الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

TheHive عبارة عن منصة مفتوحة المصدر 3 في 1 وقابلة للتطوير ومنصة مجانية للاستجابة للحوادث الأمنية مصممة لتسهيل الحياة بالنسبة إلى SOCs وCSIRTs وCERTs وأي ممارس لأمن المعلومات يتعامل مع الحوادث الأمنية التي تحتاج إلى التحقيق فيها والتصرف بناءً عليها بسرعة. إنه الرفيق المثالي لمجموعة MISP. يمكنك مزامنتها مع مثيلات MISP واحدة أو عدة مثيلات لبدء التحقيقات في أحداث MISP. يمكنك أيضًا تصدير نتائج التحقيق كحدث MISP لمساعدة أقرانك على اكتشاف الهجمات التي تعاملت معها والرد عليها. بالإضافة إلى ذلك، عند استخدام TheHive مع Cortex، يمكن لمحللي الأمن والباحثين تحليل العشرات إن لم يكن المئات من العناصر القابلة للرصد بسهولة.

عرض الحالات الحالية

التعاون

التعاون هو جوهر TheHive.

يمكن للعديد من المحللين من مؤسسة واحدة العمل معًا في نفس الحالة في وقت واحد. على سبيل المثال، قد يتعامل أحد المحللين مع تحليل البرامج الضارة بينما قد يعمل آخر على تتبع نشاط إشارات C2 على سجلات الوكيل بمجرد إضافة بطاقات IOC بواسطة زميله في العمل. باستخدام البث المباشر لـTheHive، يمكن للجميع مراقبة ما يحدث على المنصة في الوقت الفعلي.

تتيح ملفات تعريف المستخدمين متعددة الإيجارات والتفاصيل الدقيقة للمؤسسات والمحللين العمل والتعاون في نفس الحالة عبر المؤسسات. على سبيل المثال، يمكن إنشاء حالة واحدة بواسطة منظمة أولى تبدأ التحقيق وتطلب المساهمة من الفرق الأخرى أو تصعد إلى منظمة أخرى.

يشرح

داخل TheHive، كل تحقيق يتوافق مع قضية ما. يمكن إنشاء الحالات من البداية أو من أحداث MISP وتنبيهات SIEM وتقارير البريد الإلكتروني وأي مصدر آخر جدير بالملاحظة للأحداث الأمنية.

يمكن تقسيم كل حالة إلى مهمة واحدة أو أكثر. بدلاً من إضافة نفس المهام إلى نوع معين من الحالات في كل مرة يتم فيها إنشاء حالة، يمكن للمحللين استخدام محرك قالب TheHive لإنشائها مرة واحدة وإلى الأبد. يمكن أيضًا استخدام قوالب الحالة لربط المقاييس بأنواع حالات محددة من أجل توجيه نشاط الفريق وتحديد نوع التحقيقات التي تستغرق وقتًا طويلاً والسعي إلى أتمتة المهام الشاقة.

يمكن تعيين كل مهمة لمحلل معين. يمكن لأعضاء الفريق أيضًا تولي مهمة ما دون انتظار قيام شخص ما بتعيينها لهم.

قد تحتوي المهام على سجلات عمل متعددة يمكن للمحللين المساهمين استخدامها لوصف ما يعتزمون فعله، وما هي النتيجة، وإرفاق أجزاء من الأدلة أو الملفات الجديرة بالملاحظة وما إلى ذلك. يمكن كتابة السجلات باستخدام محرر نص منسق أو Markdown.

تحليل

يمكنك إضافة واحد أو مئات إن لم يكن الآلاف من العناصر القابلة للملاحظة لكل حالة تقوم بإنشائها. يمكنك أيضًا إنشاء حالة من حدث MISP. يمكن ربط TheHive بسهولة بواحد أو أكثر من مثيلات MISP ويمكن معاينة أحداث MISP لتحديد ما إذا كانت تستدعي إجراء تحقيق أم لا. إذا كان التحقيق سليمًا، فيمكن للمحلل بعد ذلك إضافة الحدث إلى حالة موجودة أو استيراده كحالة جديدة باستخدام قالب قابل للتخصيص.

