TheHive

TheHive เป็นโอเพ่นซอร์สแบบ 3-in-1 ที่ปรับขนาดได้และแพลตฟอร์มการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยฟรี ที่ออกแบบมาเพื่อทำให้ชีวิตของ SOC, CSIRT, CERT และผู้ปฏิบัติงานด้านความปลอดภัยของข้อมูลใด ๆ ที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยง่ายขึ้นซึ่งจำเป็นต้องได้รับการตรวจสอบและดำเนินการอย่างรวดเร็ว มันเป็นคู่หูที่สมบูรณ์แบบสำหรับ MISP คุณสามารถซิงโครไนซ์กับอินสแตนซ์ MISP หนึ่งรายการหรือหลายรายการเพื่อเริ่มการตรวจสอบจากเหตุการณ์ MISP คุณยังสามารถส่งออกผลการตรวจสอบเป็นเหตุการณ์ MISP เพื่อช่วยให้เพื่อนของคุณตรวจจับและตอบสนองต่อการโจมตีที่คุณจัดการได้ นอกจากนี้ เมื่อใช้ TheHive ร่วมกับ Cortex นักวิเคราะห์ด้านความปลอดภัยและนักวิจัยสามารถวิเคราะห์สิ่งที่สังเกตได้นับสิบหรือร้อยรายการได้อย่างง่ายดาย

การทำงานร่วมกันเป็นหัวใจสำคัญของ TheHive

นักวิเคราะห์หลายคนจากองค์กรเดียวสามารถทำงานร่วมกันในกรณีเดียวกันได้พร้อมๆ กัน ตัวอย่างเช่น นักวิเคราะห์อาจจัดการกับการวิเคราะห์มัลแวร์ ในขณะที่อีกคนหนึ่งอาจติดตามกิจกรรมบีคอน C2 บนบันทึกพร็อกซีทันทีที่เพื่อนร่วมงานเพิ่ม IOC เมื่อใช้สตรีมสดของ TheHive ทุกคนสามารถติดตามสิ่งที่เกิดขึ้นบนแพลตฟอร์มได้แบบเรียลไทม์

โปรไฟล์ผู้ใช้ที่มีผู้เช่าหลายรายและละเอียดช่วยให้องค์กรและนักวิเคราะห์ทำงานและทำงานร่วมกันในกรณีเดียวกันทั่วทั้งองค์กร ตัวอย่างเช่น องค์กรแรกที่เริ่มตรวจสอบและขอการสนับสนุนจากทีมอื่นสามารถสร้างกรณีหนึ่งได้ หรือยกระดับไปยังองค์กรอื่นได้

ภายใน TheHive ทุกการสืบสวนจะสอดคล้องกับคดี สามารถสร้างเคสตั้งแต่เริ่มต้นหรือจากเหตุการณ์ MISP, การแจ้งเตือน SIEM, รายงานทางอีเมล และแหล่งที่มาของเหตุการณ์ด้านความปลอดภัยอื่นๆ ที่น่าสนใจ

แต่ละกรณีสามารถแบ่งออกเป็นงานหนึ่งหรือหลายงานได้ แทนที่จะเพิ่มงานเดียวกันให้กับประเภทเคสที่กำหนดทุกครั้งที่มีการสร้างงานขึ้นมา นักวิเคราะห์สามารถใช้กลไกเทมเพลตของ TheHive เพื่อสร้างงานเหล่านั้นได้ทันที เทมเพลตเคสยังสามารถใช้เพื่อเชื่อมโยงการวัดกับประเภทเคสเฉพาะเพื่อขับเคลื่อนกิจกรรมของทีม ระบุประเภทของการตรวจสอบที่ใช้เวลานานมาก และพยายามทำให้งานที่น่าเบื่อเป็นอัตโนมัติ

แต่ละงานสามารถมอบหมายให้กับนักวิเคราะห์ที่กำหนดได้ สมาชิกในทีมยังสามารถรับผิดชอบงานได้โดยไม่ต้องรอให้ใครมอบหมายงานให้

