cortex-xsoar - RunkIntel

# Cortex XSOAR > SOAR · Vendor: [[_palo-alto-networks|Palo Alto Networks]] > [!latam] Presença no Brasil e LATAM > O Cortex XSOAR é adotado por MSSPs brasileiros de grande porte e por equipes de segurança de bancos e operadoras de telecomúnicações que buscam orquestração avançada. No Brasil, a plataforma é distribuída pela Palo Alto Networks Brasil e parceiros como **Redbelt Security** e **ISH Tecnologia**. A automação de resposta a incidentes via playbooks é especialmente valorizada no contexto brasileiro, onde regulamentações como **LGPD** exigem registros de auditoria detalhados de todas as ações de resposta. O **War Room** colaborativo é usado em exercícios de **Red/Blue Team** realizados por empresas brasileiras. ## Visão Geral **Cortex XSOAR** (anteriormente Demisto, adquirido pela Palo Alto Networks em 2019) é uma das principais plataformas SOAR (Security Orchestration, Automation and Response) do mercado. A plataforma combina automação via playbooks visuais, gerenciamento de casos de incidente, enriquecimento de threat intelligence e um marketplace com mais de 900 integrações prontas ("content packs"). **Principais características:** - **Designer visual de playbooks** - criação de fluxos de resposta via interface drag-and-drop, com suporte a scripts Python para lógica customizada - **War Room** - sala de investigação colaborativa onde analistas trabalham em conjunto em um incidente, com histórico completo de ações, evidências e comúnicações - **Threat Intelligence Management (TIM)** - módulo integrado para gerenciamento de feeds de IoCs, com deduplicação, scoring e distribuição para ferramentas de bloqueio - **Marketplace** - 900+ integrações incluindo SIEMs, firewalls, ticketing, cloud providers, EDRs e feeds de threat intel - Integração nativa com [[pan-os]], [[cortex-xdr]], WildFire e outros produtos Palo Alto **Dados do produto:** - Categoria: SOAR - Vendor: [[_palo-alto-networks|Palo Alto Networks]] - Linguagem: YAML (playbook definition) + Python (scripts de integração) - Deploy: on-premises, cloud (Cortex XSOAR Hosted) ou multi-tenant (para MSSPs) - Presença no Brasil/LATAM: Crescente - adotado por MSSPs brasileiros e grandes corporações ## Playbooks Os playbooks do Cortex XSOAR são definidos em **YAML** e editáveis via interface visual ou diretamente no código. Scripts Python customizados estendem as capacidades padrão para integrações não cobertas pelo marketplace. **Estrutura de um playbook típico:** 1. **Trigger** - alerta chega do SIEM ([[microsoft-sentinel]], Splunk) ou do [[cortex-xdr]] 2. **Enriquecimento** - consultar VirusTotal, Shodan, TIM local para contextualizar IoCs 3. **Decisão** - lógica condicional baseada em score de risco, tipo de ativo, hora do dia 4. **Resposta** - ações automatizadas conforme severidade 5. **Documentação** - registro automático no War Room + fechamento de ticket **Exemplo de fluxo - Exploração de PAN-OS detectada:** ``` Alerta: CVE exploit tentativa detectada em [[pan-os]] → Extrair IP de origem + payload → Enriquecer IP no VirusTotal + TIM → Se IP malicioso (score > 70): → Bloquear IP no [[pan-os]] via API (custom URL category + Security Policy) → Coletar logs de forensics do firewall → Isolar host interno afetado no [[cortex-xdr]] → Criar ticket no JIRA com contexto completo → Notificar SOC via Slack/Teams → Fechar incidente com relatório automático ``` **Playbooks prontos no marketplace para contexto CTI:** - **Phishing Investigation** - análise de