بفضل TheHive4py، عميل Python API الخاص بـ TheHive، من الممكن إرسال تنبيهات SIEM والتصيد الاحتيالي ورسائل البريد الإلكتروني المشبوهة الأخرى والأحداث الأمنية الأخرى إلى TheHive. وستظهر في لوحة Alerts الخاصة بها جنبًا إلى جنب مع أحداث MISP الجديدة أو المحدثة، حيث يمكن معاينتها أو استيرادها إلى الحالات أو تجاهلها.

جزء التنبيهات

يتمتع TheHive بالقدرة على التعرف تلقائيًا على الأشياء التي يمكن ملاحظتها والتي تمت رؤيتها بالفعل في الحالات السابقة. يمكن أيضًا ربط العناصر القابلة للملاحظة بـ TLP والمصدر الذي قدمها أو أنشأها باستخدام العلامات. يمكن للمحلل أيضًا وضع علامة بسهولة على العناصر التي يمكن ملاحظتها على أنها IOCs وعزل تلك التي تستخدم استعلام بحث ثم تصديرها للبحث في SIEM أو مخازن البيانات الأخرى.

يمكن للمحللين تحليل عشرات أو مئات من الأشياء التي يمكن ملاحظتها ببضع نقرات من خلال الاستفادة من محللي مثيل واحد أو أكثر من مثيلات Cortex اعتمادًا على احتياجات OPSEC الخاصة بك: DomainTools وVirusTotal وPassiveTotal وJoe Sandbox وتحديد الموقع الجغرافي وعمليات البحث في موجز التهديدات وما إلى ذلك.

يمكن لمحللي الأمن الذين يتمتعون بموهبة البرمجة النصية إضافة محلليهم بسهولة إلى Cortex من أجل أتمتة الإجراءات التي يجب تنفيذها على العناصر القابلة للملاحظة أو IOCs. يمكنهم أيضًا تحديد كيفية تصرف المحللين وفقًا لـ TLP. على سبيل المثال، يمكن إرسال ملف تمت إضافته كملف يمكن ملاحظته إلى VirusTotal إذا كان TLP المرتبط به هو WHITE أو GREEN. إذا كان AMBER، فسيتم حساب التجزئة الخاصة به وإرسالها إلى VT ولكن ليس الملف. إذا كان باللون الأحمر، فلن يتم إجراء بحث VT.

جربه

لتجربة TheHive، يمكنك استخدام الجهاز الافتراضي للتدريب أو تثبيته من خلال قراءة دليل التثبيت.

تفاصيل

التوثيق

لقد قمنا بتوفير العديد من الأدلة في مستودع الوثائق.

الميزات الرئيسية

متعدد الإيجار

يأتي TheHive مزودًا بدعم خاص متعدد الإيجارات. يسمح بالاستراتيجيات التالية:

  • استخدام نظام إيجار متعدد منعزل: يمكن تعريف العديد من المؤسسات دون السماح لها بمشاركة البيانات؛
  • استخدام تعاون متعدد المستأجرين: يمكن السماح لمجموعة من المؤسسات بالتعاون في حالات/مهام/عناصر قابلة للملاحظة، باستخدام ملفات تعريف المستخدمين المحددة حسب الطلب (RBAC).

RBAC

يأتي TheHive مع مجموعة من الأذونات والعديد من ملفات تعريف المستخدمين التي تم تكوينها مسبقًا:

  • admin : أذونات إدارية كاملة على المنصة ; لا يمكنه إدارة أي قضايا أو بيانات أخرى تتعلق بالتحقيقات؛
  • org-admin : إدارة المستخدمين وجميع التكوينات على مستوى المؤسسة، ويمكنه إنشاء وتحرير الحالات والمهام والعناصر القابلة للملاحظة وتشغيل المحللين والمستجيبين؛
  • analyst : يمكنه إنشاء وتحرير الحالات والمهام والملاحظات وتشغيل المحللين والمستجيبين ؛
  • read-only : يمكنه فقط قراءة تفاصيل الحالات والمهام والملاحظات؛

يمكن لمسؤولي النظام الأساسي إنشاء ملفات تعريف جديدة.

