TheHive

TheHive は、スケーラブルな 3-in-1 オープンソースの無料のセキュリティ インシデント対応プラットフォームで、SOC、CSIRT、CERT、および迅速に調査して対応する必要があるセキュリティ インシデントに対処する情報セキュリティ担当者の作業を容易にするように設計されています。 MISPとの完璧な組み合わせです。これを 1 つまたは複数の MISP インスタンスと同期して、MISP イベントから調査を開始できます。また、調査結果を MISP イベントとしてエクスポートして、対処した攻撃をピアが検出して対応できるようにすることもできます。さらに、TheHive を Cortex と組み合わせて使用​​すると、セキュリティ アナリストや研究者は、数百ではないにしても数十のオブザーバブルを簡単に分析できます。

TheHive の中心となるのはコラボレーションです。

1 つの組織の複数のアナリストが同じケースに同時に協力して作業できます。たとえば、あるアナリストはマルウェア分析に取り組み、別のアナリストは同僚によって IOC が追加されるとすぐにプロキシ ログ上の C2 ビーコン アクティビティの追跡に取り組むことがあります。 TheHive のライブ ストリームを使用すると、誰もがプラットフォームで何が起こっているかをリアルタイムで監視できます。

マルチテナンシーときめ細かいユーザー プロファイルにより、組織とアナリストは組織を超えて同じケースで作業し、共同作業することができます。たとえば、最初の組織が調査を開始して他のチームに貢献を求めたり、別の組織にエスカレーションしたりして、1 つのケースを作成することができます。

TheHive 内では、すべての調査が事件に対応します。ケースは、最初から作成することも、MISP イベント、SIEM アラート、電子メール レポート、その他の注目すべきセキュリティ イベントのソースから作成することもできます。

各ケースは 1 つ以上のタスクに分類できます。特定のタイプのケースが作成されるたびに同じタスクを追加する代わりに、アナリストは TheHive のテンプレート エンジンを使用してタスクを一度に作成できます。ケース テンプレートを使用して、チームの活動を推進し、多大な時間のかかる調査の種類を特定し、退屈なタスクの自動化を図るために、メトリクスを特定のケース タイプに関連付けることもできます。

各タスクを特定のアナリストに割り当てることができます。チームメンバーは、誰かがタスクを割り当てるのを待たずにタスクを担当することもできます。

タスクには複数の作業ログが含まれている場合があり、貢献するアナリストはこれを使用して、自分たちが何をしているのか、結果はどうなったのかを説明したり、証拠や注目すべきファイルを添付したりすることができます。ログはリッチ テキスト エディターまたはマークダウンを使用して書き込むことができます。

作成する各ケースに、数千ではないにしても 1 つまたは数百のオブザーバブルを追加できます。 MISP イベントからケースを作成することもできます。 TheHive は 1 つまたは複数の MISP インスタンスに非常に簡単にリンクでき、MISP イベントをプレビューして調査が必要かどうかを判断できます。調査が順調に進んでいる場合、アナリストはイベントを既存のケースに追加するか、カスタマイズ可能なテンプレートを使用して新しいケースとしてインポートできます。

TheHive の Python API クライアントである TheHive4py のおかげで、SIEM アラート、フィッシング、その他の不審な電子メール、その他のセキュリティ イベントを TheHive に送信することができます。これらは、新規または更新された MISP イベントとともにAlertsパネルに表示され、そこでプレビューしたり、ケースにインポートしたり、無視したりできます。

TheHive には、以前のケースですでに確認されたオブザーバブルを自動的に識別する機能があります。 Observable は、タグを使用して TLP およびそれらを提供または生成したソースに関連付けることもできます。アナリストは、オブザーバブルを IOC として簡単にマークし、検索クエリを使用してそれらを分離し、SIEM またはその他のデータ ストアでの検索用にエクスポートすることもできます。

アナリストは、OPSEC のニーズに応じて、1 つまたは複数の Cortex インスタンスのアナライザー (DomainTools、VirusTotal、PassiveTotal、Joe Sandbox、位置情報、脅威フィード ルックアップなど) を活用することで、数クリックで数十または数百のオブザーバブルを分析できます。

スクリプト作成の知識があるセキュリティ アナリストは、オブザーバブルまたは IOC に対して実行する必要があるアクションを自動化するために、独自のアナライザーを Cortex に簡単に追加できます。また、アナライザーが TLP に従ってどのように動作するかを決定することもできます。たとえば、関連付けられた TLP が白または緑の場合、監視可能として追加されたファイルは VirusTotal に送信できます。 AMBER の場合、そのハッシュは計算されて VT に送信されますが、ファイルには送信されません。 RED の場合、VT ルックアップは行われません。

