2020 llegó a su fin. Fue una nueva oportunidad para nuestro equipo de lanzar una nueva versión TheHive.
En TheHive, piensan en aquellos que estarán frente a sus pantallas durante los primeros días del año, y les dejaron un buen regalo.
Recientemente, anunciaron el lanzamiento de 4.0.3 que viene con algunas mejoras interesantes y correcciones de errores.
¿Qué hay de nuevo en TheHiven?
Las principales características agregadas en esta versión son:
- mejora de las capacidades de gestión de tareas para la colaboración, agregando una nueva marca llamada “Acción requerida”
- revisión y mejora de la implementación de filtros de sincronización MISP
- nueva capacidad de API para permitir la búsqueda de alertas por observables
- nuevo proveedor de S3 y configuración para el almacenamiento de archivos (observables y adjuntos de registro de tareas)
Requerir una acción en una tarea
Esta característica es útil para la colaboración para permitir que un equipo maestro requiera acciones de los equipos con los que colabora.
Expliquémoslo con un ejemplo concreto.
Imagine una instancia de:
TheHive que define dos organizaciones:
SOC y CERT, ambas trabajando en un caso liderado por el equipo de CERT que es el propietario del caso.
Para una de las tareas, el manejador de incidentes del equipo CERT necesita una acción del equipo SOC en una Tarea llamada “Recopilar evidencias o IOC”.
En la página de detalles de la Tarea, en la sección “Compartir”, para cada “Compartir”, se muestra un nuevo botón ” Requerir acción “.
Permite a cualquier usuario con el permiso `manageTask` habilitar la bandera para la organización específica para esa Tarea específica.
El administrador de incidentes también puede requerir una acción de los miembros de su equipo.
Detalles de la tarea, Requiere acción de otro equipo
Cuando el usuario hace clic en el botón “Requerir acción”, TheHive pregunta si es necesario agregar un registro de tareas a la tarea para explicar la acción requerida.
El usuario puede continuar sin agregar un registro de tareas
Requerir diálogo de confirmación de acción
IT CONNECT |
Información de valor para quienes toman decisiones de negocios |
Si el usuario hace clic en “Sí, agregar registro”, se muestra un cuadro de diálogo que le pide que escriba un mensaje de Registro de tareas y, opcionalmente, agregue un archivo adjunto:
Cuadro de diálogo Agregar registro de tareas
Una vez confirmada, la acción se completa y la Tarea se marca como que requiere acción del equipo adecuado.
Acción requerida por parte del equipo de SOC en la tarea “Recopilar evidencias o COI”
Esta función no solo viene con estos botones relacionados con la tarea, sino que también incluye algunas funciones para las páginas de lista de casos y tareas , incluido el filtrado: es más fácil enumerar los casos en los que al menos una tarea todavía requiere una acción de un equipo:
Lista de casos que requieren acciones
Al navegar a la lista de tareas , el usuario puede ver fácilmente qué tarea necesita una acción:
Lista de tareas, filtrada por la bandera de acción requerida
Cuando un usuario accede a una Tarea que está marcada como que requiere una acción, la página de detalles de la Tarea muestra un mensaje de advertencia, con un botón ;
“Marcar como completado“, que cuando se hace clic, confirma la finalización de la acción requerida:
TheHive
Mensaje de advertencia de acción requerida
Cuando se hace clic en él, el botón “Marcar como hecho” pasa por el mismo cuadro de diálogo de confirmación descrito anteriormente, lo que permite agregar opcionalmente un Registro de tareas .
Revisar la configuración de los filtros MISP
TheHive 4.0.3 ha revisado y mejorado el rendimiento de los servicios de sincronización de MISP y ha agregado una nueva configuración a los eventos de la lista blanca por organización, no solo por etiquetas.
A continuación se muestra una configuración no exhaustiva de un servidor MISP, donde se utiliza el filtro `whitelist.organisation`:
play.modules.enabled += org.thp.thehive.connector.misp.MispModule
misp {
interval: 1 hour
servers: [
{
name = "local" # MISP name
url = "http://localhost/" # URL or MISP
auth {
type = key
key = "***" # MISP API key
}
...
