TheHive

TheHive 是一個可擴展的三合一開源免費安全事件回應平台，旨在讓 SOC、CSIRT、CERT 以及任何處理需要快速調查和採取行動的安全事件的資訊安全從業人員的工作變得更加輕鬆。它是 MISP 的完美伴侶。您可以將其與一個或多個 MISP 執行個體同步，以開始調查 MISP 事件。您也可以將調查結果匯出為 MISP 事件，以幫助您的同事偵測您所處理的攻擊並做出反應。此外，當 TheHive 與 Cortex 結合使用時，安全分析師和研究人員可以輕鬆分析數十個甚至數百個可觀察值。

協作是 TheHive 的核心。

來自一個組織的多名分析師可以同時處理同一案例。例如，一名分析師可能會處理惡意軟體分析，而另一位分析師可能會在同事新增 IOC 後立即追蹤代理程式日誌上的 C2 信標活動。使用 TheHive 的直播，每個人都可以即時關注平台上發生的事情。

多租戶和細粒度的使用者設定檔使組織和分析師可以跨組織就同一案例進行工作和協作。例如，一個案例可以由第一個組織創建，該組織開始調查並要求其他團隊做出貢獻或升級到另一個組織。

在 TheHive 中，每項調查都對應一個案例。案例可以從頭開始創建，也可以從 MISP 事件、SIEM 警報、電子郵件報告和任何其他值得注意的安全事件來源建立。

每個案例可以分解為一個或多個任務。分析師無需每次創建案例時都將相同的任務添加到給定類型的案例中，而是可以使用 TheHive 的模板引擎一勞永逸地創建它們。案例範本還可用於將指標與特定案例類型相關聯，以推動團隊的活動、識別需要大量時間的調查類型並尋求自動化繁瑣的任務。

每項任務都可以分配給給定的分析師。團隊成員還可以負責一項任務，而無需等待某人將其分配給他們。

任務可能包含多個工作日誌，貢獻分析人員可以使用這些日誌來描述他們正在做什麼、結果是什麼、附加證據或值得注意的文件等。可以使用富文本編輯器或 Markdown 編寫日誌。

您可以為您創建的每個案例添加一個或數百個甚至數千個可觀察量。您也可以從 MISP 事件建立案例。 TheHive 可以非常輕鬆地連結到一個或多個 MISP 實例，並且可以預覽 MISP 事件以決定是否需要進行調查。如果調查順利進行，分析師可以將事件新增至現有案例中，或使用可自訂範本將其匯入為新案例。

使用 TheHive4py（TheHive 的 Python API 用戶端），可以向 TheHive 發送 SIEM 警報、網路釣魚和其他可疑電子郵件以及其他安全事件。它們將與新的或更新的 MISP 事件一起出現在Alerts面板中，可以在其中預覽、匯入案例或忽略它們。

TheHive 能夠自動辨識出先前案例中已經出現過的可觀察對象。可觀察量也可以與 TLP 以及使用標籤提供或產生它們的來源相關聯。分析師還可以輕鬆地將可觀察量標記為 IOC，並使用搜尋查詢隔離這些可觀察量，然後將它們匯出以在 SIEM 或其他資料儲存中進行搜尋。

分析師可以根據您的OPSEC 需求，利用一個或多個Cortex 實例的分析器，只需點擊幾下即可分析數十或數百個可觀察數據：DomainTools、VirusTotal、PassiveTotal、Joe Sandbox、地理位置、威脅源查找等。

具有腳本編寫能力的安全分析師可以輕鬆地將自己的分析器新增至 Cortex 中，以便自動執行必須在可觀察量或 IOC 上執行的操作。他們還可以根據 TLP 決定分析器的行為。例如，如果關聯的 TLP 為白色或綠色，則新增為可觀察的檔案可以提交到 VirusTotal。如果是 AMBER，則計算其雜湊值並將其提交給 VT，但不提交給檔案。如果它是紅色的，則不會進行任何 VT 查找。

