TheHive Reloaded: 4.1.0 ya está disponible

TheHive Reloaded

TheHive Reloaded

La comunidad está en éxtasis con TheHive Reloaded v4.1.0. Sus características renovadas, la convierten en una herramienta aún más potente.

Esta versión es el nuevo comienzo del futuro de TheHive, porque todas las próximas funciones y mejoras se basarán en esta versión.

4.1.0 está disponible después de un trabajo significativo realizado durante los últimos 6 meses, interrumpido por múltiples eventos como:

  • compatibilidad con ES 7 en TheHive 3 y Cortex
  • compatibilidad con ES 7.11 en TheHive 3 y Cortex
  • 5 lanzamientos de parches de TheHive 4.0
  • Incidente reciente del centro de datos de OVH (pero éste se solucionó rápidamente)

La comunidad lo estaba esperando, ya que anunciaron que solucionará los problemas de rendimiento que muchos profesionales estaban enfrentando.

La razón es que TheHive 4.0.x no incluye un componente de indexación de la base de datos que da como resultado un rendimiento deficiente en la obtención de datos.

La nueva versión, incluye toneladas de nuevas funciones y mejoras en toda la aplicación.

El primero y quizás el principal, es la indexación de la base de datos (# 1731) que mejorará significativamente el rendimiento de consultas como listas, filtros y ordenación.

Como consecuencia, debería experimentar una navegación y un uso de la aplicación más fluidos.

Entre todas las demás características de noticias, presentaron:

  • Compatibilidad con taxonomías MISP , además de etiquetas personalizadas y compatibilidad con colores de etiquetas;
  • Soporte para casos de TTP especificados por el marco MITRE ATT & CK ;
  • Capacidades mejores y mejoradas de fusión y eliminación de casos ;
  • Un formato de fecha y hora personalizable
  • Una interfaz de usuario de administración de plantillas de casos refinada
  • Interfaz de usuario de lista de casos mejorada con acciones masivas
  • Interfaz de usuario de lista de ta-reas mejorada con acciones masivas
  • Una página de estado de la plataforma para obtener una descripción general del estado de la plataforma
  • Soporte para la migración de TheHive 3.5.1 a 4.1
  • Soporte para autenticación en puntos finales de Webhook

Para aquellos de ustedes que quieran conocer todos los detalles, aquí está el registro de cambios.

Unas palabras sobre la documentación

Como Usted seguramente sabe, TheHive tiene un repositorio de documentación que incluye contenido para TheHive 3 y TheHive 4, pero la estructura debe redefinirse.

Por esa razón, presentaron un nuevo sitio web de documentación que pretende ser el punto de partida único de todos los documentos que producimos para los productos de TheHive Projects.

Para visitar el nuevo sitio web de documentación, vaya a
https://docs.thehive-project.org

Más sobre las nuevas funciones

Indexación de la base de datos

Hasta ahora, era notorio que TheHive sufría de un problema de rendimiento con la base de datos.

Técnicamente, TheHive utiliza un mecanismo de índice básico integrado en JanusGraph.

Estos índices son fáciles de usar y administrar, pero contienen limitaciones.

Solo admiten búsquedas de igualdad y no se pueden usar para ordenar (por ejemplo, esto no es posible simplemente buscar casos con severidad> LOW).

Sin embargo, dentro de TheHive, casi todas las listas (listas de casos, listas de alertas, tareas …) están ordenadas.

Por lo tanto, obtener una lista significa escanear todos los elementos de la lista, que tienen un gran impacto en el rendimiento, especialmente si la lista es larga.

Para resolver este problema, TheHive 4.1.0 viene con un nuevo motor de índices y los índices deben almacenarse fuera de la base de datos.

Como consecuencia, debe definir y configurar un almacenamiento dedicado para estos índices.

  • Si TheHive se usa en modo de clúster, todos los servidores deben conectarse a un motor de índice común, que puede estar en modo de clúster o no.                  En este caso, se debe instalar un nuevo componente para la gestión de índices.    Elasticsearch debe usarse, solo como motor de índice.                                        Para los clústeres, Elasticsearch no se usa como lo hacía con TheHive 3.x cuando almacenaba datos.
  • Si se usa TheHive en un servidor independiente, se puede usar Elastic-search, pero se puede preferir un motor de índice basado en archivos, Lucene.      La última solución tiene un impacto menor en la infraestructura (no hay componentes para instalar) y solo requiere una configuración que indique dónde se almacenan los datos de índice en el sistema de archivos.

