INTÉGRATION CORTEX n8n : AUTOMATISER CORTEX AVEC N8N
INTÉGRATION CORTEX N8N : AUTOMATISER CORTEX AVEC N8N
Besoin d'aide pour automatiser Cortex avec n8n ?
Notre équipe vous répond en quelques minutes.
Why automate Cortex with n8n?
L'intégration Cortex n8n met à votre disposition 3 actions pour automatiser vos opérations de sécurité. Concrètement, vous pouvez récupérer des informations sur vos jobs d'analyse, obtenir des rapports détaillés, et exécuter des responders pour déclencher des actions de réponse automatique sur vos entités surveillées.
Les bénéfices sont considérables pour votre équipe sécurité. Gain de temps majeur : plus besoin de basculer manuellement entre Cortex et vos autres outils pour suivre l'état de vos analyses. Réactivité décuplée : intégrez les résultats de Cortex dans des chaînes d'automatisation qui déclenchent instantanément les actions appropriées. Traçabilité complète : chaque job, chaque rapport, chaque exécution de responder est orchestré et documenté dans vos workflows n8n.
Voici des exemples de workflows que vous pouvez construire : récupérer automatiquement le rapport d'un job Cortex dès qu'une analyse est terminée et l'envoyer dans Slack, exécuter un responder de blocage IP quand un indicateur malveillant est détecté, synchroniser les résultats d'analyse Cortex avec votre SIEM ou votre plateforme de ticketing, ou encore créer des dashboards de suivi en temps réel de vos jobs d'analyse. En automatisant Cortex avec n8n, vous passez d'une posture réactive à une défense proactive et orchestrée.
How to connect Cortex to n8n?
! 1 stepHow to connect Cortex to n8n?
- 01
Add the node
Search and add the node in your workflow.
TIP💡 TIPS : Créez une API Key dédiée à n8n avec des permissions limitées aux opérations dont vous avez besoin. Cela renforce la sécurité et facilite l'audit des actions automatisées. Pensez également à documenter dans votre gestionnaire de secrets quelle clé est utilisée par quel système.- 01
Besoin d'aide pour automatiser Cortex avec n8n ?
Notre équipe vous répond en quelques minutes.
Cortex actions available in n8n
01 Action 01Responder - Execute
Cette action exécute un responder Cortex sur une entité spécifique. Les responders sont des actions de réponse automatique — blocage d'IP, désactivation de compte, envoi de notifications, etc. C'est l'action qui transforme vos analyses en réponses concrètes.
Paramètres de configuration :
- Credential to connect with : Menu déroulant pour sélectionner vos identifiants Cortex. Ce paramètre est requis pour authentifier la requête API.
- Resource : Défini sur "Responder" pour cibler les responders.
- Operation : Défini sur "Execute" pour déclencher l'exécution.
- Responder Type Name or ID : Champ texte pour spécifier le responder à exécuter (par nom ou ID). Paramètre optionnel mais nécessaire pour identifier le responder.
- Entity Type Name or ID : Champ texte pour définir le type d'entité sur lequel le responder doit agir. Paramètre optionnel.
- JSON Parameters : Interrupteur on/off permettant de passer les paramètres en JSON brut au lieu des champs individuels. Offre plus de flexibilité pour les configurations avancées.
Cas d'usage typiques :
- Bloquer automatiquement une IP malveillante détectée par un analyzer
- Désactiver un compte utilisateur compromis dans votre Active Directory
- Envoyer une notification d'alerte à l'équipe SOC via un responder personnalisé
- Déclencher un playbook de confinement sur un endpoint infecté
Activez le mode "JSON Parameters" quand vous devez passer des paramètres complexes ou dynamiques à vos responders. Cela vous permet de construire le payload complet via les expressions n8n.
02 Action 02Get a job report
Cette action récupère le rapport complet d'un job Cortex terminé. C'est l'action clé pour exploiter les résultats de vos analyses — enrichissement d'IOC, analyse de malware, ou tout autre analyzer configuré dans Cortex.
