst aktivieren und entsprechend konfigurieren.

Melden Sie sich also wieder in der Cortex-Oberfläche an, benutzen nun aber den gerade bereits angelegten Administrator Ihrer Organisation für den Login. Mit diesem Benutzer können Sie nun unter "Organization" den Reiter "Analyzers" auswählen und sich alle verfügbaren Analysewerkzeuge wie in Bild 1 anzeigen lassen.

Scrollen Sie durch die Liste und wählen Sie die gewünschten Analyzer aus. Einige der Analyzer benutzen kostenpflichtige Dienste. Wenn Sie diese in Ihrem Unternehmen bereits verwenden, können Sie die Analyzer direkt aktivieren und in der Einblendung zur Konfiguration Ihre Zugangsdaten beziehungsweise den API-Key für die Benutzung eintragen. Um Ihnen die Verwendung zu demonstrieren, aktivieren wir an dieser Stelle zunächst drei kostenfreie Dienste mit einem Klick auf "enable":

- GoogleDNS_resolve

- Robtex_IP_Query

- SpamhausDBL

An den spezifischen Einstellungen dieser drei Analyzer müssen Sie erst einmal nichts verändern, Sie können also direkt im unteren Bereich der Einblendung auf "Save" klicken. Wenn Sie bei der Vorfallsbearbeitung gelegentlich vertrauliche Inhalte verarbeiten, die Sie nach den Vorgaben des Traffic Light Protocols (TLP) [3] einstufen, sollten Sie hier direkt den TLP-Filter auf das maximal erlaubte Level für die übermittelten Informationen an die Dienstanbieter einstellen. Neben dem TLP können Sie auch Einstellungen an dem Permissible Actions Protocol (PAP) vornehmen. Das PAP gibt an, welche Aktivitäten Sie mit einer Ressource hinter einer Information durchführen dürfen, insbesondere wie invasiv die durchgeführten Aktivitäten sein dürfen [4]. Unter der Einstellung "Rate Limiting" lässt sich ein entsprechendes Intervall konfigurieren, um die Anzahl und Häufigkeit der Anfragen zu regulieren.

Die soeben aktivierten Analyzer könnten Sie nun mit einem Klick auf "New Analysis" direkt aus der Cortex-Oberfläche ausprobieren. Da wir aber die Verwendung der Cortex-Funktionalität aus The Hive weiter vorbereiten möchten, überspringen wir diesen Schritt zunächst.

Nachdem Sie die Analyzer aktiviert haben, wählen Sie nun den Reiter "Responders" aus. Hier finden Sie eine ähnliche Übersicht mit kleinen Tools, die Sie bei der Reaktion auf Erkenntnisse Ihrer Vorfallsbearbeitung unterstützen. Wenn Sie etwa Cisco Secure Endpoint (AMP for Endpoints) bei sich verwenden, isolieren Sie durch den Einsatz der Cortex-Responder unmittelbar betroffene Endsysteme für die Dauer Ihrer Untersuchung und heben die Isolation nach Beendigung Ihrer Arbeiten wieder auf.

Mit dem "DNS_RPZ"-Responder konfigurieren Sie verdächtige oder gefährliche Domainnamen in einer Response Policy Zone Ihres DNS-Resolvers und leiten so Zugriffe auf diese Domains um oder blockieren diese. Ebenso können Sie ein Ticketsystem anbinden – Redmine wird etwa mit dem "Redmine_Issue"-Responder standardmäßig unterstützt – und so automatisiert Tickets für Ihre Kollegen hinterlegen. Beim Aktivieren müssen Sie entsprechende Informationen zum Zugriff auf Ihre Redmine-Instanz und die Auswahl des entsprechenden Projekts hinterlegen.

Um auch hier nicht den Rahmen dieses Artikels zu sprengen, aktivieren Sie an dieser Stelle erst einmal nur den Mailer-Responder. Damit versenden Sie E-Mails mit den Informationen über Ihren Vorfall. Hinterlegen Sie in der Konfiguration ein E-Mail-Konto, das Sie für Testzwecke verwenden können. Auch für die Responder lassen sich Filter entsprechend der TLP- und PAP-Level konfigurieren.