Para obtener más detalles sobre la configuración de la indexación de la base de datos, consulte la documentación

Soporte de taxonomías MISP

TheHive 4 maneja las etiquetas de una manera completamente diferente a TheHive 3, incluso si las API siguen considerando las etiquetas como cadenas simples.                  Por ejemplo, cuando crea un caso de TheHiv4py, especifica etiquetas como una simple matriz de cadenas.

Detrás de escena, TheHive transforma las etiquetas en objetos, con un namespace, un predicatey un vacío value.            Por ejemplo, si crea un caso con una etiqueta gratuita src=mailbox, TheHive 4 crea un nuevo objeto Etiqueta de la siguiente manera:

{
    "namespace": "_freetag",
    "predicate": "src=mailbox",
    "value": null,
    "colour": "DEFAULT_COLOUR_FROM_THE_CONFIG"
}

Aquí es donde introdujeron el soporte de las taxonomías MISP, permitiendo a los usuarios administradores con el permiso `manageTaxonomy`, importar etiquetas definidas en machinetag.jsonformato, desde la página” Administración> Taxonomías “.

Diálogo de importación de taxonomías

Nota: la importación de la biblioteca de taxonomías MISP completa puede llevar algún tiempo (1 minuto)

Una vez importado, debe habilitar las taxonomías que necesita para los casos de uso.

Todas las taxonomías están desactivadas de forma predeterminada.

Habilitando una taxonomía, ponga sus etiquetas a disposición de todas las organizaciones en la plataforma, para que los analistas puedan usarlas para etiquetar Casos , Alertas , Observables .

TheHive reloaded

Selector de etiquetas

Las etiquetas de taxonomía también se pueden utilizar desde cualquier filtro de etiquetas en las listas de casosalertas y observables :

Filtro de etiquetas

Soporte de etiquetas personalizadas

Etiquetas personalizadas o etiquetas gratuitas, es la forma en que llamamos etiquetas de texto libre asociadas con los objetos TheHive.

Internamente, las etiquetas personalizadas se incluyen en la taxonomía especial relacionada con la organización denominada “etiquetas gratuitas”.

Las etiquetas personalizadas no se comparten entre organizaciones, por lo que los usuarios existentes que definen datos confidenciales en etiquetas no sufrirán ningún problema de fuga de datos.

En general, no se supone que las etiquetas personalizadas en TheHive usen datos e información. No es una buena práctica utilizar direcciones de correo electrónico como etiquetas. Los campos personalizados son el lugar adecuado para este tipo de datos.

Este tema necesita una publicación de blog dedicada, para compartir las mejores prácticas de uso de etiquetas.

¿Cómo gestiona un administrador de organización las etiquetas personalizadas?

TheHive 4.1 viene con una nueva sección de interfaz de usuario, en la página de administración de la organización, que permite:

  • Listado de todas las etiquetas personalizadas
  • Filtrar y ordenar
  • Actualización de valores y colores de etiquetas personalizadas
  • Eliminar etiquetas personalizadas
  • Visualización del uso de etiquetas personalizadas (# de casos, # de alertas, # de observables y # de plantillas de casos)

TheHive reloaded

      Gestión de etiquetas personalizadas 

Para los usuarios que migran desde TheHive 3, todas las etiquetas existentes se importan como etiquetas personalizadas

Tácticas, técnicas y procedimientos, con MITRE ATT & CK

La compatibilidad con el marco MITRE ATT & CK es una de las características que se ha pospuesto muchas veces desde TheHive.

Es una característica obvia que debe incluir cualquier producto orientado al equipo azul.

TheHive 4.1, permite:

  • Importando la colección oficial de patrones de ataque MITRE ATT & CK como se define en https://github.com/mitre/cti .                En esta versión es compatible con el catálogo empresarial, pero el objetivo futuro es permitir la gestión de varios catálogos de una manera similar a una galaxia errónea .
  • Definición de TTP asociadas con los casos de TheHive

Gestión de patrones de ataque

Desde la página de administración, cualquier usuario con managePatternpermiso puede tener acceso a una página donde los patrones se pueden importar, filtrar y visualizar.

