[cymon-analyzer] | Modulo de Análisis Reputación IP en Cymon.io para Cortex Engine | theHive-project

[

](https://1.bp.blogspot.com/-kZ6n4TsSZ8M/WbpPZgBjirI/AAAAAAAAefc/ZBbTpyBlC7UwHm1BT1OGusI5hv_eO7xVQCLcBGAs/s1600/TheHive%2BProject%2B-%2BHead.png)

Cuando eres un Tier1/L2 SOC Security Analyst disponer de la mejor

herramienta para la toma de decisiones es fundamental con objeto de

“responde” ante una Amenaza de la mejor forma y lo más rápido posible.

En mi paso como “Manager” del antiguo equipo del **Centro de

Inteligencia y Operaciones de Seguridad, denominado SSIC** por la siglas

(SVT Security Intelligence & Operations Center), se indicaba que la

prioridad era conseguir herramientas que permitan a nuestros analistas

L1 / L2 disponer de la mejor información en el menor tiempo posible,

permitiendo decisiones / acciones inmediatas.

Es un placer compartir con la comunidad el desarrollo de un módulo para

análisis de direcciones IP “sospechosas”, os presento,

cymon-analyzer, es un

plugins (analizador) desarrollado para el motor

Cortex del proyecto

[TheHive-Project]

Descripción

**

cymon-analyzer** permite analizar información sobre la reputación IP en

un “Incidente / Alerta” de seguridad en el servicio cymon.io (Open

Threat Intelligence) de forma automática, para ello se utiliza la API

que nos proporciona este servicio.

He desarrollado un modulo para

Cortex, que permite analizar

rápidamente y comprobar si la IP detectada como “potencialmente

peligrosa” (observable / evidencia) esta listada en “lista negras” por

mala reputación [Malware, Spam, Phishing, blacklist, Actividad

Maliciosa, etc].

cymon-analyzer | Working in TheHive Platform | Captura pantalla del analyzer en funcionamiento.

De forma automática, un analista puede comprobar y obtener

información desde múltiples IP / Observables con un solo click. Se puede

ejecutar el Analyzer, y el motor [Cortex] a través del Analizador se

encarga de consultar “IP por IP” al servicio cymon.io devolviendo la

información en forma de etiqueta e Informe.

Full Report | Informe resultante cymon-analyzers

TheHive-Project es una plataforma de gestión de Incidentes de Seguridad

(relativamente nueva) consolidada, que proporciona la herramienta

que un SOC/CERT necesita.

Es una herramienta desarrollada por expertos en Seguridad para equipos

de Seguridad. Sus capacidades de integración son espectaculares, no solo

gracias a la comunidad que cada día desarrolla más “Analyzer”

incrementando el valor de la herramienta y sus capacidades, sino también

debido a la capacidad de integración que proporciona la API de la

plataforma.

Si estáis interesados, podéis conseguir el analyzer en mi cuenta 

personal de GitHUB | ST2Labs

Repositorio:

cymon-analyzer

Enlaces de Interés

• http://thehive-project.org/

• https://github.com/CERT-BDF/Cortex-Analyzers

• www.svtcloud.com

ST2Labs

Ver también

• Guia rápida para realizar un Pentesting
• [SIPI] Simple IP Information Tool is out
• SVTCloud Monitoring & Security Operations Center (MSOC)
• Feliz Navidad with Custom Python Reverse Shell
• Windows Forensics Tips - USB Write Protected