Da Sie mit dem Mail-Responder Daten aus Ihrem Vorfall versenden, sollten Sie diese Limitierung nutzen, damit Sie nicht ungewollt vertrauliche Informationen versenden. Um nicht versehentlich unnötig viel Traffic oder SPAM zu erzeugen, legen Sie für jeden Responder ein Rate-Limit fest. Alle Einstellungen lassen sich natürlich im Nachgang auch immer wieder anpassen, wenn Sie feststellen, dass diese plötzlich nicht mehr zu Ihrer Firmenphilosophie oder dem Einsatzumfeld passen.

Nachdem wir in Cortex alle gewünschten Einstellungen zur weiteren Automatisierung vorgenommen haben, können Sie sich der Oberfläche von The Hive zuwenden. Rufen Sie dazu in Ihrem Browser die URL auf, die Sie weiter oben in der Nginx-Konfiguration hinterlegt haben. In unserem Beispiel also "https://thehive. localhost/". Im Gegensatz zu Cortex können Sie bei The Hive keinen Administrator-Benutzer anlegen. Dieser ist bereits in der Datenbank hinterlegt und mit den Zugangsdaten "admin:secret" funktioniert der Login in das System.

Um The Hive für Ihre Analysen zu verwenden, legen Sie zunächst wieder eine Organisation für Ihren Analysten an. Klicken Sie dafür auf die "Admin"-Schaltfläche und wählen Sie im erscheinenden Menü "Organizations" aus. Nun hinterlegen Sie mit einem Klick auf "New Organisation" die notwendigen Informationen der Organisation. Anschließend gelangen Sie mit einem Klick auf den Namen der angelegten Organisation in die entsprechenden Einstellungen, wo Sie nun einen Benutzer erstellen. Setzen Sie mit einem Klick auf "Edit Password" ein Passwort für den Login des Users.

Um The Hive verwenden zu können, ist es sinnvoll, bereits vorbereitete Templates, MISP-Taxonomien und Attack-Patterns hinzuzufügen. Die Entwickler von The Hive haben hier eine gute Vorarbeit geleistet. Nach der Auswahl der entsprechenden Kategorie im "Admin"-Menü erhalten Sie einen Link zum Herunterladen der entsprechenden Vorlagen. Anschließend stellen Sie die Inhalte der heruntergeladenen Dateien mit einem Klick auf den jeweiligen "Import"-Button in The Hive bereit.

Nun ist Ihr Setup soweit vorbereitet, dass Sie Ihren ersten Vorfall damit bearbeiten können. Melden Sie sich dafür mit dem "admin"-Benutzer aus The Hive ab und mit dem erstellen Login für den Analysten wieder an. Sie gelangen in die Vorfalls-übersicht, die zunächst keine Vorfälle listet.

Erstellen Sie nun mit einem Klick auf "New Case" eine neue Vorfallsbearbeitung. Dabei können Sie die Felder testweise wie in Bild 2 ausfüllen, jedoch sollten Sie die TLP- und PAP-Werte so wählen, dass die Analyzer und Responder in Cortex die Daten noch verarbeiten dürfen. Klicken Sie anschließend auf "Create Case".

In der Vorfallsübersicht wählen Sie nun den soeben angelegten Vorfall und den Reiter "Observables" aus. Hier lassen sich nun beobachtete Artefakte dokumentieren. Da die ausgewählten Analyzer alle auch mit Domainnamen arbeiten, fügen wir in der Einblendung ein Observable vom Typ "Domain" hinzu. Tragen Sie unter "Value" die ausgewählte Domain, etwa "it-administrator.de" ein, wählen Sie unter "Tags" eine beliebige Kennzeichnung aus beziehungsweise tippen Sie im Feld einfach den Namen eines neuen Tags ein. Fügen Sie anschließend im Description-Feld eine kurze Beschreibung hinzu. Klicken Sie auf "Create Observable" und warten Sie, bis das Observable in der Liste erscheint.

