TheHive چیست؟ نرم افزار متن باز پاسخگویی به حوادث

TheHive یک پلتفرم پاسخگویی به حوادث امنیتی Open-source است که با MISP (Malware Information Sharing Platform) که یک پلتفرم برای به اشتراک گذاری اطلاعات بدافزار می‌­باشد، ادغام شده تا شرایط را برای اعضای SOC ، CSIRT (مرکز عملیات امنیت) و هر متخصص امنیت دیگر که نیاز به مدیریت، بررسی و اقدام سریع در خصوص حوادث امنیتی دارند راحت‌­تر کند.

این پلتفرم به تحلیلگران اجازه می‌دهد تا هشدارهای امنیتی و انواع داده‌های امنیتی را از منابع مختلف مانند سیستم‌های تشخیص نفوذ، نرم‌افزارهای آنتی‌ویروس و سیستم‌های مدیریت گزارش را در یک مکان متمرکز جمع‌آوری و تجزیه و تحلیل کنند. همچنین به اعضای تیم اجازه می‌دهد در تحقیقات با هم کار کنند، اطلاعات را به اشتراک بگذارند و پاسخ خود را هماهنگ کنند. به طور کلی، TheHive به سازمان‌ها کمک می‌کند تا قابلیت‌های واکنش به حوادث خود را بهبود بخشند و زمان و تلاش لازم برای شناسایی، بررسی و پاسخ به حوادث امنیتی را کاهش دهند.

سه خصوصیت قابل توجه پلتفرم TheHive

  • Collaborate یا همکاری

Collaborate، قابلیتی را فراهم می‌آورد تا چندین تحلیلگر SOC و CSIRT به‌صورت همزمان در تحقیقات با یکدیگر همکاری کنند. به علت وجود Live Stream، تمامی اطلاعات مربوط به موارد جدید برای همه اعضای تیم در دسترس می­‌باشد. اعلان­‌های ویژه­‌ای که وجود دارد این امکان را فراهم می‌­آورد تا وظایف جدید مشخص شده و رویدادهای جدید MISP و هشدارها از منابع متعدد مانند گزارش­‌های ایمیل، ارائه دهندگان CTI و SIEM نمایش داده شود تا در اسرع وقت به بررسی آن­ها پرداخته شود.

  • Elaborate یا دقت و حساسیت

موارد و وظایف را می­‌توان از طریق یک موتور پرقدرت مشخص نمود، به این صورت که می‌­توان معیارها و فیلدهای موردنیاز را به الگوها اضافه کرد تا فعالیت تیم‌­ها هدایت شود، نوع بررسی و میزان ضرورت مشخص شود و همچنین فرآیند خودکارسازی از طریق ایجاد داشبوردهای پویا انجام گردد. همچنین، تحلیلگران می‌توانند کارهای انجام شده خود را ثبت کنند، فایل‌های مهم را پیوست کنند، Tagها را اضافه کنند و فایل­های ZIP محافظت شده با رمز عبور که ممکن است حاوی بدافزار یا داده‌های مشکوک باشند را بدون نیاز به باز نمودن آن­ها منتقل کنند.

  • Act یا عملکرد

با استفاده از این قابلیت می‌­توان به هر موردی که ایجاد می­‌شود یک، صد یا هزاران نکته قابل توجه که به طور مستقیم از رویداد MISP یا هر Alert دیگری که به پلتفرم فرستاده شده است، اضافه کرده تا به صورت حیاتی بررسی و فیلتر شود.

TheHive چیست؟ نرم افزار متن باز پاسخگویی به حوادث

 

ویژگی­های مهم پلتفرم The Hive

  • مدیریت هشدار (Alert Management)
  • نظارت و بررسی صفحه مربوط به Alertها
  • شناسایی Alertهای مشابه
  • تعریف statusها و فیلدهای سفارشی
  • مشخص نمودن موارد مهم به جهت بررسی بیشتر

 

  • مدیریت پرونده­ (Case Management)
  • مشخص نمودن موارد و وظایف هر گروه
  • شناسایی موارد مشابه
  • تعریف Permissible Actions Protocol روی هر پرونده
  • بهبود بخشیدن فرآیند پاسخ به حادثه

 