TheHive Reloaded

Importar patrones de ataque

TheHive Reloaded

Página de gestión de patrones de Ataques

TTP de casos

Además de Tareas y Observables , en TheHive 4.1, puede asociar TTP a sus Casos . Los objetos TTP se definen por:

  • Una táctica
  • Una técnica o sub-técnica
  • Una fecha de ocurrencia
  • Una descripción de procedimiento opcional

TheHive Reloaded

Agregar un TTP a un caso

Los TTP de casos se muestran en una pestaña dedicada en la página de detalles del caso , de la misma manera que Tareas y Observables , con capacidades de filtrado y clasificación.

TheHive Reloaded

Lista de TTP publicados en el informe “ sandbox INTRUSIONES SET campaña dirigida a Centreon SISTEMAS ” por CERT-FR

Esta captura de pantalla muestra los colores tácticos que usan, gracias a la publicación de blog de Paul Tol.

Mejoras relacionadas con la lista de casos TTP

Una característica más: la lista de casos ahora muestra el número de TTP asociados con cada caso , con un enlace a la página de la lista de TTP.

Resumen del caso

Personalizar fecha y hora

Desde el principio, TheHive muestra fechas con el formato Mes-Día-Año . Después de 5 años, ahora puede personalizar la forma en que desea que se muestren la fecha y la hora en todas las vistas de la interfaz de usuario.

Esto se puede configurar a nivel de organización , definiendo el formato preferido en la vista Configuración de la interfaz de usuario .

Esto requería un usuario con org-adminperfil o cualquier perfil con manageConfigpermiso.

Vista de configuración de la interfaz de usuario

Gestión mejorada de plantillas de casos

La interfaz de usuario de administración de plantillas de casos se ha reescrito para permitir más capacidades, necesarias cuando comienza a tener un número creciente de plantillas:

  • Filtración
  • Clasificación
  • Mostrar fechas
  • Muestra el número de tareas y campos personalizados.
Interfaz de usuario de gestión de plantillas de casos
IU de edición de plantilla de caso

Fusión de casos

Esta es una característica que se eliminó de TheHive 4.0, ya que requería una actualización de diseño para tener en cuenta el soporte de tenencia múltiple.

En TheHive 4.1, la combinación de casos tiene la misma interfaz de usuario:

  • Ir a la página de detalles de un caso
  • Haga clic en fusionar
  • Seleccione el caso en el que fusionar los datos
  • Validar

La diferencia en TheHive 4.1 es que, al fusionar dos casos, se eliminan los casos de origen y se crea uno nuevo con todos los datos fusionados.

Página de estado de la plataforma

Esta función tiene como objetivo ayudar a comprender los problemas relacionados con el estado de salud de TheHive. Contiene detalles sobre:

  • versión del esquema de la base de datos
  • estado de los índices de la base de datos
  • estado de las comprobaciones de integridad de la base de datos

También permite:

  • exportar un informe JSON del estado de salud que incluye más detalles que lo que se muestra en la interfaz de usuario
  • reindexar la base de datos
  • activar las comprobaciones de integridad de la base de datos

Esta página está disponible para usuarios superadministradores y contiene datos de organizaciones cruzadas

Estado de la plataforma

Opciones de autenticación de webhook

En TheHive 4.1, puede definir la configuración de autenticación para sus Webhooks. Para obtener más detalles, consulte el sitio web de documentación.

PROBLEMA CONOCIDO: la authpropiedad en las definiciones de Webhook, en el application.confarchivo es REQUERIDA, por lo que si su webhook no necesita autenticación, simplemente agregue

auth: {type: "none"}

para cada definición de Webhook

Actualización desde TheHive 4.0

Debido a la nueva función de indexación de la base de datos, la actualización desde 4.0.x requiere cierta atención. Dependiendo de su tipo de instalación (servidor independiente o clúster), su configuración deberá actualizarse en consecuencia.

  • En servidores independientes, deberá definir una nueva carpeta local para almacenar índices;
  • Para un clúster, deberá ubicar una instancia de Elasticsearch para usarla como índice.

Finalmente, actualice el /etc/thehive/application.conf archivo de configuración, instale la nueva versión de la aplicación y reinicie el servicio.

Puede encontrar información más detallada sobre esta actualización aquí:

https://docs.thehive-project.org/thehive/operations/update/

Los índices relacionados con los datos existentes se crearán en el primer inicio después de la actualización a TheHive 4.1.0. Dependiendo del tamaño de su base de datos, este proceso puede llevar mucho tiempo.

Actualización desde TheHive 3.x

Si todavía está utilizando TheHive 3.xy desea migrar a TheHive 4.1, debe echar un vistazo a las siguientes rutas admitidas:

Versión de destino Versión de fuente requerida
TheHive 4.1.x TheHive 3.5.1
TheHive 4.0.x 3.4.x <La colmena <3.5.1
Rutas de migración admitidas

Para obtener más detalles, consulte el sitio web de documentación.

Cómo instalar

Si comienza a utilizar TheHive con esta versión, le recomendamos que eche un vistazo a nuestro sitio de documentación y, en particular, a la sección de instalación y configuración que está actualizada y contiene todas las instrucciones para instalar y configurar TheHive 4.1.0.

Estibador

Si usa TheHive como un contenedor de ventana acoplable, puede consultar el repositorio de Docker-Templates que tiene una configuración de composición de ventana acoplable actualizada de TheHive 4.

Cómo informar problemas

Abra un problema en GitHub con  la plantilla dedicada para TheHive 4 .

Los monitorearemos de cerca y responderemos en consecuencia.

¿Tiene problemas?

Si encuentra alguna dificultad, únase a nuestro  foro de usuarios de TheHive

¡Elasticsearch 7.11.x ahora es compatible!

Después de los primeros comentarios recibidos de la comunidad sobre Discord y Github, han puesto la próxima versión 4.1.0 de TheHive en espera para enfocarse en lo que potencialmente puede romper Cortex v3.1.0 y TheHive v3.5.0 con la actualización a Elasticsearch v7.11 .X.
Varias preguntas aparecieron de desde la comunidad:

  • ¿Cómo arreglar el proceso de instalación?
  • ¿Cómo solucionar el proceso de actualización?
  • Como la actualización de una base de datos de Elasticsearch existente a 7.11.x hace que la degradación sea imposible después de eso, ¿nuestra solución la reparará?

Buenas noticias: esto se solucionó con TheHive v3.5.1 y Cortex 3.1.1, y estas versiones repararán las bases de datos que ya se han actualizado a ES 7.11.x.

La actualización de estas nuevas versiones introduce nuevos índices, para Cortex ( cortex_6), así como para TheHive ( the_hive_17).

  • Si planea ejecutar una nueva instalación para Cortex, simplemente siga la guía de instalación ;
  • Si desea actualizar su configuración, le recomendamos que siga este proceso:
    • Detener TheHive o Cortex
    • Detener Elasticsearch
    • Actualizar el paquete Elasticsearch
    • Reinicie Elasticsearch y asegúrese de que todo va bien
    • Instale el paquete TheHive 3.5.1 o Cortex 3.1.1
  • Si ya actualizó Elasticsearch a la versión 7.11.xy se enfrentó a posibles interrupciones con Cortex o TheHive, siga el proceso descrito anteriormente y debería recuperar el acceso a sus datos.

Una vez actualizado, se le debe invitar a actualizar la base de datos:

Actualizar la base de datos después de instalar TheHive 3.5.1 o Cortex 3.1.1

Haga clic en “Actualizar base de datos” y luego debería ser invitado a iniciar sesión. Todo debería funcionar bien después de eso.

Como de costumbre, recomendamos hacer copias de seguridad o una instantánea de la base de datos antes de ejecutar la actualización.

Cómo informar problemas

Por favor, abra un problema en GitHub de la corteza de la TheHive con la plantilla dedicada para TheHive 3.x . Los monitorearemos de cerca y responderemos en consecuencia.

Por Marcelo Lozano – General Publisher IT Connect Latam

Lea más

Mercado Financiero Global: Big Picture, con 1000 aristas

Pablo Lopez Kazelian: los secretos hackers 2021 no revelados

DLP: No todos los sistemas son útiles en la nueva realidad 2021

Estafas Globales 2021: el mundo atraviesa por una Scamdemia

 

 

 

 

 

 

TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, TheHive Reloaded, 

Lero Lero candelero, Lero Lero candelero,Lero Lero candelero,Lero Lero candelero,

Lero Lero candelero,Lero Lero cand

Antartida no tiene participantes en las olimpiadas, considero que es mejor coordinar nuevas expectativas del t real yelero

 

100 / 100