Wenn Sie nun das erstellte Observable anklicken, können Sie unter "Basic Information" Ihre Angaben dazu eingeben. Hier wählen Sie später etwa mittels "Sharing" weitere Organisationen aus, mit denen Sie die Informationen teilen möchten. Unter dem Punkt Analysis sehen Sie die von Ihnen ausgewählten Analyzer, zumindest solange diese den Typ Domain unterstützen. Klicken Sie nun auf die kleinen roten Symbole zum Starten der Cortex-Analyzer oder auf den Text "Run all" über der Tabelle. Im Hintergrund beginnt Cortex nun damit, weitere Informationen für Sie zu ermitteln. Nach Abschluss der Analyse zeigt die Tabelle die erfolgreiche Durchführung der Analyzer wie in Bild 3 an.

Wenn Sie nun wieder in die Observable-Übersicht Ihres Vorfalls wechseln, erkennen Sie blau hinterlegt die Ergebnisse der einzelnen Analyzer zu jedem Observable, wie in Bild 4 dargestellt. So haben Sie die Zusatzinformationen zu Ihren Observables immer übersichtlich aufbereitet vorliegen.

Mit Hilfe der Analyzer-Ergebnisse können Sie die Observables Ihres Vorfalls besser einsortieren und haben einen guten Überblick über kritische Artefakte. Nun sollten Sie entscheiden, ob Sie auf Basis der Erkenntnisse automatisierte Aktionen durchführen möchten. Klicken Sie auf das Zahnrad-Icon im rechten Bereich des Observables, lassen sich die Responder auswählen, die für den jeweiligen Observable-Typ zur Verfügung stehen. Da wir in den Vorbereitungen lediglich den E-Mail-Responder ausgewählt haben, erhalten Sie eine Warnung, wenn Sie das Icon für die Domain "it-administrator.de" verwenden. Wenn Sie für Ihren DNS-Resolver bereits den Responder aktiviert und konfiguriert haben, wählen Sie diesen hier aus und veranlassen die Blockade der Domain.

Da der E-Mail-Responder nicht einzelne Observables, sondern nur ganze Vorfälle versendet, scrollen Sie in der Übersicht der Observables ganz nach oben. Nun erkennen Sie in der Titelzeile des Vorfalls das Zahnrad-Icon und den Text "Responder". Bevor Sie den Responder aktivieren, müssen Sie natürlich noch eine Empfängeradresse konfigurieren. Das können Sie über die Tags Ihres Vorfalls erledigen. Fügen Sie einfach einen Tag mit folgendem Schema hinzu:

Wenn Sie nun auf das Zahnrad in der Titelzeile klicken, können Sie den E-Mail-Responder auswählen und aktivieren. Im Hintergrund wird dann eine entsprechende E-Mail versendet.

Einmal eingerichtet, bietet The Hive im Zusammenspiel mit Cortex viele Möglichkeiten zur Optimierung der Vorfallbearbeitung Ihres Incident Response Teams. Zur Lastverteilung können Sie mehrere Cortex-Instanzen konfigurieren und die Auswahl einzelner "Neuronen" mit Tags steuern. Es existieren bereits viele Tools mit Anbindungen an übliche Dienste, die für den Einsatz nur noch konfiguriert werden müssen.

Wenn Sie eigene Analyzer oder Responder entwickeln möchten, dann gelangen Sie auch hier mit Python schnell an Ihr Ziel. So können Sie auch interne APIs zur weiteren Vorfallsbearbeitung anbinden. Die Automatisierung von Analyzern und Respondern ermöglicht es dem Analysten, sich auf wesentliche Aufgaben zu konzentrieren, ohne auf Zusatzinformationen verzichten zu müssen.

In diesem Workshop haben wir Ihnen gezeigt, wie Sie Cortex als Erweiterung der Incident Response Platform The Hive konfigurieren und verwenden. Sie haben erste Analyzer und Responder aktiviert und die Verwendung erfolgreich ausprobiert. Auch wenn die Dokumentation des Projekts leider den Entwicklungen etwas hinterherhängt, stehen Ihnen die Developer von The Hive und Cortex sowie die Community um das Projekt bei Fragen zur Seite. Für das Incident Response Team erlaubt The Hive mit Cortex eine deutliche Steigerung der Produktivität.