งานอาจมีบันทึกการทำงานหลายรายการซึ่งนักวิเคราะห์สามารถใช้เพื่ออธิบายสิ่งที่พวกเขากำลังทำอยู่ ผลลัพธ์ที่ได้ แนบหลักฐานหรือไฟล์สำคัญ และอื่นๆ บันทึกสามารถเขียนได้โดยใช้โปรแกรมแก้ไขข้อความแบบ Rich Text หรือ Markdown

คุณสามารถเพิ่มรายการที่สามารถสังเกตได้หนึ่งหรือหลายร้อยรายการหากไม่ใช่หลายพันรายการลงในแต่ละกรณีที่คุณสร้างขึ้น คุณยังสามารถสร้างกรณีและปัญหาจากเหตุการณ์ MISP ได้อีกด้วย TheHive สามารถเชื่อมโยงกับอินสแตนซ์ MISP หนึ่งรายการหรือหลายรายการได้อย่างง่ายดาย และสามารถดูตัวอย่างเหตุการณ์ MISP เพื่อตัดสินใจว่าจะรับประกันการสอบสวนหรือไม่ หากการสอบสวนเป็นไปตามลำดับ นักวิเคราะห์สามารถเพิ่มเหตุการณ์ไปยังกรณีที่มีอยู่หรือนำเข้าเป็นกรณีใหม่โดยใช้เทมเพลตที่ปรับแต่งได้

ต้องขอบคุณ TheHive4py ซึ่งเป็นไคลเอนต์ Python API ของ TheHive ที่ทำให้สามารถส่งการแจ้งเตือน SIEM ฟิชชิ่ง และอีเมลที่น่าสงสัยอื่น ๆ รวมถึงเหตุการณ์ด้านความปลอดภัยอื่น ๆ ไปยัง TheHive ได้ สิ่งเหล่านี้จะปรากฏในแผง Alerts พร้อมกับเหตุการณ์ MISP ใหม่หรือที่อัปเดต ซึ่งสามารถดูตัวอย่าง นำเข้าในกรณีหรือละเว้นได้

TheHive มีความสามารถในการระบุสิ่งที่สังเกตได้โดยอัตโนมัติซึ่งเคยพบเห็นแล้วในกรณีก่อนหน้านี้ สิ่งที่สังเกตได้ยังสามารถเชื่อมโยงกับ TLP และแหล่งที่มาที่ให้หรือสร้างขึ้นโดยใช้แท็ก นักวิเคราะห์ยังสามารถทำเครื่องหมายสิ่งที่สังเกตได้ว่าเป็น IOC ได้อย่างง่ายดาย และแยกสิ่งเหล่านั้นโดยใช้คำค้นหา จากนั้นส่งออกเพื่อค้นหาใน SIEM หรือที่เก็บข้อมูลอื่นๆ

นักวิเคราะห์สามารถวิเคราะห์สิ่งที่สังเกตได้นับสิบหรือหลายร้อยรายการด้วยการคลิกเพียงไม่กี่ครั้งโดยใช้ประโยชน์จากตัววิเคราะห์ของอินสแตนซ์ Cortex หนึ่งหรือหลายอินสแตนซ์ ขึ้นอยู่กับความต้องการ OPSEC ของคุณ: DomainTools, VirusTotal, PassiveTotal, Joe Sandbox, ตำแหน่งทางภูมิศาสตร์, การค้นหาฟีดภัยคุกคาม และอื่นๆ

นักวิเคราะห์ความปลอดภัยที่มีความสามารถพิเศษด้านการเขียนสคริปต์สามารถเพิ่มตัววิเคราะห์ของตนเองลงใน Cortex ได้อย่างง่ายดายเพื่อดำเนินการอัตโนมัติที่ต้องดำเนินการกับสิ่งที่สังเกตได้หรือ IOC พวกเขายังสามารถตัดสินใจได้ว่าเครื่องวิเคราะห์ทำงานอย่างไรตาม TLP ตัวอย่างเช่น ไฟล์ที่เพิ่มเป็นแบบสังเกตได้สามารถส่งไปยัง VirusTotal ได้ หาก TLP ที่เกี่ยวข้องเป็นสีขาวหรือสีเขียว หากเป็น AMBER แฮชจะถูกคำนวณและส่งไปยัง VT แต่ไม่ใช่ไฟล์ หากเป็นสีแดง แสดงว่าไม่มีการค้นหา VT

