TheHive nueva versión, “favorito del editor 2021”

2020 llegó a su fin. Fue una nueva oportunidad para nuestro equipo de lanzar una nueva versión TheHive.

En TheHive, piensan en aquellos que estarán frente a sus pantallas durante los primeros días del año, y les dejaron un buen regalo.

Recientemente, anunciaron el lanzamiento de 4.0.3 que viene con algunas mejoras interesantes y correcciones de errores.

¿Qué hay de nuevo en TheHiven?

Las principales características agregadas en esta versión son:

  • mejora de las capacidades de gestión de tareas para la colaboración, agregando una nueva marca llamada “Acción requerida”
  • revisión y mejora de la implementación de filtros de sincronización MISP
  • nueva capacidad de API para permitir la búsqueda de alertas por observables
  • nuevo proveedor de S3 y configuración para el almacenamiento de archivos (observables y adjuntos de registro de tareas)

Requerir una acción en una tarea

Esta característica es útil para la colaboración para permitir que un equipo maestro requiera acciones de los equipos con los que colabora.

Expliquémoslo con un ejemplo concreto.

Imagine una instancia de:

TheHive que define dos organizaciones:

SOC y CERT, ambas trabajando en un caso liderado por el equipo de CERT que es el propietario del caso.

Para una de las tareas, el manejador de incidentes del equipo CERT necesita una acción del equipo SOC en una Tarea llamada “Recopilar evidencias o IOC”.

En la página de detalles de la Tarea, en la sección “Compartir”, para cada “Compartir”, se muestra un nuevo botón ” Requerir acción “.

Permite a cualquier usuario con el permiso `manageTask` habilitar la bandera para la organización específica para esa Tarea específica.

El administrador de incidentes también puede requerir una acción de los miembros de su equipo.

Detalles de la tarea, Requiere acción de su propio equipo
Detalles de la tarea, Requiere acción de otro equipo

Cuando el usuario hace clic en el botón “Requerir acción”, TheHive pregunta si es necesario agregar un registro de tareas a la tarea para explicar la acción requerida.

El usuario puede continuar sin agregar un registro de tareas

Requerir diálogo de confirmación de acción

IT CONNECT

Información de valor para quienes toman decisiones de negocios

Si el usuario hace clic en “Sí, agregar registro”, se muestra un cuadro de diálogo que le pide que escriba un mensaje de Registro de tareas y, opcionalmente, agregue un archivo adjunto:

Cuadro de diálogo Agregar registro de tareas

Una vez confirmada, la acción se completa y la Tarea se marca como que requiere acción del equipo adecuado.

Acción requerida por parte del equipo de SOC en la tarea “Recopilar evidencias o COI”

Esta función no solo viene con estos botones relacionados con la tarea, sino que también incluye algunas funciones para las páginas de lista de casos y tareas , incluido el filtrado: es más fácil enumerar los casos en los que al menos una tarea todavía requiere una acción de un equipo:

Lista de casos que requieren acciones

Al navegar a la lista de tareas , el usuario puede ver fácilmente qué tarea necesita una acción:

Lista de tareas, filtrada por la bandera de acción requerida

Cuando un usuario accede a una Tarea que está marcada como que requiere una acción, la página de detalles de la Tarea muestra un mensaje de advertencia, con un botón ;

Marcar como completado“, que cuando se hace clic, confirma la finalización de la acción requerida:

TheHive

Mensaje de advertencia de acción requerida

Cuando se hace clic en él, el botón “Marcar como hecho” pasa por el mismo cuadro de diálogo de confirmación descrito anteriormente, lo que permite agregar opcionalmente un Registro de tareas .

Revisar la configuración de los filtros MISP

TheHive 4.0.3 ha revisado y mejorado el rendimiento de los servicios de sincronización de MISP y ha agregado una nueva configuración a los eventos de la lista blanca por organización, no solo por etiquetas.

A continuación se muestra una configuración no exhaustiva de un servidor MISP, donde se utiliza el filtro `whitelist.organisation`:

play.modules.enabled += org.thp.thehive.connector.misp.MispModule
misp {
  interval: 1 hour
  servers: [
    {
      name = "local"            # MISP name
      url = "http://localhost/" # URL or MISP
      auth {
        type = key
        key = "***"             # MISP API key
      }

      ...

