hive、Cortex和MISP可以很好地协同工作,如果你已经阅读了我们6月- 12月17日的路线图,我们的产品与事实上的威胁共享平台的集成将在几个月内变得更好。

在上周的第一次会议演示中,我们展示了一张图片,我们将在这里使用它来解释这三种开源和免费产品是如何相互集成的。

image.png

一、TheHive

TheHive是一个安全事件响应平台(SIRP)。它可以接收来自不同来源的警报(SIEM、id、电子邮件)。等等)通过它的REST API。这就是警报 feeder发挥作用的地方。

1.1警报feeder

可以将警报 feeder看作一个专门的程序,它使用一个安全事件(SIEM警报、电子邮件报告、IDS警报等),解析它并输出一个警报,该警报通过hive4.py发送给TheHive,我们提供的Python库可以与TheHive的REST API进行交互。

我们不提供这样的 feeder,但发展他们应该是直接的。如果没有,告诉我们,我们会尽最大努力帮助你。

1.2警报

任何发送到TheHive的警报都会显示在警报窗格中。除了上面提到的源之外,如果您将TheHive配置为连接到一个或多个MISP实例,新的或更新的MISP事件也会出现在该区域。如果是这样,TheHive将轮询那些MISP实例在每个间隔寻找新的或更新的事件。如果有,TheHive将生成一个警报,它将结束在警报窗格。
image.png

警报可以被忽略,标记为已读、预览和导入。当一个警报被导入时,它就变成了一个需要进行调查的案例。

二、案例
image.png

案例可以从警报生成,也可以从头创建。它被细分为任务(识别、遏制、消除、检查代理日志,等等)和可观察任务(IP地址、散列、电子邮件地址、域名、url……)。当分析人员处理任务时,他们会添加日志。在TheHive的术语中,日志是文本条目,其中可能包含附件,以帮助分析人员记录他们所做的事情。可以使用Markdown或富文本编辑器编写日志。

2.1案例模板

在处理属于给定类别(DDoS、Malspam、APT……)的情况时,不需要反复添加相同的任务。您可以创建添加任务的自定义模板,如下所示。这在处理警报时非常有用,因此在导入警报时,可以选择想要应用的案例模板,这样就可以了!
image.png

2.2可观测的对象

可观察对象可以被标记为IOCs并进行分析。当调查进展顺利或完成时,您可能希望与合作伙伴和同行共享结果IOCs或其中的一部分。在2017年9月,TheHive将支持将数据导出到MISP。在此之前,您仍然可以将IOCs导出为文本、CSV或与MISP兼容的格式,您可以使用freetext编辑器将它们添加到MISP实例中。Hive可以导出IOCs/observable in protected (hxxps://www[.] .)或者unprotected模式。

每个可见目标必须有一个TLP(红绿灯协议)级别。默认情况下,任何添加的观察对象都被认为是TLP:AMBER。请注意,TLP是考虑到一些分析仪。等等!分析程序?

三、Cortex

Cortex是我们独立的分析引擎,是Thehive和MISP的完美伴侣。分析人员可以使用它的Web UI来分析可观察数据,在这种情况下,一次只能提交一个可观察数据。Web UI确实应该被限制为在TheHive(或备用SIRP)中创建案例之前对可观察对象进行快速评估。当您使用它的REST API时,皮层的功能才真正发挥作用。Thehive与Cortex进行原生对话(就像MISP那样)。此外,Thehive可以利用一个或多个Cortex服务器。
image.png

3.1分析程序

在写这篇文章的时候,Cortex有23个分析仪,总共有39种口味,很快就会有更多。

分析器可以用Linux支持的任何编程语言编写,尽管我们当前所有的分析器都是用Python编写的。这是因为我们提供了一个名为Cortexutils的Python库,其中包含一组实用工具类,使得用Python编写分析器更加容易。

3.2口味

VirusTotal、PassiveTotal或DomainTools等分析工具可以提供不同的分析服务。让我们以VirusTotal为例。您可以扫描一个文件或URL。这是一个味道(Flavors)。您还可以从VirusTotal.com上获得关于文件、散列、域或IP地址的最新报告。这是第二种口味。所以病毒分析仪有两种口味。
image.png

PassiveTotal怎么样?它有8种风格:独特的解析查找、SSL证书历史查找、恶意软件查找、被动DNS查找、数据丰富查找、SSL证书详细信息查找、OSINT查找和WHOIS数据查找。

3.3MISP搜索分析器

在这一点上,我们需要提到一个特殊的分析器,它可能会造成一些混乱,如果没有正确理解:MISP搜索分析器。多亏了它,Cortex有能力在MISP实例中搜索可观察到的事物,就像从分析仪到MISP的箭头所代表的那样。
image.png

当在一个事件中发现一个被观察到的对象时,Cortex将返回被发现的记录的数量(即发现被观察到的对象的事件的数量),以及与这些事件的链接的列表和附加的数据。
image.png

image.png

image.png

当前版本的MISP搜索分析器只能在一个MISP实例中进行搜索,但是在不久的将来,它将能够支持多个MISP实例。

3.4MISP扩展模块

除了它自己的分析器(包括上面描述的MISP搜索),Cortex还可以调用MISP扩展模块。MISP通常使用这些来丰富事件中的属性,但皮层也可以利用它们来分析观察到的信息。

在天然皮层分析仪和MISP扩展模块之间有一些重叠。在选择本机分析器或扩展模块时,我们强烈建议您选择前者。扩展模块在默认的皮层结构中处于失活状态。

3.5作业

当您提交一个observable进行分析时,Cortex将创建一个作业,如果成功,它将生成一个JSON格式的分析报告。由于我们提供免费的报告模板,TheHive能够解析这些结果并以一种友好的方式显示它们。因此,当你从Thehive向皮层提交观察结果时,你会得到一份简短(或迷你)的报告和一份冗长的报告。第一个可以被认为是一个非常小的执行分析师摘要,而第二个提供了更多的洞察力和细节。

结论

TheHive、Cortex和MISP是三款开源免费的产品,它们可以帮助你对抗威胁,让你远离“怪兽”。

TheHive,作为一个SIRP,允许你以协作的方式快速调查安全事件。几个分析师可以同时处理任务和案例。虽然可以从头开始创建案例,但由于alert feeders使用多个源生成的安全事件,并使用hive4py Python库将它们提供给TheHive,因此TheHive可以从不同的源接收警报。TheHive还可以同步到一个或多个MISP实例,以接收新的和更新的事件,这些事件将出现在警报窗格中,与其他来源生成的所有其他警报一起。然后,分析人员可以预览新的警报,以决定是否需要对其采取行动。如果是,他们可以使用模板将其转换为调查案例。

为了分析在调查过程中收集到的观察结果和/或从MISP事件导入的观察结果,hive可以依赖于一个或多个皮层分析引擎。Cortex是我们开发的另一款独立产品,其唯一的目的是让你能够大规模地分析可观测数据,这要归功于它大量的分析仪、MISP扩展模块以及你可能已经开发的其他任何分析仪。Cortex有一个REST API,可以用来增强其他安全产品的功能,比如“分析”软件、备用的sirp或MISP。

这个非常受欢迎的威胁共享平台确实可以丰富属性,这多亏了Cortex,因为它与它有一个天生的集成。几个月后,您还可以将案例从TheHive导出为MISP事件,与同行和合作伙伴共享。

如果你愿意分享,你就会关心我们共同的使命,保护我们的数字资产不受损害。所以让我们团结一致。

https://blog.thehive-project.org/2017/06/19/thehive-cortex-and-misp-how-they-all-fit-together/