TheHive는 신속하게 조사하고 조치를 취해야 하는 보안 사고를 다루는 SOC, CSIRT, CERT 및 모든 정보 보안 실무자의 삶을 더 쉽게 만들기 위해 설계된 확장 가능한 3-in-1 오픈 소스이자 무료 보안 사고 대응 플랫폼입니다. MISP의 완벽한 동반자입니다. 하나 이상의 MISP 인스턴스와 동기화하여 MISP 이벤트 조사를 시작할 수 있습니다. 조사 결과를 MISP 이벤트로 내보내 동료가 처리한 공격을 감지하고 대응하는 데 도움을 줄 수도 있습니다. 또한 TheHive를 Cortex와 함께 사용하면 보안 분석가와 연구원은 수백 개가 아니라도 수십 개의 관찰 가능 항목을 쉽게 분석할 수 있습니다.
협업은 TheHive의 핵심입니다.
한 조직의 여러 분석가가 동일한 사례에 대해 동시에 협력할 수 있습니다. 예를 들어, 분석가는 악성 코드 분석을 처리하고 다른 분석가는 동료가 IOC를 추가하자마자 프록시 로그에서 C2 비커닝 활동을 추적하는 작업을 수행할 수 있습니다. TheHive의 라이브 스트림을 사용하면 누구나 플랫폼에서 일어나는 일을 실시간으로 확인할 수 있습니다.
멀티 테넌시 및 세분화된 사용자 프로필을 통해 조직과 분석가는 조직 전체에서 동일한 사례에 대해 작업하고 협업할 수 있습니다. 예를 들어, 조사를 시작하고 다른 팀에 기여를 요청하거나 다른 조직으로 에스컬레이션하는 첫 번째 조직에서 하나의 사례를 생성할 수 있습니다.
TheHive 내에서 모든 조사는 하나의 사례에 해당합니다. 케이스는 처음부터 생성되거나 MISP 이벤트, SIEM 경고, 이메일 보고서 및 기타 주목할만한 보안 이벤트 소스로부터 생성될 수 있습니다.
각 사례는 하나 이상의 작업으로 나눌 수 있습니다. 분석가는 사례가 생성될 때마다 주어진 유형의 사례에 동일한 작업을 추가하는 대신 TheHive의 템플릿 엔진을 사용하여 사례를 한 번에 모두 생성할 수 있습니다. 사례 템플릿을 사용하면 팀의 활동을 촉진하고 상당한 시간이 걸리는 조사 유형을 식별하며 지루한 작업을 자동화하기 위해 측정항목을 특정 사례 유형에 연결할 수도 있습니다.
각 작업은 특정 분석가에게 할당될 수 있습니다. 팀 구성원은 누군가가 작업을 할당할 때까지 기다리지 않고 작업을 담당할 수도 있습니다.
작업에는 기여 분석가가 자신의 현재 상태, 결과를 설명하고 증거나 주목할만한 파일을 첨부하는 데 사용할 수 있는 여러 작업 로그가 포함될 수 있습니다. 서식 있는 텍스트 편집기나 Markdown을 사용하여 로그를 작성할 수 있습니다.
생성한 각 사례에 하나 또는 수천 개의 관찰 가능 항목을 추가할 수 있습니다. MISP 이벤트에서 케이스를 생성할 수도 있습니다. TheHive는 하나 또는 여러 개의 MISP 인스턴스에 매우 쉽게 연결될 수 있으며 MISP 이벤트를 미리 보고 조사가 필요한지 여부를 결정할 수 있습니다. 조사가 제대로 진행되면 분석가는 이벤트를 기존 사례에 추가하거나 사용자 정의 가능한 템플릿을 사용하여 새 사례로 가져올 수 있습니다.
TheHive의 Python API 클라이언트인 TheHive4py 덕분에 SIEM 경고, 피싱 및 기타 의심스러운 이메일과 기타 보안 이벤트를 TheHive로 보낼 수 있습니다. 이는 신규 또는 업데이트된 MISP 이벤트와 함께 Alerts
패널에 표시되며, 여기서 미리 보거나 사례로 가져오거나 무시할 수 있습니다.
TheHive에는 이전 사례에서 이미 본 관찰 가능 항목을 자동으로 식별하는 기능이 있습니다. Observable은 TLP 및 태그를 사용하여 이를 제공하거나 생성한 소스와 연관될 수도 있습니다. 또한 분석가는 관찰 가능 항목을 IOC로 쉽게 표시하고 검색 쿼리를 사용하여 이를 분리한 다음 SIEM 또는 기타 데이터 저장소에서 검색하기 위해 내보낼 수 있습니다.
분석가는 OPSEC 요구 사항에 따라 DomainTools, VirusTotal, PassiveTotal, Joe Sandbox, 지리적 위치, 위협 피드 조회 등 하나 또는 여러 Cortex 인스턴스의 분석기를 활용하여 몇 번의 클릭만으로 수십 또는 수백 개의 관찰 가능 항목을 분석할 수 있습니다.
