TheHive Project – система инцидент менеджмента. Состоит из двух основных модулей TheHive (платформа регистрации, обработки и работы над инцидентами) и Cortex (платформа для анализа и обогащения информации).
Cortex интегрирован в TheHive – является полностью автоматизированным модулем.
Для доступа в TheHive перейдите по ссылке: https://a-crc-thehive:9443
В случае необходимости, ссылка на Cortex: https://a-crc-cortex:8443
Жизненный цикл инцидента в TheHive:
- Описание инцидента;
- Деление на задачи;
- Обогащение данных;
- Отчетность по инциденту.
Для регистрации нового инцидента необходимо нажать на +New Case > Empty Case и ввести начальные сведения по данному инциденту.
- Title – заголовок инцидента;
- Severity – классификация угрозы инцидента (L – низкий, M – средний, H – высокий);
- Tags – набор тегов для быстрого поиска;
- Date – дата и время регистрации инцидента;
- TLP – протокол для обмена конфиденциальной информацией
- (RED – персональный, только для определенных получателей.
Например, в контексте совещания информация о RED ограничена только теми, кто присутствуют на собрании. В большинстве случаев данная информация передается лично или устно;
AMBER – ограниченное распространение.
Получатель может передавать информацию AMBER между другими членами своей организации, но только для «необходимости знать». Предполагается, что инициатор может указать предполагаемые пределы этого совместного использования;
GREEN – общий.
Информация в этой категории может широко распространяться в рамках конкретного сообщества. Однако информация не может публиковаться или публиковаться в Интернете и не должна выходить за пределы сообщества;
WHITE – без ограничений.
В соответствии со стандартными правилами авторского права информация WHITE может распространяться свободно, без ограничений.);
Description – описание инцидента.
Для создания отдельных задач для аналитиков ИБ, необходимо при создании инцидента в поле Case tasks вписать задачу и нажать Add task (необязательно выполнять данное действие при создании инцидента).
Для управления задачами есть специальная вкладка Tasks, где видно кто из пользователей работает над задачей, описание выполнения задачи и её статус.
У каждой задачи есть статусы их можно понять по колонке Actions (Waiting – только созданная задача, не принятая на выполнение; In progress – задача, принятая на выполнение; Completed – закрытая задача). В шапке содержится 2 важные вкладки, помогающие аналитикам оперативно увидеть задачи, принятые на исполнения (My tasks) и новые задачи (Waiting tasks).
Для обогащения данных необходимо перейти во вкладку Observables и завести новый источник, в качестве примера будет задан ip адрес с которого ведется bruteforce.
После того как внесен нужный источник снизу есть поле Analysis, в котором располагаются подключенные анализаторы системы.
Можно произвести выборочную проверку или запустить все, чтобы запустить все необходимо нажать Run All, после по каждому анализатору можно посмотреть подробный отчет.
Обогащение информации, осуществляется с помощью специальный анализаторов, данные анализаторы собирают информацию из различных источников.
Также подключены анализаторы, осуществляющие поиск по открытым источникам, дабы избежать утечек информации, не используйте конфиденциальную информацию.
Для тестирования обогащения данных.
На основе полученных данных, аналитик может провести более детальный анализ инцидента и сделать заключение.
После проведения расследования аналитик закрывает данный кейс и пишет по нему заключение.
Для закрытия кейса, необходимо нажать Close сверху справа.
При закрытии кейса, необходимо указать его статус, статусы выбираются аналитиками на основании заключения по инциденту, также необходимо добавить результат (Summary).
Чтобы повторно поднять закрытый инцидент, необходимо на главной странице выбрать параметр все, после чего можно видеть в правой части окна историю по данному кейсу и все его детали, задачи и обогащенные источники.
Также имеется вкладка Dashboards, в ней есть как стандартные дашборды, так и специализированный для вашей организации.
В них можно получить оперативную статистика по событиям и кейсам. Т
акже возможно формирование отчетов с данным графиками, каждый график можно сохранить нажав на Save as > Image/ CSV.