      # Organization and tags 
      whitelist {
        organisation = ["good organisation"]
      #  tags = ["tag1", "tag2"]
      }
    }
  ]
}

Busque alertas por condiciones observables

En TheHive 3, los observables de Alert se almacenan dentro de los datos de Alert, no como datos no independientes, y no es posible consultarlos a través de las API de “_search” y de Query DSL.

En 4.0.3 se eliminó esta limitación, lo que permite consultar una alerta con condiciones en sus observables secundarios.

Usando TheHive4py, el siguiente código ahora es posible:

import json
from thehive4py.api import TheHiveApi
from thehive4py.models import *
from thehive4py.query import *

THEHIVE_URL = 'http://127.0.0.1:9000'
THEHIVE_API_KEY = 'API_KEY'

api = TheHiveApi(THEHIVE_URL, THEHIVE_API_KEY)

# Define the query
query = And(
    Eq('source', 'THEHIVE-PROJECT'),
    Eq('severity', Severity.MEDIUM.value),
    Child('alert_artifact', And(
        Eq('dataType', 'hash'),
        Eq('data', 'A_HASH_VALUE')
    )),
    Like('title', '*MALSPAM*')
)

# Search for alerts
response = api.find_alerts(query=query, range='all')

# Print 
print(response.json(), indent=4)

El fragmento de código anterior busca alertas de con:

  • source='TheHive-Project'
  • severity=medium
  • title incluyendo la palabra “MALSPAM”
  • tener un “hash” específico observable

Soporte de almacenamiento S3

El almacenamiento de archivos se utiliza en TheHive para almacenar archivos adjuntos.

TheHive ahora admite un nuevo tipo de almacenamiento además de hadoop y sistema de archivos local: Amazon S3.

El proveedor de almacenamiento S3 se puede configurar especificando el punto final, la región y las credenciales.

La configuración debe estar ubicada en la providersección, en application.conf:

1
2
3
4
5
6
7
8
9
10
11
12
13
storage {
  provider: s3
  s3 {
    bucket = "thehive"
    readTimeout = 1 minute
    writeTimeout = 1 minute
    chunkSize = 1 MB
    endpoint = "http://s3.amazonaws.com"
    accessKey = "xxx"
    secretKey = "xxx"
    region = "us-west-1"
  }
}

¿Cómo instalar / actualizar?

Las  guías de instalación  están actualizadas.

Nota destacada

Si está actualizando una instancia existente de la versión 4.0.0, asegúrese de leer la guía de instalación.

Desde el reciente lanzamiento de la versión 3.5.0, actualizamos nuestros repositorios.

El nombre en clave de los repositorios que contienen todos los paquetes nuevos lanzados ahora se nombra  release, en lugar de  stable. Así que actualice su   archivo de repositorio apt  o  yum .

Cómo informar problemas

Abra un problema en GitHub con  la plantilla dedicada a  la versión 4 . Los vigilaremos de cerca y responderemos en consecuencia.

¿Tiene problemas?

Si encuentra alguna dificultad, únase al  foro de usuarios , contáctelos en  Discord o envíe un correo electrónico a

support(at)thehive-project.org .

Es una organización con vocación de ayudar.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lea más

Dell Technologies reimagina el trabajo 2021

PAT GELSINGER: “Dando forma al futuro ahora” Agenda 2030

Carbino 2021: el material que está revolucionando a la ciencia

Energía Solar 2020: una alternativa de eficiencia operativa

E-commerce: Como (re) vivir un negocio en el post Covid 2021

2020 la ciberseguridad en cifras

Cifrado homomórfico: IBM presenta tecnología 2020

FireEye: hack de SolarWinds y el ataque al Tesoro de EE. UU.

Gmail ha muerto, el 2020 cobra otra víctima

Ciberdelito: analizamos el forecast 2021 de este negocio oscuro

 

 

Nota de la redación: es tan grande nuestra admiración por este producto comunitario que nuestro logo y el de ellos guardan muchas similitudes.

91 / 100