TheHive
4.1.24
TheHive adalah Platform Respons Insiden Keamanan 3-in-1 yang dapat diskalakan dan gratis yang dirancang untuk membuat hidup lebih mudah bagi SOC, CSIRT, CERT, dan praktisi keamanan informasi mana pun yang menangani insiden keamanan yang perlu diselidiki dan ditindaklanjuti dengan cepat. Ini adalah teman yang sempurna untuk MISP. Anda dapat menyinkronkannya dengan satu atau beberapa instans MISP untuk memulai penyelidikan peristiwa MISP. Anda juga dapat mengekspor hasil investigasi sebagai peristiwa MISP untuk membantu rekan Anda mendeteksi dan bereaksi terhadap serangan yang Anda hadapi. Selain itu, ketika TheHive digunakan bersama dengan Cortex, analis dan peneliti keamanan dapat dengan mudah menganalisis puluhan bahkan ratusan observasi.
Kolaborasi adalah inti dari TheHive.
Beberapa analis dari satu organisasi dapat bekerja sama dalam kasus yang sama secara bersamaan. Misalnya, seorang analis mungkin menangani analisis malware sementara yang lain mungkin berupaya melacak aktivitas suar C2 pada log proksi segera setelah IOC ditambahkan oleh rekan kerjanya. Dengan menggunakan streaming langsung TheHive, semua orang dapat memantau apa yang terjadi di platform secara real-time.
Profil pengguna multi-tenancy dan detail memungkinkan organisasi dan analis bekerja dan berkolaborasi dalam kasus yang sama di seluruh organisasi. Misalnya, satu kasus dapat dibuat oleh organisasi pertama yang memulai penyelidikan dan meminta kontribusi dari tim lain atau meneruskannya ke organisasi lain.
Di TheHive, setiap investigasi terkait dengan sebuah kasus. Kasus dapat dibuat dari awal atau dari peristiwa MISP, peringatan SIEM, laporan email, dan sumber peristiwa keamanan penting lainnya.
Setiap kasus dapat dipecah menjadi satu atau lebih tugas. Daripada menambahkan tugas yang sama ke jenis kasus tertentu setiap kali kasus dibuat, analis dapat menggunakan mesin template TheHive untuk membuatnya untuk selamanya. Templat kasus juga dapat digunakan untuk mengaitkan metrik dengan jenis kasus tertentu guna mendorong aktivitas tim, mengidentifikasi jenis investigasi yang memerlukan banyak waktu, dan berupaya mengotomatiskan tugas-tugas yang membosankan.
Setiap tugas dapat diberikan kepada analis tertentu. Anggota tim juga dapat mengambil alih suatu tugas tanpa menunggu seseorang menugaskannya kepada mereka.
Tugas mungkin berisi beberapa log kerja yang dapat digunakan oleh analis yang berkontribusi untuk menjelaskan apa yang mereka lakukan, apa hasilnya, melampirkan bukti atau file penting, dan sebagainya. Log dapat ditulis menggunakan editor teks kaya atau Markdown.
Anda dapat menambahkan satu atau ratusan bahkan ribuan observasi ke setiap kasus yang Anda buat. Anda juga dapat membuat kasus dari kejadian MISP. TheHive dapat dengan mudah dihubungkan ke satu atau beberapa kejadian MISP dan kejadian MISP dapat dipratinjau untuk memutuskan apakah kejadian tersebut memerlukan penyelidikan atau tidak. Jika penyelidikan dilakukan, analis kemudian dapat menambahkan peristiwa tersebut ke kasus yang sudah ada atau mengimpornya sebagai kasus baru menggunakan templat yang dapat disesuaikan.
Berkat TheHive4py, klien API Python TheHive, dimungkinkan untuk mengirim peringatan SIEM, phishing, dan email mencurigakan lainnya serta peristiwa keamanan lainnya ke TheHive. Peristiwa tersebut akan muncul di panel Alerts bersama dengan peristiwa MISP yang baru atau diperbarui, di mana peristiwa tersebut dapat dipratinjau, diimpor ke dalam kasus, atau diabaikan.
TheHive memiliki kemampuan untuk secara otomatis mengidentifikasi observasi yang telah dilihat dalam kasus sebelumnya. Observable juga dapat dikaitkan dengan TLP dan sumber yang menyediakan atau menghasilkannya menggunakan tag. Analis juga dapat dengan mudah menandai observasi sebagai IOC dan mengisolasinya menggunakan kueri penelusuran, lalu mengekspornya untuk penelusuran di SIEM atau penyimpanan data lainnya.
Analis dapat menganalisis puluhan atau ratusan observasi dalam beberapa klik dengan memanfaatkan penganalisis satu atau beberapa instans Cortex tergantung pada kebutuhan OPSEC Anda: DomainTools, VirusTotal, PassiveTotal, Joe Sandbox, geolokasi, pencarian umpan ancaman, dan sebagainya.