要試用 TheHive，您可以使用訓練虛擬機器或透過閱讀安裝指南來安裝它。

我們在文件儲存庫中提供了多個指南。

TheHive 具有特殊的多租戶支援。它允許以下策略：

• 使用孤立的多租戶：可以定義許多組織，但不允許它們共享資料；
• 使用協作多租戶：可以允許一組組織使用自訂的使用者設定檔 (RBAC) 就特定案例/任務/可觀察結果進行協作。

TheHive 附帶一組權限和多個預先設定的使用者設定檔：

• admin ：平台完整管理權限；無法管理與調查相關的任何案件或其他數據；
• org-admin ：管理使用者和所有組織層級的配置，可以建立和編輯案例、任務、可觀察物件並執行分析器和回應器；
• analyst ：可以建立和編輯案例、任務、可觀察資料並運行分析器和響應器；
• read-only ：只能讀取 Cases、Tasks 和 Observables 詳細資料；

平台管理員可以建立新的設定檔。

TheHive 4 支援身份驗證方法：

• 本地帳戶
• 活動目錄
• LDAP
• 基本認證
• API 金鑰
• 開放認證2
• 多重身份驗證

TheHive 配備了強大的統計模組，可讓您建立有意義的儀表板來推動您的活動並支持您的預算請求。

TheHive 可以設定為從一個或多個 MISP 實例匯入事件。您也可以使用 TheHive 將案例作為 MISP 事件匯出到一台或多台 MISP 伺服器。

Cortex 是 TheHive 的完美伴侶。使用一個或多個來大規模分析可觀測值。

TheHive 專案提供了 DigitalShadows2TH，這是一個免費的、開源的 TheHive 數位陰影警報來源。您可以使用它將 Digital Shadows事件和情報事件作為警報導入到 TheHive 中，在其中可以使用預先定義的事件回應範本將它們預覽並轉換為新案例或將其新增至現有案例中。

Zerofox2TH 是 TheHive 的免費開源 ZeroFOX 警報來源，由 TheHive Project 編寫。您可以使用它將 ZeroFOX 警報輸入 TheHive，在 TheHive 中可以使用預先定義的事件回應範本預覽這些警報並將其轉換為新案例或新增到現有案例中。

社區共享的許多很棒的整合都可以在那裡列出。如果您正在尋找特定的儲存庫，包含有關現有整合的所有已知詳細資訊和參考的專用儲存庫會經常更新，可以在這裡找到：https://github.com/TheHive-Project/awesome。

TheHive 是一款根據 AGPL（Affero 通用公共授權）發布的開源免費軟體。我們 TheHive 專案致力於確保 TheHive 長期保持免費和開源專案的地位。

資訊、新聞和更新定期發佈在 TheHive Project Twitter 帳戶和部落格上。

請參閱我們的行為準則。我們歡迎您的貢獻。請隨意分叉程式碼、使用它、製作一些補丁並透過問題向我們發送拉取請求。

如果您想回報錯誤或請求功能，請在 GitHub 上開啟問題。我們也可以在 Discord 上為您提供協助。

如果您需要聯繫專案團隊，請發送電子郵件至 [email protected]。

重要提示：

• 如果您對 TheHive4py 有問題，請在其專用儲存庫上提出問題。
• 如果您遇到 Cortex 問題或想要要求 Cortex 相關功能，請在其專用 GitHub 儲存庫上提出問題。
• 如果您在使用 Cortex 分析器時遇到問題，或者想要要求新的分析器或對現有分析器進行改進，請在分析器的專用 GitHub 儲存庫上提出問題。

我們在 https://groups.google.com/a/thehive-project.org/d/forum/users 上建立了一個 Google 論壇。要請求存取權限，您需要一個 Google 帳戶。您可以使用或不使用 Gmail 地址來建立一個。

https://thehive-project.org/