Paramètres de configuration :
- Credential to connect with : Menu déroulant pour sélectionner vos identifiants Cortex. Ce paramètre est requis.
- Resource : Défini sur "Job" pour cibler les jobs.
- Operation : Défini sur "Report" pour récupérer le rapport associé au job.
- Job ID : Champ texte pour l'identifiant du job dont vous voulez le rapport. Ce paramètre est requis et supporte les expressions.
Cas d'usage typiques :
- Extraire les résultats d'un analyzer (VirusTotal, AbuseIPDB, etc.) pour enrichir vos alertes
- Envoyer automatiquement un rapport d'analyse dans un canal Slack ou Teams
- Alimenter une base de données threat intelligence avec les résultats Cortex
- Générer des tickets de sécurité pré-remplis avec les findings de l'analyse
Combinez cette action avec "Get a job" pour d'abord vérifier que le job est terminé avant de récupérer son rapport.
03 Action 03Get a job
Cette action vous permet de récupérer les informations détaillées d'un job d'analyse spécifique dans Cortex. Elle est essentielle pour suivre l'état de vos analyses en cours et vérifier si un job est terminé avant d'en exploiter les résultats.
Paramètres de configuration :
- Credential to connect with : Menu déroulant pour sélectionner vos identifiants Cortex. Ce paramètre est requis pour authentifier la requête API.
- Resource : Défini sur "Job" pour indiquer que l'action opère sur les jobs Cortex.
- Operation : Défini sur "Get" pour récupérer les informations d'un job unique.
- Job ID : Champ texte où vous spécifiez l'identifiant unique du job à récupérer. Ce paramètre est requis et accepte les expressions n8n pour un ID dynamique.
Cas d'usage typiques :
- Vérifier le statut d'un job (pending, running, success, failure) avant de continuer un workflow
- Récupérer les métadonnées d'un job pour les logger ou les archiver
- Conditionner la suite d'un workflow selon l'état du job récupéré
Cette action est particulièrement utile en combinaison avec un nœud IF pour créer des branches conditionnelles basées sur le statut du job.
Construis ton premier workflow avec notre équipe
Laisse ton email et on t'envoie le catalogue d'automatisations à shipper aujourd'hui.
- Scénarios n8n & Make gratuits à importer
- Docs de setup pas à pas
- Cohorte live + support communauté
Questions fréquentes
L'intégration Cortex n8n est-elle gratuite ?
L'intégration Cortex est incluse nativement dans n8n sans coût supplémentaire. Si vous utilisez n8n self-hosted (version open source), l'intégration est entièrement gratuite. Pour n8n Cloud, elle est incluse dans tous les plans. Côté Cortex, vous devez disposer d'une instance Cortex fonctionnelle — soit auto-hébergée (gratuit), soit via TheHive Project. Les seuls coûts potentiels concernent les analyzers tiers qui peuvent nécessiter des API keys payantes (VirusTotal Premium, etc.).Quelles données puis-je récupérer et manipuler entre Cortex et n8n ?
Avec l'intégration Cortex n8n, vous pouvez récupérer les informations complètes de vos jobs d'analyse (statut, timestamps, paramètres), obtenir les rapports détaillés générés par les analyzers (résultats d'enrichissement, scores de réputation, détections), et exécuter des responders sur vos entités. Les données transitent au format JSON, ce qui permet de les parser facilement dans n8n pour extraire les champs pertinents et les injecter dans d'autres applications de votre stack comme HubSpot ou Notion (SIEM, ticketing, communication).Combien de temps prend la configuration de l'intégration Cortex n8n ?
La configuration initiale prend généralement 5 à 10 minutes. La majeure partie du temps est consacrée à générer et configurer l'API Key dans Cortex. Une fois vos credentials enregistrés dans n8n, chaque nouvelle action Cortex dans vos workflows se configure en quelques secondes — il suffit de sélectionner le credential existant et de renseigner les paramètres spécifiques (Job ID, Responder Type). Pour un premier workflow fonctionnel de bout en bout, comptez environ 30 minutes en incluant les tests. Si vous souhaitez approfondir vos compétences, découvrez notre formation n8n complète.