หากต้องการลองใช้ TheHive คุณสามารถใช้ VM การฝึกอบรมหรือติดตั้งโดยการอ่านคู่มือการติดตั้ง

เราได้จัดทำคู่มือหลายฉบับไว้ในคลังเอกสาร

TheHive มาพร้อมกับการสนับสนุนผู้เช่าหลายรายแบบพิเศษ ช่วยให้สามารถใช้กลยุทธ์ต่อไปนี้:

• ใช้ผู้เช่าหลายรายแบบแยกส่วน: หลายองค์กรสามารถกำหนดได้โดยไม่ต้องอนุญาตให้แชร์ข้อมูล
• ใช้ผู้เช่าหลายรายที่ทำงานร่วมกัน: ชุดขององค์กรสามารถได้รับอนุญาตให้ทำงานร่วมกันในกรณี/งาน/สิ่งที่สังเกตได้โดยเฉพาะ โดยใช้โปรไฟล์ผู้ใช้ที่กำหนดแบบกำหนดเอง (RBAC)

TheHive มาพร้อมกับชุดสิทธิ์และโปรไฟล์ผู้ใช้ที่กำหนดค่าไว้ล่วงหน้าหลายโปรไฟล์:

• admin : สิทธิ์การดูแลระบบแบบเต็มบนแพลตฟอร์ม ; ไม่สามารถจัดการคดีหรือข้อมูลอื่นที่เกี่ยวข้องกับการสืบสวนได้
• org-admin : จัดการผู้ใช้และการกำหนดค่าระดับองค์กรทั้งหมด สามารถสร้างและแก้ไขเคส งาน สิ่งที่สังเกตได้ และเรียกใช้ Analyzers and Responders
• analyst : สามารถสร้างและแก้ไข กรณี และ ปัญหา งาน สิ่ง ที่สังเกตได้ และเรียกใช้ ตัววิเคราะห์ และ การตอบสนอง
• read-only : สามารถอ่านได้เฉพาะกรณีและรายละเอียดงานและสิ่งที่สังเกตได้

ผู้ดูแลระบบของแพลตฟอร์มสามารถสร้างโปรไฟล์ใหม่ได้

TheHive 4 รองรับวิธีการรับรองความถูกต้อง:

• บัญชีท้องถิ่น
• ไดเรกทอรีที่ใช้งานอยู่
• แอลดีเอพี
• การรับรองความถูกต้องขั้นพื้นฐาน
• คีย์ API
• OAUTH2
• การรับรองความถูกต้องแบบหลายปัจจัย

TheHive มาพร้อมกับโมดูลสถิติอันทรงพลังที่ช่วยให้คุณสามารถสร้างแดชบอร์ดที่มีความหมายเพื่อขับเคลื่อนกิจกรรมของคุณและสนับสนุนคำของบประมาณของคุณ

TheHive สามารถกำหนดค่าให้นำเข้าเหตุการณ์จากอินสแตนซ์ MISP หนึ่งรายการหรือหลายรายการได้ คุณยังสามารถใช้ TheHive เพื่อส่งออกเคสเป็นเหตุการณ์ MISP ไปยังเซิร์ฟเวอร์ MISP หนึ่งเครื่องหรือหลายเซิร์ฟเวอร์ได้

Cortex เป็นเพื่อนที่สมบูรณ์แบบสำหรับ TheHive ใช้หนึ่งหรือหลายรายการเพื่อวิเคราะห์สิ่งที่สังเกตได้ในวงกว้าง

