一个4-in-1安全事件响应平台

一个可扩展的、开源的、免费的安全事件响应平台,与MISP(恶意软件信息共享平台)紧密集成,旨在为soc、csirt、CERTs和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员提供更方便的工作。

TheHive是一个可扩展的4-in-1开源和免费的安全事件响应平台,旨在让soc、csirt、CERTs和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员的生活更容易。它是MISP的完美伴侣。您可以将它与一个或多个MISP实例同步,以启动MISP事件的调查。您还可以将调查结果作为MISP事件导出,以帮助您的同行和合作伙伴检测和响应您所处理的攻击。此外,当hive与Cortex一起使用时,安全分析师和研究人员可以使用超过100个分析人员轻松分析上百个观察结果,包含一个事件或根除恶意软件,这多亏了Cortex的响应。

image.png

一、合作(Collaborate)

多个SOC和CERT分析师可以同时协作进行调查。由于内置的实时流,与新的或现有的案例、任务、可观察性和IOCs相关的实时信息对所有团队成员都是可用的。特殊通知允许他们处理或分配新的任务,并预览新的MISP事件和来自多个来源的警报,如电子邮件报告、CTI供应商和SIEMs。然后,他们可以立即导入和调查它们。

合作是TheHive的核心。多个分析师可以同时处理同一个案例。例如,分析人员可以处理恶意软件分析,而另一个分析人员可以在代理日志上跟踪C2信标活动,只要他们的同事添加了ioc。使用TheHive的实时流媒体,每个人都可以实时关注平台上发生的事情。

二、详细描述

可以使用简单但功能强大的模板引擎创建案例和相关任务。您可以向模板中添加度量标准和自定义字段,以推动团队的活动,确定需要大量时间的调查类型,并通过动态仪表板实现繁琐任务的自动化。分析师可以记录他们的进展,附加证据或值得注意的文件,添加标签,并导入包含恶意软件或可疑数据的密码保护的ZIP档案,而无需打开它们。

在TheHive里,每一项调查都对应一个案例。案例可以从头开始创建,也可以从MISP事件、SIEM警报、电子邮件报告和任何其他值得注意的安全事件源创建。

每种case都可以分解为一个或多个任务。与每次创建一个case时都将相同的任务添加到给定类型的case不同,分析人员可以使用TheHive的模板引擎一次性地创建它们。案例模板还可以用于将度量标准与特定的案例类型相关联,以推动团队的活动,识别花费大量时间的调查类型,并寻求将繁琐的任务自动化。

每个任务都可以分配给给定的分析人员。团队成员也可以负责一项任务,而不必等待别人分配给他们。

任务可能包含多个工作日志,贡献分析人员可以使用这些日志来描述他们要做什么、结果如何、附加一些证据或值得注意的文件等等。可以使用富文本编辑器或Markdown编写日志。

三、行为

每一种情况下都有一个、数百个或数千个可观测值,您可以从MISP事件或发送到平台的任何警报中直接创建或导入它们。快速分类和过滤。利用皮层和它的分析和反应的力量来获得宝贵的洞察力,加速你的调查和包含威胁。利用标签,旗标IOCs,目击和识别以前看到的可观察到的,以满足您的威胁情报。一旦调查完成,出口IOCs到一个或几个MISP实例。

您可以在创建的每个案例中添加一个或数千个观察表。您还可以创建MISP事件的案例。TheHive可以很容易地链接到一个或多个MISP实例和MISP事件可以预览,以决定他们是否值得调查或不。如果准备进行调查,分析人员可以将事件添加到现有案例中,或者使用可自定义模板将其作为新案例导入。

由于TheHive的Python API客户端TheHive4py,它可以向TheHive发送SIEM警报、网络钓鱼和其他可疑电子邮件以及其他安全事件。它们将与新的或更新的MISP事件一起出现在警报面板中,在这些事件中可以预览、导入案例或忽略它们。
image.png

TheHive有能力自动识别在以前的案例中已经被观察到的可观察对象。可观察对象还可以与TLP和PAP以及使用标记提供或生成它们的源相关联。分析人员还可以很容易地将observables标记为IOCs,并隔离那些使用搜索查询的对象,然后导出它们,以便在SIEM或其他数据存储中进行搜索。

根据您的OPSEC需求,分析人员可以在几次点击中分析上百个皮层实例,根据您的OPSEC需求,分析人员可以分析上百个皮层实例:DomainTools、VirusTotal、PassiveTotal、Joe Sandbox、geolocation、threat feed查找等。

具有脚本编制技巧的安全分析人员可以很容易地将他们自己的分析程序添加到Cortex中,以便自动执行必须在observables或IOCs上执行的操作。他们还可以根据TLP决定分析程序的行为。例如,如果相关的TLP为白色或绿色,则可以将添加为observable的文件提交给VirusTotal。如果它是琥珀色的,则计算它的散列并将其提交给VT,但不提交文件。如果是红色,则不执行VT查找。

四、响应

分析人员可以利用Cortex响应器来控制事件、清除恶意软件和执行其他协调任务。例如,他们可以调用应答器来回复来自TheHive的可疑电子邮件通知,在代理级别阻塞URL,或者从被破坏的端点收集证据。

五、体系结构

TheHive是用Scala写的,使用的是ElasticSearch 5。x进行存储。它的REST API是无状态的,因此可以水平伸缩。前端使用AngularJS与Bootstrap。
image.png

五、工作流

下图展示了一个典型的工作流程:
image.png

六、附加功能

6.1身份验证

TheHive支持多种认证方法:

Active Directory

LDAP

API keys

X.509 SSO

OAuth 2

Local authentication

6.2指示板

TheHive提供了一个强大的、高度可配置的模块,允许你创建有意义的仪表板来驱动你的活动和支持你的预算请求。

6.3案例合并

如果您认为两个(或多个)案例与相同的威胁相关,或者有显著的可观察到的重叠,则很容易将它们合并在一起。

6.4案例与观察滤波

您可以非常容易地过滤案例和观察数据,只显示您感兴趣的数据。

6.5MISP和Cortex

可以将TheHive配置为使用各种过滤器(标签白名单、标签黑名单、组织黑名单、每个事件的最大属性……)从一个或多个MISP实例导入事件。您还可以使用TheHive将案例作为MISP事件导出到一个或多个MISP服务器。

Cortex是TheHive的完美伴侣。使用一个或多个来分析大规模的观察结果并对事件做出响应。

6.6TheHive支持Alert Feeders

七、相关截图
image.png

图一创建案例

手动创建案例,设置案例的严重性,信息共享方式(TLP),以及操作案例的方式(PAP)
image.png

图2在案例中添加任务

在案例中添加任务,好像只是一个文字记录过程,用于记录对这个案例进行分析的过程
image.png

图3添加观察值

为案例添加相关观察值,该观察值可用于调查分析该案例

image.png

图4 添加后的案例列表

选择左上角的action中的run analyzers可执行相关的分析,默认有Abuse_Finder_2_0等5种分析方式
image.png

image.png

图5 分析结果列表

双击图4中的列表,会出现对应观察值的分析结果,以及相关的分析报告
image.png

image.png

图6案例各种维度的统计分析

可用仪表盘对案例的各种状态进行统计分析,并支持数据的下载和图片的保存
image.png

图7job的各种维度统计

对各种job进行统计分析

image.png

图8对各种告警进行统计
image.png

图10对观察值类型的定制
image.png

图11案例模板的定制
image.png

图12报告模板的定制

image.png

https://thehive-project.org/

https://www.circl.lu/misp-images/latest/MISP_v2.4.121@0f63223-VMware.zip