TheHive چیست؟ نرم افزار متن باز پاسخگویی به حوادث
TheHive یک پلتفرم پاسخگویی به حوادث امنیتی Open-source است که با MISP (Malware Information Sharing Platform) که یک پلتفرم برای به اشتراک گذاری اطلاعات بدافزار میباشد، ادغام شده تا شرایط را برای اعضای SOC ، CSIRT (مرکز عملیات امنیت) و هر متخصص امنیت دیگر که نیاز به مدیریت، بررسی و اقدام سریع در خصوص حوادث امنیتی دارند راحتتر کند.
این پلتفرم به تحلیلگران اجازه میدهد تا هشدارهای امنیتی و انواع دادههای امنیتی را از منابع مختلف مانند سیستمهای تشخیص نفوذ، نرمافزارهای آنتیویروس و سیستمهای مدیریت گزارش را در یک مکان متمرکز جمعآوری و تجزیه و تحلیل کنند. همچنین به اعضای تیم اجازه میدهد در تحقیقات با هم کار کنند، اطلاعات را به اشتراک بگذارند و پاسخ خود را هماهنگ کنند. به طور کلی، TheHive به سازمانها کمک میکند تا قابلیتهای واکنش به حوادث خود را بهبود بخشند و زمان و تلاش لازم برای شناسایی، بررسی و پاسخ به حوادث امنیتی را کاهش دهند.
سه خصوصیت قابل توجه پلتفرم TheHive
- Collaborate یا همکاری
Collaborate، قابلیتی را فراهم میآورد تا چندین تحلیلگر SOC و CSIRT بهصورت همزمان در تحقیقات با یکدیگر همکاری کنند. به علت وجود Live Stream، تمامی اطلاعات مربوط به موارد جدید برای همه اعضای تیم در دسترس میباشد. اعلانهای ویژهای که وجود دارد این امکان را فراهم میآورد تا وظایف جدید مشخص شده و رویدادهای جدید MISP و هشدارها از منابع متعدد مانند گزارشهای ایمیل، ارائه دهندگان CTI و SIEM نمایش داده شود تا در اسرع وقت به بررسی آنها پرداخته شود.
- Elaborate یا دقت و حساسیت
موارد و وظایف را میتوان از طریق یک موتور پرقدرت مشخص نمود، به این صورت که میتوان معیارها و فیلدهای موردنیاز را به الگوها اضافه کرد تا فعالیت تیمها هدایت شود، نوع بررسی و میزان ضرورت مشخص شود و همچنین فرآیند خودکارسازی از طریق ایجاد داشبوردهای پویا انجام گردد. همچنین، تحلیلگران میتوانند کارهای انجام شده خود را ثبت کنند، فایلهای مهم را پیوست کنند، Tagها را اضافه کنند و فایلهای ZIP محافظت شده با رمز عبور که ممکن است حاوی بدافزار یا دادههای مشکوک باشند را بدون نیاز به باز نمودن آنها منتقل کنند.
- Act یا عملکرد
با استفاده از این قابلیت میتوان به هر موردی که ایجاد میشود یک، صد یا هزاران نکته قابل توجه که به طور مستقیم از رویداد MISP یا هر Alert دیگری که به پلتفرم فرستاده شده است، اضافه کرده تا به صورت حیاتی بررسی و فیلتر شود.