المصادقة

يدعم TheHive 4 طرق المصادقة:

  • الحسابات المحلية
  • الدليل النشط
  • لداب
  • المصادقة الأساسية
  • مفاتيح واجهة برمجة التطبيقات
  • OAUTH2
  • مصادقة متعددة العوامل

الإحصائيات ولوحات المعلومات

يأتي TheHive مزودًا بوحدة إحصائيات قوية تتيح لك إنشاء لوحات معلومات ذات معنى لتوجيه نشاطك ودعم طلبات ميزانيتك.

التكامل

MISP والقشرة

يمكن تكوين TheHive لاستيراد الأحداث من مثيلات MISP واحدة أو عدة مثيلات. يمكنك أيضًا استخدام TheHive لتصدير الحالات كأحداث MISP إلى واحد أو أكثر من خوادم MISP.

Cortex هو الرفيق المثالي لـ TheHive. استخدم واحدة أو أكثر لتحليل الأشياء القابلة للملاحظة على نطاق واسع.

التكامل مع الظلال الرقمية

يوفر مشروع TheHive برنامج DigitalShadows2TH، وهو عبارة عن وحدة تغذية تنبيهات Digital Shadows مجانية ومفتوحة المصدر لـ TheHive. يمكنك استخدامه لاستيراد حوادث الظلال الرقمية وحوادث المعلومات كتنبيهات في TheHive، حيث يمكن معاينتها وتحويلها إلى حالات جديدة باستخدام قوالب الاستجابة للحوادث المحددة مسبقًا أو إضافتها إلى الحالات الموجودة.

التكامل مع زيروفوكس

Zerofox2TH عبارة عن وحدة تغذية تنبيهات ZeroFOX مجانية ومفتوحة المصدر لـ TheHive، كتبها TheHive Project. يمكنك استخدامه لتغذية تنبيهات ZeroFOX إلى TheHive، حيث يمكن معاينتها وتحويلها إلى حالات جديدة باستخدام قوالب الاستجابة للحوادث المحددة مسبقًا أو إضافتها إلى الحالات الموجودة.

وغيرها الكثير

يمكن إدراج الكثير من عمليات التكامل الرائعة التي شاركها المجتمع هناك. إذا كنت تبحث عن مستودع محدد، فسيتم تحديث مستودع مخصص يحتوي على جميع التفاصيل والمراجع المعروفة حول عمليات التكامل الحالية بشكل متكرر، ويمكن العثور عليه هنا: https://github.com/TheHive-Project/awesome.

رخصة

TheHive هو برنامج مفتوح المصدر ومجاني تم إصداره بموجب AGPL (رخصة Affero العامة). نحن، TheHive Project، ملتزمون بضمان بقاء TheHive مشروعًا مجانيًا ومفتوح المصدر على المدى الطويل.

التحديثات

يتم نشر المعلومات والأخبار والتحديثات بانتظام على حساب TheHive Project Twitter وعلى المدونة.

المساهمة

يرجى الاطلاع على قواعد السلوك لدينا. نحن نرحب بمساهماتكم. لا تتردد في تفرع الكود واللعب به وإجراء بعض التصحيحات وإرسال طلبات السحب إلينا عبر المشكلات.

يدعم

الرجاء فتح مشكلة على GitHub إذا كنت ترغب في الإبلاغ عن خطأ أو طلب ميزة. نحن متواجدون أيضًا على Discord لمساعدتك.

إذا كنت بحاجة إلى الاتصال بفريق المشروع، أرسل بريدًا إلكترونيًا إلى [email protected].

ملاحظة هامة :

  • إذا كانت لديك مشكلات مع TheHive4py، فيرجى فتح مشكلة في المستودع المخصص لها.
  • إذا واجهت مشكلة مع Cortex أو كنت ترغب في طلب ميزة متعلقة بـ Cortex، فيرجى فتح مشكلة في مستودع GitHub المخصص لها.
  • إذا كانت لديك مشكلات مع محلل Cortex أو كنت ترغب في طلب محلل جديد أو تحسين لمحلل موجود، فيرجى فتح مشكلة في مستودع GitHub المخصص للمحللين.

المناقشات المجتمعية

لقد أنشأنا منتدى Google على https://groups.google.com/a/thehive-project.org/d/forum/users. لطلب الوصول، تحتاج إلى حساب Google. يمكنك إنشاء واحد باستخدام عنوان Gmail أو بدونه.

موقع إلكتروني

https://thehive-project.org/

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل