來(lái)源：https://blog.thehive-project.org/2017/06/19/thehive-cortex-and-misp-how-they-all-fit-together/

hive、Cortex和MISP可以很好地協(xié)同工作，如果你已經(jīng)閱讀了我們6月- 12月17日的路線圖，我們的產(chǎn)品與事實(shí)上的威脅共享平臺(tái)的集成將在幾個(gè)月內(nèi)變得更好。

在上周的第一次會(huì)議演示中，我們展示了一張圖片，我們將在這里使用它來(lái)解釋這三種開源和免費(fèi)產(chǎn)品是如何相互集成的。

一、TheHive

TheHive是一個(gè)安全事件響應(yīng)平臺(tái)(SIRP)。它可以接收來(lái)自不同來(lái)源的警報(bào)(SIEM、id、電子郵件)。等等)通過它的REST API。這就是警報(bào) feeder發(fā)揮作用的地方。

1.1警報(bào)feeder

可以將警報(bào) feeder看作一個(gè)專門的程序，它使用一個(gè)安全事件(SIEM警報(bào)、電子郵件報(bào)告、IDS警報(bào)等)，解析它并輸出一個(gè)警報(bào)，該警報(bào)通過hive4.py發(fā)送給TheHive，我們提供的Python庫(kù)可以與TheHive的REST API進(jìn)行交互。

我們不提供這樣的 feeder，但發(fā)展他們應(yīng)該是直接的。如果沒有，告訴我們，我們會(huì)盡最大努力幫助你。

1.2警報(bào)

任何發(fā)送到TheHive的警報(bào)都會(huì)顯示在警報(bào)窗格中。除了上面提到的源之外，如果您將TheHive配置為連接到一個(gè)或多個(gè)MISP實(shí)例，新的或更新的MISP事件也會(huì)出現(xiàn)在該區(qū)域。如果是這樣，TheHive將輪詢那些MISP實(shí)例在每個(gè)間隔尋找新的或更新的事件。如果有，TheHive將生成一個(gè)警報(bào)，它將結(jié)束在警報(bào)窗格。

警報(bào)可以被忽略，標(biāo)記為已讀、預(yù)覽和導(dǎo)入。當(dāng)一個(gè)警報(bào)被導(dǎo)入時(shí)，它就變成了一個(gè)需要進(jìn)行調(diào)查的案例。

二、案例

案例可以從警報(bào)生成，也可以從頭創(chuàng)建。它被細(xì)分為任務(wù)(識(shí)別、遏制、消除、檢查代理日志，等等)和可觀察任務(wù)(IP地址、散列、電子郵件地址、域名、url……)。當(dāng)分析人員處理任務(wù)時(shí)，他們會(huì)添加日志。在TheHive的術(shù)語(yǔ)中，日志是文本條目，其中可能包含附件，以幫助分析人員記錄他們所做的事情。可以使用Markdown或富文本編輯器編寫日志。

2.1案例模板

在處理屬于給定類別(DDoS、Malspam、APT……)的情況時(shí)，不需要反復(fù)添加相同的任務(wù)。您可以創(chuàng)建添加任務(wù)的自定義模板，如下所示。這在處理警報(bào)時(shí)非常有用，因此在導(dǎo)入警報(bào)時(shí)，可以選擇想要應(yīng)用的案例模板，這樣就可以了!

2.2可觀測(cè)的對(duì)象

可觀察對(duì)象可以被標(biāo)記為IOCs并進(jìn)行分析。當(dāng)調(diào)查進(jìn)展順利或完成時(shí)，您可能希望與合作伙伴和同行共享結(jié)果IOCs或其中的一部分。在2017年9月，TheHive將支持將數(shù)據(jù)導(dǎo)出到MISP。在此之前，您仍然可以將IOCs導(dǎo)出為文本、CSV或與MISP兼容的格式，您可以使用freetext編輯器將它們添加到MISP實(shí)例中。Hive可以導(dǎo)出IOCs/observable in protected (hxxps://www[.] .)或者unprotected模式。

每個(gè)可見目標(biāo)必須有一個(gè)TLP(紅綠燈協(xié)議)級(jí)別。默認(rèn)情況下，任何添加的觀察對(duì)象都被認(rèn)為是TLP:AMBER。請(qǐng)注意，TLP是考慮到一些分析儀。等等!分析程序?

三、Cortex

Cortex是我們獨(dú)立的分析引擎，是Thehive和MISP的完美伴侶。分析人員可以使用它的Web UI來(lái)分析可觀察數(shù)據(jù)，在這種情況下，一次只能提交一個(gè)可觀察數(shù)據(jù)。Web UI確實(shí)應(yīng)該被限制為在TheHive(或備用SIRP)中創(chuàng)建案例之前對(duì)可觀察對(duì)象進(jìn)行快速評(píng)估。當(dāng)您使用它的REST API時(shí)，皮層的功能才真正發(fā)揮作用。Thehive與Cortex進(jìn)行原生對(duì)話(就像MISP那樣)。此外，Thehive可以利用一個(gè)或多個(gè)Cortex服務(wù)器。

3.1分析程序

在寫這篇文章的時(shí)候，Cortex有23個(gè)分析儀，總共有39種口味，很快就會(huì)有更多。

分析器可以用Linux支持的任何編程語(yǔ)言編寫，盡管我們當(dāng)前所有的分析器都是用Python編寫的。這是因?yàn)槲覀兲峁┝艘粋€(gè)名為Cortexutils的Python庫(kù)，其中包含一組實(shí)用工具類，使得用Python編寫分析器更加容易。