ویژگیهای مهم پلتفرم The Hive
- مدیریت هشدار (Alert Management)
- نظارت و بررسی صفحه مربوط به Alertها
- شناسایی Alertهای مشابه
- تعریف statusها و فیلدهای سفارشی
- مشخص نمودن موارد مهم به جهت بررسی بیشتر
- مدیریت پرونده (Case Management)
- مشخص نمودن موارد و وظایف هر گروه
- شناسایی موارد مشابه
- تعریف Permissible Actions Protocol روی هر پرونده
- بهبود بخشیدن فرآیند پاسخ به حادثه
- محیطهای مشترک با دیگر تیمها (Multi Tenant Environment)
- ایجاد یک محیط مشترک برای همکاری چندین تیم و سازمان
- جداسازی سازمانها و تیمها بر اساس نقش و مجوز
- مدیریت پیشرفته کاربر(Advanced User Management)
- تعریف پروفایل هر کاربر به صورت سفارشی
- برقراری ارتباط بین کاربران
- همگامسازی از طریق AD یا LDAP
- Framework اعلانها (Notification Framework)
- تعریف قوانین اعلان برای فراخوانی Webhookها، ارسال ایمیل و پیام های Slack و Mattermost
- متریک و داشبورد (Metrics and Dashboards)
- تولید KPI و MBOهای مفید
- جمعآوری و ترکیب اطلاعات، موارد مشخص شده و وظایف هر تیم
- APIهای جامع (Comprehensive APIs)
- دسترسی به APIها به جهت پیادهسازی workflow
- استفاده از دادههای TheHive برای توسعه اسکریپتهای خودکار
- یکپارچهسازی TheHive با MISP (MISP and TheHive Integration)
- به اشتراک گذاری اطلاعات مورد نیاز برای تیمهای مختلف
- استفاده همه اعضای حاضر از تمام اطلاعات به اشتراک گذاشته شده
- ادغام Mitre Attack با پلتفرم (Mitre Attack Integration)
- اضافه کردن همه TTPهای mitre به TheHive Alert
- قابلیت ارسال تاکتیکها و تکنیکها به MISP
نحوه نصب و راه اندازی
TheHive و همه برنامههای مورد نیاز ، به اندازه کافی انعطاف پذیر هستند تا بتوان تنظیمات را مطابق با نیازمندیها انجام داد.
TheHive به دو صورت کلاستر شده و standalone پیاده سازی میشود.
- برای پیاده سازی این پروژه به موارد زیر نیاز است:
- Apache Cassandra برای جمعآوری داده ها
- Elasticsearch موتور ذخیره سازی
- File storage solution
- معماری
هر لایه پروژه مثل خود برنامه، موتورهای index ، database و file storage مستقل از یکدیگر هستند و میتوانند هم روی standalone نصب شوند (یعنی تمام لایهها یکجا نصب شوند) و هم میتوانند به صورت کلاستر شده مورد استفاده قرار گیرند.
- نیازمندیهای سخت افزاری
نیازمندیهای سخت افزاری به تعداد کاربران و نحوه استفاده آنها از سیستم بستگی دارد. در سایت مرجع TheHive جدولی قرار داده شده است که آستانه ایمنی را در هنگام پیادهسازی همه hostها روی یک سرور نشان داده است:
*حداقل سیستم پیشنهادی، 4 core ، 16 گیگ رم و نصب jvm.options روی Elasticsearch میباشد.
- سیستم عامل
پروژه TheHive روی توزیعهای زیر تست شده و پشتیبانی میشوند:
- Ubuntu 20.04 LTS & 22.04 LTS
- Debian 11
- RHEL 8
- Fedora 35 & 37
- نصب به صورت Standalone
همه برنامهها روی یک سرور مشترک نصب میشود:
- Cassandra
- Elasticsearch
- Files are store on the filesystem (or MinIO if desired)
- TheHive
- NGINX به صورت انتخابی است که برای مدیریت ارتباطات HTTPS میباشد.
- نصب به صورت Clustered
برای راه اندازی به صورت کلاستر شده، برنامههای مورد نیاز به صورت زیر میباشد:
- Cassandra به عنوان database
- Elasticsearch به عنوان موتور ذخیرهسازی
- Minio S3 برای ذخیره سازی اطلاعات
- TheHive
- Haproxy به جهت نمایش دادن Load Balancer
- Keepalived به منظور نمایش دادن راه اندازی IP مجازی