스크립팅에 능숙한 보안 분석가는 관찰 가능 항목 또는 IOC에서 수행해야 하는 작업을 자동화하기 위해 Cortex에 자체 분석기를 쉽게 추가할 수 있습니다. 또한 TLP에 따라 분석기가 작동하는 방식을 결정할 수도 있습니다. 예를 들어, 연관된 TLP가 WHITE 또는 GREEN인 경우 관찰 가능 항목으로 추가된 파일을 VirusTotal에 제출할 수 있습니다. AMBER인 경우 해시가 계산되어 VT에 제출되지만 파일에는 제출되지 않습니다. 빨간색인 경우 VT 조회가 수행되지 않습니다.
TheHive를 사용해 보려면 교육용 VM을 사용하거나 설치 가이드를 읽어 설치하면 됩니다.
우리는 문서 저장소에 여러 가지 가이드를 제공했습니다.
TheHive에는 특별한 다중 테넌트 지원이 제공됩니다. 다음과 같은 전략이 가능합니다.
TheHive에는 일련의 권한과 사전 구성된 여러 사용자 프로필이 함께 제공됩니다.
admin
: 플랫폼에 대한 전체 관리 권한; 사건이나 조사와 관련된 기타 데이터를 관리할 수 없습니다.org-admin
: 사용자 및 모든 조직 수준 구성을 관리하고 사례, 작업, 관찰 가능 항목을 생성 및 편집하고 분석기 및 응답자를 실행할 수 있습니다.analyst
: 사례 , 작업 , 관찰 가능 항목을 생성 및 편집하고 분석기 및 응답자를 실행할 수 있습니다.read-only
: Cases, Tasks 및 Observables 세부정보를 읽을 수만 있습니다.플랫폼 관리자가 새 프로필을 만들 수 있습니다.
TheHive 4는 인증 방법을 지원합니다:
TheHive에는 활동을 촉진하고 예산 요청을 지원하는 의미 있는 대시보드를 만들 수 있는 강력한 통계 모듈이 함께 제공됩니다.
TheHive는 하나 이상의 MISP 인스턴스에서 이벤트를 가져오도록 구성할 수 있습니다. TheHive를 사용하여 사례를 MISP 이벤트로 하나 이상의 MISP 서버로 내보낼 수도 있습니다.
Cortex는 TheHive의 완벽한 동반자입니다. 하나 또는 여러 개를 사용하여 관찰 가능 항목을 대규모로 분석합니다.
TheHive 프로젝트는 TheHive를 위한 무료 오픈 소스 Digital Shadows 경고 피더인 DigitalShadows2TH를 제공합니다. 이를 사용하여 디지털 섀도우 사건 및 인텔 사건을 TheHive의 경고로 가져올 수 있습니다. 여기서 사전 정의된 사건 대응 템플릿을 사용하여 미리 보고 새로운 사건으로 변환하거나 기존 사건에 추가할 수 있습니다.
Zerofox2TH는 TheHive Project에서 작성한 TheHive용 무료 오픈 소스 ZeroFOX 경고 피더입니다. 이를 사용하여 TheHive에 ZeroFOX 경고를 제공할 수 있으며, 여기서 미리 정의된 사고 대응 템플릿을 사용하여 미리 보고 새로운 사례로 변환하거나 기존 사례에 추가할 수 있습니다.
커뮤니티에서 공유하는 수많은 멋진 통합이 여기에 나열될 수 있습니다. 특정 항목을 찾고 있다면 기존 통합에 대해 알려진 모든 세부 정보와 참조가 포함된 전용 저장소가 자주 업데이트되며 여기에서 찾을 수 있습니다: https://github.com/TheHive-Project/awesome.
TheHive는 AGPL(Affero General Public License)에 따라 출시되는 오픈 소스이자 무료 소프트웨어입니다. 우리 TheHive 프로젝트는 TheHive가 장기적으로 무료 오픈 소스 프로젝트로 유지되도록 최선을 다하고 있습니다.
정보, 뉴스 및 업데이트는 TheHive 프로젝트 트위터 계정과 블로그에 정기적으로 게시됩니다.
우리의 행동 강령을 참조하십시오. 여러분의 기여를 환영합니다. 자유롭게 코드를 포크하고, 가지고 놀고, 패치를 만들고, 이슈를 통해 풀 요청을 보내주세요.
버그를 보고하거나 기능을 요청하려면 GitHub에서 문제를 열어주세요. Discord에서도 도움을 드릴 수 있습니다.
프로젝트 팀에 연락해야 하는 경우 [email protected]로 이메일을 보내주세요.
중요 참고 사항 :
우리는 https://groups.google.com/a/thehive-project.org/d/forum/users에 Google 포럼을 설정했습니다. 액세스를 요청하려면 Google 계정이 필요합니다. Gmail 주소를 사용하거나 사용하지 않고 만들 수 있습니다.
https://thehive-project.org/