TheHive Project ให้บริการ DigitalShadows2TH ซึ่งเป็นตัวป้อนการแจ้งเตือน Digital Shadows แบบโอเพ่นซอร์สฟรีสำหรับ TheHive คุณสามารถใช้เพื่อนำเข้า เหตุการณ์ Digital Shadows และ เหตุการณ์ Intel เป็นการแจ้งเตือนใน TheHive ซึ่งสามารถดูตัวอย่างและแปลงเป็นกรณีใหม่ได้โดยใช้เทมเพลตการตอบสนองต่อเหตุการณ์ที่กำหนดไว้ล่วงหน้าหรือเพิ่มเข้าไปในเหตุการณ์ที่มีอยู่

Zerofox2TH เป็นตัวป้อนการแจ้งเตือน ZeroFOX แบบโอเพ่นซอร์สฟรีสำหรับ TheHive ซึ่งเขียนโดย TheHive Project คุณสามารถใช้เพื่อป้อนการแจ้งเตือน ZeroFOX ลงใน TheHive ซึ่งสามารถดูตัวอย่างและแปลงเป็นกรณีใหม่ได้โดยใช้เทมเพลตการตอบสนองต่อเหตุการณ์ที่กำหนดไว้ล่วงหน้าหรือเพิ่มลงในรายการที่มีอยู่

การบูรณาการ ที่ยอดเยี่ยม มากมายที่แบ่งปันโดยชุมชนสามารถแสดงอยู่ที่นั่นได้ หากคุณกำลังมองหา ที่เจาะจง พื้นที่เก็บ ข้อมูลเฉพาะที่มีรายละเอียดที่ทราบและข้อมูลอ้างอิงทั้งหมดเกี่ยวกับการบูรณาการที่มีอยู่จะได้รับการอัปเดตบ่อยครั้ง และสามารถพบได้ที่นี่: https://github.com/TheHive-Project/awesome

TheHive เป็นโอเพ่นซอร์สและซอฟต์แวร์ฟรีที่เผยแพร่ภายใต้ AGPL (Affero General Public License) เรา TheHive Project มุ่งมั่นที่จะให้แน่ใจว่า TheHive จะยังคงเป็นโครงการโอเพ่นซอร์สฟรีในระยะยาว

ข้อมูล ข่าวสาร และการอัปเดตจะมีการโพสต์เป็นประจำในบัญชี Twitter ของ TheHive Project และในบล็อก

โปรดดูจรรยาบรรณของเรา เรายินดีรับการมีส่วนร่วมของคุณ โปรดอย่าลังเลที่จะแยกรหัส เล่นกับมัน สร้างแพตช์ และส่งคำขอดึงข้อมูลถึงเราผ่านปัญหาต่างๆ

โปรดเปิดปัญหาบน GitHub หากคุณต้องการรายงานข้อบกพร่องหรือขอคุณสมบัติ เรายังพร้อมให้บริการบน Discord เพื่อช่วยเหลือคุณอีกด้วย

หากคุณต้องการติดต่อทีมงานโครงการ โปรดส่งอีเมลไปที่ [email protected]

หมายเหตุสำคัญ :

• หากคุณมีปัญหากับ TheHive4py โปรดเปิดปัญหาบนพื้นที่เก็บข้อมูลเฉพาะ
• หากคุณประสบปัญหากับ Cortex หรือต้องการขอคุณสมบัติที่เกี่ยวข้องกับ Cortex โปรดเปิดปัญหาบนพื้นที่เก็บข้อมูล GitHub เฉพาะของมัน
• หากคุณมีปัญหากับเครื่องวิเคราะห์ Cortex หรือต้องการขอเครื่องใหม่หรือการปรับปรุงเครื่องวิเคราะห์ที่มีอยู่ โปรดเปิดปัญหาบนพื้นที่เก็บข้อมูล GitHub เฉพาะของเครื่องวิเคราะห์

เราได้จัดตั้งฟอรัม Google ไว้ที่ https://groups.google.com/a/thehive-project.org/d/forum/users หากต้องการขอการเข้าถึง คุณต้องมีบัญชี Google คุณสามารถสร้างได้โดยใช้ที่อยู่ Gmail หรือไม่ก็ได้

https://thehive-project.org/