TheHive 是一个可扩展的、开源安全事件响应平台,旨在简化安全运营中心 (SOC)、计算机安全事件响应团队 (CSIRT)、计算机应急响应团队 (CERT) 以及几乎所有需要快速调查和处理安全事件的从业者工作。
它可以和 MISP(恶意软件信息共享平台)做很好的集成。当咱们用 TheHive 时,可以将 TheHive 与多个 MISP 实例同步,从 MISP 事件中开始启动对一次安全事件的调查;我们还可以将调查结果导出为 MISP 事件,供团队参考。此外,TheHive 还能与 Cortex 一起使用,可以自动化和简化安全事件的分析过程。
- 事件管理:TheHive 允许安全团队记录、跟踪和管理所有的安全事件,并提供了一个集中化的 UI,可以用它方便地查看和更新事件的状态;
- 协作:团队成员可以在平台上协作处理事件,共享信息和调查结果,从而提高整体响应效率;
- 调查功能:TheHive 支持详细的调查记录,允许用户添加证据、注释和任务,这类特性可以帮助安全团队系统化地处理每一个事件;
- 自动化:TheHive 可以与多种工具集成,如 Cortex 之类,实现事件处理的自动化。例如,可以自动执行威胁情报查询、漏洞扫描等任务;
- 可定制性:根据自己的需求自定义 TheHive 的功能,包括事件类型、工作流程和报告模板;
- 多平台支持:TheHive 可以部署在多种操作系统上,如 Linux 和 Windows,适应不同的 IT 环境。
以为 TheHive 4.1.24 + Cortex 为例,给出一个好用的yml吧:
version: '3.8'
services:
elasticsearch:
image: 'elasticsearch:7.11.1'
container_name: elasticsearch
restart: unless-stopped
ports:
'0.0.0.0:9200:9200'
environment:
http.host=0.0.0.0
discovery.type=single-node
cluster.name=hive
script.allowed_types=inline
thread_pool.search.queue_size=100000
thread_pool.write.queue_size=10000
gateway.recover_after_nodes=1
xpack.security.enabled=false
bootstrap.memory_lock=true
ES_JAVA_OPTS=-Xms256m -Xmx256m
ulimits:
nofile:
soft: 65536
hard: 65536
volumes:
'./vol/elasticsearch/data:/usr/share/elasticsearch/data'
'./vol/elasticsearch/logs:/usr/share/elasticsearch/logs'
cortex:
image: 'thehiveproject/cortex:latest'
container_name: cortex
restart: unless-stopped
command:
/opt/cortex/jobs
environment:
'JOB_DIRECTORY=/opt/cortex/jobs'
volumes:
'./vol/cortex/application.conf:/etc/cortex/application.conf'
'/opt/cortex/jobs:/opt/cortex/jobs'
'/var/run/docker.sock:/var/run/docker.sock'
depends_on:
elasticsearch
ports:
'0.0.0.0:9001:9001'
thehive:
image: 'thehiveproject/thehive4:latest'
container_name: thehive4
restart: unless-stopped
ports:
'0.0.0.0:9000:9000'
volumes:
'./vol/thehive/application.conf:/etc/thehive/application.conf'
'./vol/thehive/db:/opt/thp/thehive/db'
'./vol/thehive/index:/opt/thp/thehive/index'
'./vol/thehive/data:/opt/thp/thehive/data'
'--no-config --no-config-secret' :
直接 up -d 启动,这时候我们需要先去配置数据库,到这里:
http://ip:9001
进去设好用户名密码就可以了,这个数据库是给 Cortex 用的:
配置完毕后需要在 Cortex 中创建一个组织:
创建完组织在创建一个新用户,设好权限并复制 API Key:
把 API Key 配置到 .env 中,这时候重启容器,访问 http://ip:9000,我们能看到 TheHive 就已经启动了:
TheHive 的默认用户名密码是:
login: admin@thehive.local
password: secret
登录进来就能看到整个操作面板了,现在我没有数据,看起来空空的,不过 TheHive 和 Cortex 已成功设置。
以上 yaml 只是我测试用的,假设想在正式环境使用,接下来的步骤还有:
- 使用 Docker 镜像配置齐 Cortex 的 Analyzers 和 Responders,Analyzer 用于分析输入 Case,帮助我们快速处事件。TheHive 接收数据并发送给 Cortex,Cortex 的 Analyzers 进行分析并返回结果。 Responder 用于执行响应操作(如阻止恶意 IP、发送告警邮件之类),可以根据分析结果自动或手动触发。
- 通过 Wazuh 或 Python(脚本)将检测到的安全事件数据发到 The Hive 分析。
TheHive 5 引入了全新的分布式架构和现代化的用户界面,支持多租户配置和增强的安全性,适合大型企业和需要高扩展性的环境,但是要收费,而且还挺贵。
TheHive 4 是开源版本,虽然最近的更新已经是两年之前了,但整体用下来还是能满足需求的,TheHive 还可以和 Shuffle 之类的组件整合,通过"半自动化"的形式能基本做清楚事件响应和分析,很适合安全运营中心使用。
一般企业要是想自建整套 SOAR 解决方案的办法就是 Shuffle + ELK + TheHive + Cortex + IM通讯 or 邮件 or 打电话之类。
下载地址:
https://github.com/TheHive-Project/TheHive
原文始发于微信公众号(imBobby的自留地):TheHive - 开源安全事件响应平台(SIEM or CIRP)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论