TheHive を試すには、トレーニング VM を使用するか、インストール ガイドを読んでインストールします。

ドキュメント リポジトリでいくつかのガイドを利用できるようにしました。

TheHive には、特別なマルチテナント サポートが付属しています。これにより、次のような戦略が可能になります。

• サイロ化されたマルチテナントを使用する: 多くの組織は、データの共有を許可せずに定義できます。
• 協調的なマルチテナンシーを使用する: カスタム定義ユーザー プロファイル (RBAC) を使用して、一連の組織が特定のケース/タスク/オブザーバブルで共同作業できるようにすることができます。

TheHive には、一連の権限といくつかの事前構成されたユーザー プロファイルが付属しています。

• admin : プラットフォーム上の完全な管理権限。事件や捜査に関連するその他のデータを管理できません。
• org-admin : ユーザーとすべての組織レベルの設定を管理し、ケース、タスク、オブザーバブルを作成および編集し、アナライザーとレスポンダーを実行できます。
• analyst :ケース、タスク、オブザーバブルを作成および編集し、アナライザーとレスポンダーを実行できます。
• read-only : ケース、タスク、オブザーバブルの詳細の読み取りのみが可能です。

新しいプロファイルは、プラットフォームの管理者によって作成できます。

TheHive 4 は次の認証方法をサポートしています。

• ローカルアカウント
• アクティブディレクトリ
• LDAP
• 基本認証
• APIキー
• OAUTH2
• 多要素認証

TheHive には、アクティビティを推進し、予算リクエストをサポートするための有意義なダッシュボードを作成できる強力な統計モジュールが付属しています。

TheHive は、1 つまたは複数の MISP インスタンスからイベントをインポートするように構成できます。 TheHive を使用して、ケースを MISP イベントとして 1 つまたは複数の MISP サーバーにエクスポートすることもできます。

Cortex は TheHive に最適なコンパニオンです。 1 つまたは複数を使用して、観測値を大規模に分析します。

TheHive プロジェクトは、TheHive 用の無料のオープンソース Digital Shadows アラート フィーダーである DigitalShadows2TH を提供します。これを使用して、Digital Shadowsインシデントとインテリジェント インシデントをアラートとして TheHive にインポートし、プレビューして、事前定義されたインシデント対応テンプレートを使用して新しいケースに変換したり、既存のインシデントに追加したりできます。

Zerofox2TH は、TheHive Project によって作成された、TheHive 用の無料のオープンソース ZeroFOX アラート フィーダーです。これを使用して、ZeroFOX アラートを TheHive にフィードすることができます。そこで、アラートをプレビューして、事前定義されたインシデント対応テンプレートを使用して新しいケースに変換したり、既存のテンプレートに追加したりできます。

コミュニティによって共有されている多くの素晴らしい統合がそこにリストされる可能性があります。特定のものをお探しの場合は、既存の統合に関するすべての既知の詳細とリファレンスを含む専用リポジトリが頻繁に更新されます。https://github.com/TheHive-Project/awesome で見つけることができます。

TheHive は、AGPL (Affero General Public License) に基づいてリリースされたオープン ソースのフリー ソフトウェアです。私たち TheHive Project は、TheHive が長期的に無料のオープンソース プロジェクトであり続けるよう尽力します。

情報、ニュース、更新情報は、TheHive Project の Twitter アカウントとブログに定期的に投稿されます。

当社の行動規範をご覧ください。皆様のご投稿をお待ちしております。ご自由にコードをフォークしたり、遊んだり、パッチを作成したり、問題を介してプルリクエストを送信してください。

バグを報告したり、機能をリクエストしたりする場合は、GitHub で問題を開いてください。 Discordでもお手伝いさせていただきます。

プロジェクト チームに連絡する必要がある場合は、[email protected] に電子メールを送信してください。

重要な注意事項:

• TheHive4py に問題がある場合は、専用リポジトリで問題を開いてください。
• Cortex で問題が発生した場合、または Cortex 関連の機能をリクエストしたい場合は、専用の GitHub リポジトリで問題を開いてください。
• Cortex アナライザーに問題がある場合、または新しいアナライザーや既存のアナライザーの改善をリクエストしたい場合は、アナライザーの専用 GitHub リポジトリでイシューを開いてください。

https://groups.google.com/a/thehive-project.org/d/forum/users に Google フォーラムを開設しました。アクセスをリクエストするには、Google アカウントが必要です。 Gmail アドレスを使用して作成することも、Gmail アドレスを使用せずに作成することもできます。

https://thehive-project.org/