Thehive中调查案例管理
Thehive中调查案例管理
我花了很长时间寻找一个案例管理系统,我认为它适合分析人员实际执行调查的构造。大多数案例管理系统实际上只是经过改造以适应安全用例的帮助台ticket系统。这是我在soc使用补救、RTIR或OTRS等工具时经常看到的。去年11月,法国CERT Banque de France (CERT BDF)的一组研究人员发布了一个名为thehive的ticket管理系统。该项目的作者将thehive描述为一个“开源和自由安全事件响应平台,设计使生活更容易的SOCs, CSIRTs, CERTs,和任何信息安全从业者处理事件,需要被调查和迅速行动。“我会简单地描述thehive作为一个案件管理系统的目的,以促进调查安全事件。我非常喜欢使用thehive,以至于我实际上把它整合到我的调查理论课程中,我教人们如何接近调查和追捕坏人。在这篇文章中,我想讨论一下这个thehive的一些特点以及为什么我如此喜欢它。
一、架构和安装
这个thehive是用Scala编写的,使用ElasticSearch在后端存储和访问数据。前端使用AngularJS和Bootstrap。还提供了许多REST API端点来支持集成和批量操作。
你会在上面的图表中看到Cortex 。“Cortex ”允许用户通过一系列基于python的分析器向流行的开源情报工具提交可观察的和破坏的指标。最终,它是一个独立的工具,有自己的代码库,但是hive和Cortex就像豌豆和胡萝卜一样紧密相连,所以你会在hive文档中看到很多。下面我将提供的安装命令将实际地将它们作为单个集成容器安装。
二、案例管理
thehive的核心结构是调查案件。像这样是因为这个案例也是大多数安全调查的核心结构,无论你是在_审查警报,逆向工程恶意软件,还是在处理一个已经宣布的事件。case构造没有提供很多花哨的东西,但这没关系,因为我认为它没有必要这样做。很多ticket系统是为太多的大师服务的,但很快就会变得太通用而毫无用处_。这里的情况不是这样的。
特别要注意的是,您可以将标签添加到案例中,以便快速搜索和过滤。您还可以跟踪TLP级别,这有助于管理和促进数据共享。这是一个很好的功能,真正展示了thehive是如何为调查跟踪定制的。你放入一个案例的所有数据都可以很容易地从屏幕顶部的搜索栏中搜索到。这使得确定您当前观察到的活动是否在以前的情况下出现变得非常容易。
三、任务跟踪
**一旦创建了案例,就可以创建、分配和跟踪任务。任务可以是任何东西,但我建议使用它们来跟踪为回答调查问题而采取的行动。**例如,如果您正在调查一个exploit kit感染,一个常见的问题可能是,“在生成警报之前,系统在做什么?”要回答这个问题,您需要查看来自您拥有的任何数据源的证据,以获得答案。因此,任务可以是“检查HTTP代理数据,以确定主机在发出警报之前的10分钟内正在做什么”。
除了寻找答案之外,任务还有助于跟踪遏制、根除和补救事件。您可以创建用于禁用用户帐户、隔离系统、将映像部署到系统或提供用户安全提醒咨询的任务。
**任务,像案例一样,有分配的概念。**因此,每个任务都可以单独分配给分析师来执行。默认情况下,一个任务没有所有者,除非有人点击它,或者从顶部菜单栏的等待任务队列中“获取”它。这有效地创建了一个任务队列,分析人员可以查看该任务队列,以帮助简化他们的工作负载。队列可以根据任意数量的条件进行筛选,如特定标记、案例号、任务名称或关键字。指定给您的任务将出现在顶部菜单栏的My Tasks队列中。
四、案例模板
随着SOC的发展,定义剧本以帮助分析人员始终如一地进行具有共同属性的调查变得至关重要。例如,最初调查一系列失败的密码尝试或钓鱼电子邮件时所采取的大部分步骤通常都是相同的。如果您能够定义这些步骤,那么您将在培训新的分析师和确保大多数调查在一个水平的基础上开始方面有一个良好的开端。thehive提供了一个独特的案例模板系统,允许你定义常见的调查和预填充案例元数据和任务。