e-mail, extração de IoCs, bloqueio de domínios - **Malware Analysis** - detonação via WildFire, correlação com [[cortex-xdr]], atualização de TIM - **CVE-Based Response** - identificar hosts vulneráveis, priorizar patching, bloquear exploits em trânsito - **Ransomware Containment** - isolamento de endpoints, coleta forense, revogação de credenciais ## Integração com Ameaças O Cortex XSOAR é a camada de orquestração que conecta detecção (SIEM/EDR) com resposta (firewall/EDR/ticketing). Para o contexto CTI do RunkIntel, os casos de uso mais relevantes: | Ameaça | Automação via XSOAR | |--------|-------------------| | [[cve-2024-3400\|CVE-2024-3400]] - PAN-OS RCE | Bloquear IP de origem no [[pan-os]], coletar forensics do GlobalProtect, isolar endpoint comprometido no [[cortex-xdr]] | | [[cve-2024-0012\|CVE-2024-0012]] - PAN-OS Auth Bypass | Lockdown da interface de gerenciamento, revogação de sessões ativas, notificação de emergência ao time de rede | | [[lockbit]] | Contenção imediata via [[cortex-xdr]] isolation, deleção de tarefas agendadas, coleta de IoCs para TIM | | [[s0154-cobalt-strike]] | Bloqueio de C2 (domínio/IP) no [[pan-os]], análise de beacon via WildFire, hunting em [[cortex-xdr]] | | [[g0016-apt29\|APT29 / Cozy Bear]] | Resposta a TTPs de exfiltração cloud: revogação OAuth tokens, bloqueio de destinos, coleta forense | | [[g1017-volt-typhoon\|Volt Typhoon]] | Detecção de LOLBins ([[t1070-indicator-removal\|T1070 - Indicator Removal]]), resposta a lateral movement via [[t1021-002-smb-windows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | ## MITRE ATT&CK Integration O Cortex XSOAR mapeia automaticamente incidentes a técnicas do **MITRE ATT&CK**, facilitando a análise de cobertura e geração de relatórios de ameaça para equipes de gestão. **Funcionalidades ATT&CK no XSOAR:** - Mapeamento automático de alertas a técnicas durante a execução do playbook - Integração com ATT&CK Navigator para visualização de cobertura de detecção - Relatórios de incidente incluem técnicas identificadas no kill chain **Técnicas frequentemente mapeadas em playbooks:** | Técnica | Contexto | |---------|---------| | [[t1070-indicator-removal\|T1070 - Indicator Removal]] | Limpeza de logs após exploração - [[g1017-volt-typhoon\|Volt Typhoon]], [[g0016-apt29\|APT29 / Cozy Bear]] | | [[t1090-proxy\|T1090 - Proxy]] | C2 via proxies - [[s0154-cobalt-strike]], [[g0032-lazarus-group\|Lazarus Group]] | | [[t1021-002-smb-windows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | Lateral movement - [[lockbit]], [[g0032-lazarus-group\|Lazarus Group]] | | [[t1190-exploit-public-facing-application\|T1190 - Exploit Public-Facing Application]] | Exploração de [[pan-os]], [[cve-2024-3400\|CVE-2024-3400]] | | [[t1059-command-scripting-interpreter\|T1059 - Command and Scripting Interpreter]] | Execução pós-exploração em múltiplos atores | ## Notas Relacionadas **Vendor:** [[_palo-alto-networks|Palo Alto Networks]] **Produtos relacionados:** [[cortex-xdr]] · [[pan-os]] · [[globalprotect]] · [[panorama]] **CVEs:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2024-0012|CVE-2024-0012]] **Atores:** [[g0016-apt29|APT29 / Cozy Bear]] · [[g1017-volt-typhoon|Volt Typhoon]] · [[g0032-lazarus-group|Lazarus Group]] **Malware:** [[s0154-cobalt-strike]] · [[lockbit]] **TTPs:** [[t1070-indicator-removal|T1070 - Indicator Removal]] · [[t1090-proxy|T1090 - Proxy]] · [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores:** [[financial]] · [[government]] · [[technology]]