3.2口味

VirusTotal、PassiveTotal或DomainTools等分析工具可以提供不同的分析服務(wù)。讓我們以VirusTotal為例。您可以掃描一個(gè)文件或URL。這是一個(gè)味道（Flavors）。您還可以從VirusTotal.com上獲得關(guān)于文件、散列、域或IP地址的最新報(bào)告。這是第二種口味。所以病毒分析儀有兩種口味。

PassiveTotal怎么樣?它有8種風(fēng)格:獨(dú)特的解析查找、SSL證書歷史查找、惡意軟件查找、被動(dòng)DNS查找、數(shù)據(jù)豐富查找、SSL證書詳細(xì)信息查找、OSINT查找和WHOIS數(shù)據(jù)查找。

3.3MISP搜索分析器

在這一點(diǎn)上，我們需要提到一個(gè)特殊的分析器，它可能會(huì)造成一些混亂，如果沒有正確理解:MISP搜索分析器。多虧了它，Cortex有能力在MISP實(shí)例中搜索可觀察到的事物，就像從分析儀到MISP的箭頭所代表的那樣。

當(dāng)在一個(gè)事件中發(fā)現(xiàn)一個(gè)被觀察到的對(duì)象時(shí)，Cortex將返回被發(fā)現(xiàn)的記錄的數(shù)量(即發(fā)現(xiàn)被觀察到的對(duì)象的事件的數(shù)量)，以及與這些事件的鏈接的列表和附加的數(shù)據(jù)。

當(dāng)前版本的MISP搜索分析器只能在一個(gè)MISP實(shí)例中進(jìn)行搜索，但是在不久的將來(lái)，它將能夠支持多個(gè)MISP實(shí)例。

3.4MISP擴(kuò)展模塊

除了它自己的分析器(包括上面描述的MISP搜索)，Cortex還可以調(diào)用MISP擴(kuò)展模塊。MISP通常使用這些來(lái)豐富事件中的屬性，但皮層也可以利用它們來(lái)分析觀察到的信息。

在天然皮層分析儀和MISP擴(kuò)展模塊之間有一些重疊。在選擇本機(jī)分析器或擴(kuò)展模塊時(shí)，我們強(qiáng)烈建議您選擇前者。擴(kuò)展模塊在默認(rèn)的皮層結(jié)構(gòu)中處于失活狀態(tài)。

3.5作業(yè)

當(dāng)您提交一個(gè)observable進(jìn)行分析時(shí)，Cortex將創(chuàng)建一個(gè)作業(yè)，如果成功，它將生成一個(gè)JSON格式的分析報(bào)告。由于我們提供免費(fèi)的報(bào)告模板，TheHive能夠解析這些結(jié)果并以一種友好的方式顯示它們。因此，當(dāng)你從Thehive向皮層提交觀察結(jié)果時(shí)，你會(huì)得到一份簡(jiǎn)短(或迷你)的報(bào)告和一份冗長(zhǎng)的報(bào)告。第一個(gè)可以被認(rèn)為是一個(gè)非常小的執(zhí)行分析師摘要，而第二個(gè)提供了更多的洞察力和細(xì)節(jié)。

結(jié)論

TheHive、Cortex和MISP是三款開源免費(fèi)的產(chǎn)品，它們可以幫助你對(duì)抗威脅，讓你遠(yuǎn)離“怪獸”。

TheHive，作為一個(gè)SIRP，允許你以協(xié)作的方式快速調(diào)查安全事件。幾個(gè)分析師可以同時(shí)處理任務(wù)和案例。雖然可以從頭開始創(chuàng)建案例，但由于alert feeders使用多個(gè)源生成的安全事件，并使用hive4py Python庫(kù)將它們提供給TheHive，因此TheHive可以從不同的源接收警報(bào)。TheHive還可以同步到一個(gè)或多個(gè)MISP實(shí)例，以接收新的和更新的事件，這些事件將出現(xiàn)在警報(bào)窗格中，與其他來(lái)源生成的所有其他警報(bào)一起。然后，分析人員可以預(yù)覽新的警報(bào)，以決定是否需要對(duì)其采取行動(dòng)。如果是，他們可以使用模板將其轉(zhuǎn)換為調(diào)查案例。

為了分析在調(diào)查過程中收集到的觀察結(jié)果和/或從MISP事件導(dǎo)入的觀察結(jié)果，hive可以依賴于一個(gè)或多個(gè)皮層分析引擎。Cortex是我們開發(fā)的另一款獨(dú)立產(chǎn)品，其唯一的目的是讓你能夠大規(guī)模地分析可觀測(cè)數(shù)據(jù)，這要?dú)w功于它大量的分析儀、MISP擴(kuò)展模塊以及你可能已經(jīng)開發(fā)的其他任何分析儀。Cortex有一個(gè)REST API，可以用來(lái)增強(qiáng)其他安全產(chǎn)品的功能，比如“分析”軟件、備用的sirp或MISP。

這個(gè)非常受歡迎的威脅共享平臺(tái)確實(shí)可以豐富屬性，這多虧了Cortex，因?yàn)樗c它有一個(gè)天生的集成。幾個(gè)月后，您還可以將案例從TheHive導(dǎo)出為MISP事件，與同行和合作伙伴共享。

如果你愿意分享，你就會(huì)關(guān)心我們共同的使命，保護(hù)我們的數(shù)字資產(chǎn)不受損害。所以讓我們團(tuán)結(jié)一致。