TheHive

TheHive 是一个可扩展的三合一开源免费安全事件响应平台，旨在让 SOC、CSIRT、CERT 以及任何处理需要快速调查和采取行动的安全事件的信息安全从业人员的工作变得更加轻松。它是 MISP 的完美伴侣。您可以将其与一个或多个 MISP 实例同步，以开始调查 MISP 事件。您还可以将调查结果导出为 MISP 事件，以帮助您的同事检测您所处理过的攻击并做出反应。此外，当 TheHive 与 Cortex 结合使用时，安全分析师和研究人员可以轻松分析数十个甚至数百个可观察值。

协作是 TheHive 的核心。

来自一个组织的多名分析师可以同时处理同一案例。例如，一名分析师可能会处理恶意软件分析，而另一名分析师可能会在同事添加 IOC 后立即跟踪代理日志上的 C2 信标活动。使用 TheHive 的直播，每个人都可以实时关注平台上发生的事情。

多租户和细粒度的用户配置文件使组织和分析师可以跨组织就同一案例进行工作和协作。例如，一个案例可以由第一个组织创建，该组织开始调查并要求其他团队做出贡献或升级到另一个组织。

在 TheHive 中，每项调查都对应一个案例。案例可以从头开始创建，也可以从 MISP 事件、SIEM 警报、电子邮件报告和任何其他值得注意的安全事件来源创建。

每个案例可以分解为一个或多个任务。分析师无需每次创建案例时都将相同的任务添加到给定类型的案例中，而是可以使用 TheHive 的模板引擎一劳永逸地创建它们。案例模板还可用于将指标与特定案例类型相关联，以推动团队的活动、识别需要大量时间的调查类型并寻求自动化繁琐的任务。

每项任务都可以分配给给定的分析师。团队成员还可以负责一项任务，而无需等待某人将其分配给他们。

任务可能包含多个工作日志，贡献分析人员可以使用这些日志来描述他们正在做什么、结果是什么、附加证据或值得注意的文件等。可以使用富文本编辑器或 Markdown 编写日志。

您可以向您创建的每个案例添加一个或数百个甚至数千个可观察量。您还可以从 MISP 事件创建案例。 TheHive 可以非常轻松地链接到一个或多个 MISP 实例，并且可以预览 MISP 事件以决定是否需要进行调查。如果调查顺利进行，分析师可以将事件添加到现有案例中，或使用可自定义模板将其导入为新案例。

借助 TheHive4py（TheHive 的 Python API 客户端），可以向 TheHive 发送 SIEM 警报、网络钓鱼和其他可疑电子邮件以及其他安全事件。它们将与新的或更新的 MISP 事件一起出现在Alerts面板中，可以在其中预览、导入到案例中或忽略它们。

TheHive 能够自动识别之前案例中已经出现过的可观察对象。可观察量还可以与 TLP 以及使用标签提供或生成它们的源相关联。分析师还可以轻松地将可观察量标记为 IOC，并使用搜索查询隔离这些可观察量，然后导出它们以在 SIEM 或其他数据存储中进行搜索。

分析师可以根据您的 OPSEC 需求，利用一个或多个 Cortex 实例的分析器，只需点击几下即可分析数十或数百个可观察数据：DomainTools、VirusTotal、PassiveTotal、Joe Sandbox、地理位置、威胁源查找等。

具有脚本编写能力的安全分析师可以轻松地将自己的分析器添加到 Cortex 中，以便自动执行必须在可观察量或 IOC 上执行的操作。他们还可以根据 TLP 决定分析器的行为方式。例如，如果关联的 TLP 为白色或绿色，则添加为可观察的文件可以提交到 VirusTotal。如果是 AMBER，则计算其哈希值并将其提交给 VT，但不提交给文件。如果它是红色的，则不会进行任何 VT 查找。

要试用 TheHive，您可以使用训练虚拟机或通过阅读安装指南来安装它。

我们在文档存储库中提供了多个指南。

TheHive 具有特殊的多租户支持。它允许以下策略：

• 使用孤立的多租户：可以定义许多组织，但不允许它们共享数据；
• 使用协作多租户：可以允许一组组织使用自定义的用户配置文件 (RBAC) 就特定案例/任务/可观察结果进行协作。

TheHive 附带一组权限和多个预配置的用户配置文件：

• admin ：平台完整管理权限；无法管理与调查相关的任何案件或其他数据；
• org-admin ：管理用户和所有组织级别的配置，可以创建和编辑案例、任务、可观察对象并运行分析器和响应器；
• analyst ：可以创建和编辑案例、任务、可观察数据并运行分析器和响应器；
• read-only ：只能读取 Cases、Tasks 和 Observables 详细信息；

平台管理员可以创建新的配置文件。

TheHive 4 支持身份验证方法：

• 本地账户
• 活动目录
• LDAP
• 基本认证
• API 密钥
• 开放认证2
• 多重身份验证

TheHive 配备了强大的统计模块，可让您创建有意义的仪表板来推动您的活动并支持您的预算请求。

TheHive 可以配置为从一个或多个 MISP 实例导入事件。您还可以使用 TheHive 将案例作为 MISP 事件导出到一台或多台 MISP 服务器。

Cortex 是 TheHive 的完美伴侣。使用一个或多个来大规模分析可观测值。

TheHive 项目提供了 DigitalShadows2TH，这是一个免费的、开源的 TheHive 数字阴影警报源。您可以使用它将 Digital Shadows事件和情报事件作为警报导入到 TheHive 中，在其中可以使用预定义的事件响应模板将它们预览并转换为新案例或将其添加到现有案例中。

Zerofox2TH 是 TheHive 的免费开源 ZeroFOX 警报源，由 TheHive Project 编写。您可以使用它将 ZeroFOX 警报输入 TheHive，在 TheHive 中可以使用预定义的事件响应模板预览这些警报并将其转换为新案例或添加到现有案例中。

社区共享的许多很棒的集成都可以在那里列出。如果您正在寻找特定的存储库，包含有关现有集成的所有已知详细信息和参考的专用存储库会经常更新，可以在这里找到：https://github.com/TheHive-Project/awesome。

TheHive 是一款根据 AGPL（Affero 通用公共许可证）发布的开源免费软件。我们 TheHive 项目致力于确保 TheHive 长期保持免费和开源项目的地位。

信息、新闻和更新定期发布在 TheHive Project Twitter 帐户和博客上。

请参阅我们的行为准则。我们欢迎您的贡献。请随意分叉代码、使用它、制作一些补丁并通过问题向我们发送拉取请求。

如果您想报告错误或请求功能，请在 GitHub 上打开问题。我们还可以在 Discord 上为您提供帮助。

如果您需要联系项目团队，请发送电子邮件至 [email protected]。

重要提示：

• 如果您对 TheHive4py 有问题，请在其专用存储库上提出问题。
• 如果您遇到 Cortex 问题或想要请求 Cortex 相关功能，请在其专用 GitHub 存储库上提出问题。
• 如果您在使用 Cortex 分析器时遇到问题，或者想要请求新的分析器或对现有分析器进行改进，请在分析器的专用 GitHub 存储库上提出问题。

我们在 https://groups.google.com/a/thehive-project.org/d/forum/users 上建立了一个 Google 论坛。要请求访问权限，您需要一个 Google 帐户。您可以使用或不使用 Gmail 地址来创建一个。

https://thehive-project.org/