  • محیط­های مشترک با دیگر تیم‌­ها (Multi Tenant Environment)
  • ایجاد یک محیط مشترک برای همکاری چندین تیم و سازمان
  • جداسازی سازمان­‌ها و تیم‌­ها بر اساس نقش­ و مجوز

 

  • مدیریت پیشرفته کاربر(Advanced User Management)
  • تعریف پروفایل هر کاربر به صورت سفارشی
  • برقراری ارتباط بین کاربران
  • همگام‌­سازی از طریق AD یا LDAP

 

  • Framework اعلان­‌ها (Notification Framework)
  • تعریف قوانین اعلان برای فراخوانی Webhookها، ارسال ایمیل و پیا­م های Slack و Mattermost

 

  • متریک و داشبورد (Metrics and Dashboards)
  • تولید KPI و MBOهای مفید
  • جمع‌­آوری و ترکیب اطلاعات، موارد مشخص شده و وظایف هر تیم

 

  • APIهای جامع (Comprehensive APIs)
  • دسترسی به APIها به جهت پیاده‌­سازی workflow
  • استفاده از داده‌­های TheHive برای توسعه اسکریپت‌­های خودکار

 

 

  • یکپارچه­‌سازی TheHive با MISP (MISP and TheHive Integration)
  • به اشتراک گذاری اطلاعات مورد نیاز برای تیم­‌های مختلف
  • استفاده همه اعضای حاضر از تمام اطلاعات به اشتراک گذاشته شده

 

  • ادغام Mitre Attack با پلتفرم (Mitre Attack Integration)
  • اضافه کردن همه TTPهای mitre به TheHive Alert
  • قابلیت ارسال تاکتیک­‌ها و تکنیک‌­ها به MISP

 

نحوه نصب و راه اندازی

TheHive و همه برنامه­‌های مورد نیاز ، به اندازه کافی انعطاف پذیر هستند تا بتوان تنظیمات را مطابق با نیازمندی­‌ها انجام داد.

TheHive به دو صورت کلاستر شده و standalone پیاده سازی می‌­شود.

  • برای پیاده سازی این پروژه به موارد زیر نیاز است:
  • Apache Cassandra برای جمع‌­آوری داده ها
  • Elasticsearch موتور ذخیره سازی
  • File storage solution
  • معماری

هر لایه پروژه مثل خود برنامه، موتورهای index ، database و file storage مستقل از یکدیگر هستند و می‌­توانند هم روی standalone نصب شوند (یعنی تمام لایه‌­ها یکجا نصب شوند) و هم می­‌توانند به صورت کلاستر شده مورد استفاده قرار گیرند.

 

  • نیازمندی­‌های سخت افزاری

نیازمندی­‌های سخت افزاری به تعداد کاربران و نحوه استفاده آن­ها از سیستم بستگی دارد. در سایت مرجع TheHive جدولی قرار داده شده است که آستانه ایمنی را در هنگام پیاده­سازی همه hostها روی یک سرور نشان داده است:

*حداقل سیستم پیشنهادی، 4 core ، 16 گیگ رم و نصب jvm.options روی Elasticsearch می‌­باشد.

 

  • سیستم عامل

پروژه TheHive روی توزیع­های زیر تست شده و پشتیبانی می­شوند:

  • Ubuntu 20.04 LTS & 22.04 LTS
  • Debian 11
  • RHEL 8
  • Fedora 35 & 37

 

  • نصب به صورت Standalone

همه برنامه‌­ها روی یک سرور مشترک نصب می‌­شود:

  • Cassandra
  • Elasticsearch
  • Files are store on the filesystem (or MinIO if desired)
  • TheHive
  • NGINX به صورت انتخابی است که برای مدیریت ارتباطات HTTPS می‌­باشد.

 

  • نصب به صورت Clustered

برای راه اندازی به صورت کلاستر شده، برنامه­های مورد نیاز به صورت زیر می­باشد:

  • Cassandra به عنوان database
  • Elasticsearch به عنوان موتور ذخیره­سازی
  • Minio S3 برای ذخیره سازی اطلاعات
  • TheHive
  • Haproxy به جهت نمایش دادن Load Balancer
  • Keepalived به منظور نمایش دادن راه اندازی IP مجازی