# Organization and tags
whitelist {
organisation = ["good organisation"]
# tags = ["tag1", "tag2"]
}
}
]
}
Busque alertas por condiciones observables
En TheHive 3, los observables de Alert se almacenan dentro de los datos de Alert, no como datos no independientes, y no es posible consultarlos a través de las API de “_search” y de Query DSL.
En 4.0.3 se eliminó esta limitación, lo que permite consultar una alerta con condiciones en sus observables secundarios.
Usando TheHive4py, el siguiente código ahora es posible:
import json
from thehive4py.api import TheHiveApi
from thehive4py.models import *
from thehive4py.query import *
THEHIVE_URL = 'http://127.0.0.1:9000'
THEHIVE_API_KEY = 'API_KEY'
api = TheHiveApi(THEHIVE_URL, THEHIVE_API_KEY)
# Define the query
query = And(
Eq('source', 'THEHIVE-PROJECT'),
Eq('severity', Severity.MEDIUM.value),
Child('alert_artifact', And(
Eq('dataType', 'hash'),
Eq('data', 'A_HASH_VALUE')
)),
Like('title', '*MALSPAM*')
)
# Search for alerts
response = api.find_alerts(query=query, range='all')
# Print
print(response.json(), indent=4)
El fragmento de código anterior busca alertas de con:
source='TheHive-Project'
severity=medium
title
incluyendo la palabra “MALSPAM”- tener un “hash” específico observable
Soporte de almacenamiento S3
El almacenamiento de archivos se utiliza en TheHive para almacenar archivos adjuntos.
TheHive ahora admite un nuevo tipo de almacenamiento además de hadoop y sistema de archivos local: Amazon S3.
El proveedor de almacenamiento S3 se puede configurar especificando el punto final, la región y las credenciales.
La configuración debe estar ubicada en la provider
sección, en application.conf
:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
storage { provider: s3 s3 { bucket = "thehive" readTimeout = 1 minute writeTimeout = 1 minute chunkSize = 1 MB endpoint = "http://s3.amazonaws.com" accessKey = "xxx" secretKey = "xxx" region = "us-west-1" } } |
¿Cómo instalar / actualizar?
Las guías de instalación están actualizadas.
Nota destacada
Si está actualizando una instancia existente de la versión 4.0.0, asegúrese de leer la guía de instalación.
Desde el reciente lanzamiento de la versión 3.5.0, actualizamos nuestros repositorios.
El nombre en clave de los repositorios que contienen todos los paquetes nuevos lanzados ahora se nombra release
, en lugar de stable
. Así que actualice su archivo de repositorio apt o yum .
Cómo informar problemas
Abra un problema en GitHub con la plantilla dedicada a la versión 4 . Los vigilaremos de cerca y responderemos en consecuencia.
¿Tiene problemas?
Si encuentra alguna dificultad, únase al foro de usuarios , contáctelos en Discord o envíe un correo electrónico a
support(at)thehive-project.org .
Es una organización con vocación de ayudar.
Por Marcelo Lozano – General Publisher IT Connect Latam
Lea más
Dell Technologies reimagina el trabajo 2021
PAT GELSINGER: “Dando forma al futuro ahora” Agenda 2030
Carbino 2021: el material que está revolucionando a la ciencia
Energía Solar 2020: una alternativa de eficiencia operativa
E-commerce: Como (re) vivir un negocio en el post Covid 2021
2020 la ciberseguridad en cifras
Cifrado homomórfico: IBM presenta tecnología 2020
FireEye: hack de SolarWinds y el ataque al Tesoro de EE. UU.
Gmail ha muerto, el 2020 cobra otra víctima
Ciberdelito: analizamos el forecast 2021 de este negocio oscuro
Nota de la redación: es tan grande nuestra admiración por este producto comunitario que nuestro logo y el de ellos guardan muchas similitudes.