Analis keamanan dengan kemampuan membuat skrip dapat dengan mudah menambahkan penganalisis mereka sendiri ke Cortex untuk mengotomatiskan tindakan yang harus dilakukan pada observasi atau IOC. Mereka juga dapat memutuskan bagaimana penganalisis berperilaku menurut TLP. Misalnya, file yang ditambahkan sebagai dapat diamati dapat dikirimkan ke VirusTotal jika TLP terkait berwarna PUTIH atau HIJAU. Jika AMBER, hashnya dihitung dan dikirimkan ke VT tetapi tidak ke file. Jika warnanya MERAH, pencarian VT tidak dilakukan.
Untuk mencoba TheHive, Anda dapat menggunakan VM pelatihan atau menginstalnya dengan membaca Panduan Instalasi.
Kami telah menyediakan beberapa panduan di gudang Dokumentasi.
TheHive hadir dengan dukungan multi-tenancy khusus. Hal ini memungkinkan strategi berikut:
TheHive hadir dengan serangkaian izin dan beberapa profil pengguna yang telah dikonfigurasi sebelumnya:
admin : izin administratif penuh pada platform; tidak dapat mengelola Perkara atau data lain yang berkaitan dengan penyidikan;org-admin : mengelola pengguna dan semua konfigurasi tingkat organisasi, dapat membuat dan mengedit Kasus, Tugas, Observable, dan menjalankan Penganalisis dan Responder;analyst : dapat membuat dan mengedit Kasus , Tugas , Observable dan menjalankan Analisa & Responder ;read-only : Hanya dapat membaca detail Kasus, Tugas, dan Observasi;Profil baru dapat dibuat oleh administrator platform.
TheHive 4 mendukung metode otentikasi:
TheHive hadir dengan modul statistik canggih yang memungkinkan Anda membuat dasbor yang bermakna untuk mendorong aktivitas dan mendukung permintaan anggaran Anda.
TheHive dapat dikonfigurasi untuk mengimpor peristiwa dari satu atau beberapa contoh MISP. Anda juga dapat menggunakan TheHive untuk mengekspor kasus sebagai peristiwa MISP ke satu atau beberapa server MISP.
Cortex adalah teman yang sempurna untuk TheHive. Gunakan satu atau beberapa untuk menganalisis observasi dalam skala besar.
Proyek TheHive menyediakan DigitalShadows2TH, pengumpan peringatan Digital Shadows sumber terbuka dan gratis untuk TheHive. Anda dapat menggunakannya untuk mengimpor insiden Digital Shadows dan insiden intelijen sebagai peringatan di TheHive, di mana insiden tersebut dapat dipratinjau dan diubah menjadi kasus baru menggunakan templat respons insiden yang telah ditentukan sebelumnya atau ditambahkan ke templat yang sudah ada.
Zerofox2TH adalah pengumpan peringatan ZeroFOX sumber terbuka dan gratis untuk TheHive, yang ditulis oleh TheHive Project. Anda dapat menggunakannya untuk memasukkan peringatan ZeroFOX ke TheHive, di mana peringatan tersebut dapat dipratinjau dan diubah menjadi kasus baru menggunakan templat respons insiden yang telah ditentukan sebelumnya atau ditambahkan ke templat yang sudah ada.
Banyak integrasi luar biasa yang dibagikan oleh komunitas dapat dicantumkan di sana. Jika Anda mencari yang spesifik, repositori khusus yang berisi semua detail dan referensi yang diketahui tentang integrasi yang ada akan diperbarui secara berkala, dan dapat ditemukan di sini: https://github.com/TheHive-Project/awesome.
TheHive adalah perangkat lunak sumber terbuka dan gratis yang dirilis di bawah AGPL (Affero General Public License). Kami, Proyek TheHive, berkomitmen untuk memastikan bahwa TheHive akan tetap menjadi proyek sumber terbuka dan gratis dalam jangka panjang.
Informasi, berita, dan pembaruan secara rutin diposting di akun Twitter TheHive Project dan di blog.
Silakan lihat Kode Etik kami. Kami menyambut kontribusi Anda. Silakan membagi kodenya, memainkannya, membuat beberapa tambalan, dan mengirimkan permintaan penarikan kepada kami melalui masalah.
Silakan buka masalah di GitHub jika Anda ingin melaporkan bug atau meminta fitur. Kami juga tersedia di Discord untuk membantu Anda.
Jika Anda perlu menghubungi tim proyek, kirim email ke [email protected].
Catatan Penting :
Kami telah menyiapkan forum Google di https://groups.google.com/a/thehive-project.org/d/forum/users. Untuk meminta akses, Anda memerlukan akun Google. Anda dapat membuatnya menggunakan alamat Gmail atau tanpa alamat tersebut.
https://thehive-project.org/