在上面的示例中,我定义了一个用于调查与exploit kit活动相关的模板。现在,每当我创建一个新的案例时,我都可以选择这个模板,您在那里看到的所有信息都将预先填充到案例细节中。这里的真正强大之处在于能够自动创建一系列在生成案例时应该完成的任务。这基本上为你安排了调查剧本。这样,您就可以获得自动填充等待任务队列的额外好处,以便其他分析师可以进入调查或开始完成遏制和根除任务。这是我最喜欢的工具特性。
五、协作
**任何案例管理系统的一个关键特性都应该是协作,而thehive在这里达到了这个目的。**每个使用thehive的分析师都有自己的帐户,用来记录他们在工具中所做的任何动作。用户可以拥有案例和/或任务。我特别喜欢的一件事是,一旦创建了一个案例,几乎与之相关的任何行动都会被记录下来,从而创建一个审计跟踪。审计跟踪显示在单个案例屏幕的右侧,就像在我已经分享的几个图片中看到的那样。
六、可观察性和分析性
thehive允许您在案例的上下文中为有趣的观察创建单独的条目。可观察对象是任何有趣的数据工件,thehive内建了许多常见的可观察类型。这包括IP地址、域名、HTTP uri等。当然,您也可以定义自己的类型,这使得此功能非常灵活。
跟踪可观测对象有多个好处。最明显的一点是,您可以在以后的调查中搜索它们,以引入额外的上下文。您还可以导出它们,以便稍后导入到黑名单、白名单或检测机制中。最后,您可以使用内建的cortex集成自动提交观察到任何数量的OSINT研究站点。这是一个非常简单的过程,主要只需要为将要使用的每个服务输入API键。现有的一些集成包括被动总量、病毒总量和域工具。
七、API和集成
因为thehive是建立在一系列开放的API之上的,所以它在与其他工具的集成方面非常灵活。作者制作了非常好的API文档:https://github.com/CERT-BDF/TheHive/wiki/API documentation。您将看到文档提供了请求格式化的多个示例,以及几个用例。这包括查询、创建和操作用例、任务和可观察对象的能力。这有直接的实际利益。
考虑一个运行基于IDS的签名的场景。任何时候,一组与exploit kit活动相关联的特定规则生成警报时,您都可以使用API来创建一个新的case,该case使用的模板与我前面展示的模板类似,它是专门为调查与exploit kit相关的活动而设计的。使用这种方法,您不仅完成了简单的自动化,还基于您开发的剧本创建了一个工作流。当您或其他分析师查看新的警报时,任何与exploit工具包相关的内容都已经有了一系列创建并等待您完成的任务。对于经验丰富的分析师来说,这是一个节省时间的工具,对于不知道下一步该做什么的年轻分析师来说,这也是一个教学工具。
除了api之外,thehive还可以与MISP集成,你也可以编写用于cortex的自定义分析程序。同样,这里有很多选择。
八、结论
这篇文章讨论了一些我最喜欢的thehive特性,以及它们在实践中的应用。还有很多其他的特性,比如报告和度量,我在这里没有讨论,所以一定要自己检查一下。在SOCs中使用的许多工具都是在它们中诞生的。然而,这并不是一件容易的事情。我所接触过的每一个SOC都是不同的,而且大多数情况下,可能从这些SOC中产生的工具都不够灵活,无法适应存在于另一个组织中的工作流。thehive的开发者已经达到了一种微妙的平衡,即创建一个足够专注于交付即时用例的工具,同时仍然是广泛关注和灵活的,以适应不同的用例。如上所述,这就是我在我的调查理论课程中使用thehive的原因,也是为什么我将
Investigation Case Management with TheHive,https://chrissanders.org/2017/03/case-management-the-hive/