The Hive — расширенная платформа реагирования на внезапные неполадки с открытым исходным кодом

  • Автор темы HHIDE_DUMP
  • Дата начала
  • Просмотры 717
  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Бесплатная Расширенная платформа реагирования на внезапные неполадки с открытым исходным кодом: The Hive
TheHive является расширенным 3-в-1 решением с открытым исходным кодом, разработанным для того, чтобы упростить жизнь SOCs, CSIRTs, CERTs и других деятелей в сфере информационной безопасности, которые постоянно сталкиваются с внезапными неполадками в системе безопасности, требующими немедленного реагирования и разбирательства.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
TheHive написан на Scala и использует ElasticSearch 2.x для хранения данных. Его REST API не запоминает состояний, что позволяет ему масштабироваться по горизонтали. Клиентская часть системы использует AngularJS с Bootstrap. Предоставленные анализаторы пишутся на Python. Дополнительные анализаторы могут быть написаны на том же языке или на любом другом, поддерживаемом Linux.



Работайте вместе
Совместная работа является сердцем TheHive. Несколько аналитиков могут одновременно работать над одним и тем же случаем. Например, аналитик может заниматься анализом вредоносного ПО, а другой может работать над отслеживанием активности маяка C2 в журналах прокси, пока они видят IOCs добавленный их коллегой в TheHive, благодаря The Flow (Подобный Twitter поток, который держит всех в курсе того, что происходит в реальном времени).

Занимайтесь тщательной разработкой
В TheHive, каждое расследование соответствует случаю. Случаи могут создаваться с нуля, а задания добавляться и отправляться (или приниматься) в процессе работы доступными аналитиками. Они также могут быть созданы из механизма шаблонов с соответствующими метриками, за которыми ваша команда должна следить по ходу проведения деятельности.
Каждая задача может иметь несколько рабочих журналов, в которых работающие аналитики могут описывать, к чему они пришли, каков был результат, приложить фрагменты данных или заслуживающие внимания файлы и т. д. Markdown поддерживается.

Анализируйте
Вы можете добавить одну или сотни, если не тысячи наблюдаемых составляющих, к каждому созданному вами делу. Вы также можете создать дело из
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
события, поскольку TheHive может быть очень легко связан с вашим экземпляром MISP, если он у вас есть. TheHive автоматически идентифицирует наблюдаемые объекты, которые уже были замечены в предыдущих случаях.
Наблюдаемые также могут быть связаны с TLP и их источником (с помощью тегов). Вы также можете легко отметить наблюдаемые объекты как IOC и изолировать их с помощью поискового запроса и экспортировать их для поиска в вашем SIEM или других хранилищах данных.
TheHive также имеет механизм анализа. Анализаторы могут быть написаны на любом языке программирования, поддерживаемом Linux, например Python или Ruby, для автоматизации наблюдаемого анализа: геолокации, поиска вирусов, поисков pDNS, разбора сообщений Outlook, поиска корня угроз, …
Аналитики безопасности, умеющие писать сценарии, могут легко добавлять свои собственные анализаторы (и вносить их обратно в сообщество, поскольку делиться своими достижениями очень полезно) для автоматизации скучных или утомительных действий, которые должны выполняться над наблюдаемыми объектами или IOC. Они также могут решить, как анализаторы ведут себя в соответствии с TLP. Например, файл, добавленный как наблюдаемый, может быть отправлен в VirusTotal, если связанный TLP — БЕЛЫЙ или ЗЕЛЕНЫЙ. Если это ЖЕЛТЫЙ, его хэш вычисляется и передается VT, но не файлу. Если это КРАСНЫЙ, то поиск VT не выполняется.
Анализаторы
Первый официальный выпуск TheHive предоставляет вам 7 анализаторов:
  • DNSDB*: использует Farsight’s
    Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
    для pDNS.
  • DomainTools*: поиск доменных имен, IP-адресов, записей WHOIS и т. д. С использованием популярного
    Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
    сервиса API.
  • Hippocampe: запрос угроз проходит через Hippocampe, инструмент FOSS, который централизует каналы и позволяет связать доверительный уровень с каждым из них (который может быть изменен с течением времени) и получить оценку, показывающую качество данных.
  • MaxMind: геолокация.
  • Olevba: анализирует файлы OLE и OpenXML с помощью olevba для обнаружения макросов VBA, извлечения их исходного кода и т. д.
  • Outlook MsgParser: этот анализатор позволяет добавлять файлы сообщений Outlook в качестве наблюдаемых и анализировать их автоматически
  • VirusTotal*: поиск файлов, URL-адресов и хэшей через
    Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
    .
Звездочка (*) означает, что анализатор требует API ключ для корректной работы. Мы не предоставляем API ключи. Вам нужно использовать свой собственный.



Дополнительные особенности The Hive
TheHive поддерживает 3 метода аутентификации:
  • Локальный
  • LDAP
  • Активная директория (Active Directory)
Кроме того, The Hive содержит статистический модуль, который позволяет создавать показательные информационные панели и управлять ими, чтобы более удобно руководить вашей деятельностью и поддерживать ваши бюджетные запросы.
Опробуйте это
Для использования TheHive, вы можете:
TheHive использует ElasticSearch для хранения данных. Обе программы используют Java виртуальную машину. Мы рекомендуем использовать виртуальную машину с 8vCPU, 8 GB RAM оперативной памяти и 60 GB свободного места на жестком диске. Вы также можете использовать физическую машину с такими же характеристиками.


 
Последнее редактирование:

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя