본 모듈에서는, 「TheHive Project」라고 하는 훌륭한 인시던트 관리 플랫폼을 탐구한다.
하이브 프로젝트
Github의 공식 리포지토리에 따르면:
"더하이브는 SOC, CSIRT, CERT 및 신속한 조사와 조치가 필요한 보안사고에 대처하는 모든 정보보안 실무자의 삶을 편리하게 하기 위해 고안된 확장 가능한 4인 1 오픈소스 및 무료 보안사고 대응 플랫폼이다. 우리의 강력한 자유 소스 및 오픈 소스 분석 엔진인 코텍스 덕분에 100개 이상의 분석기를 사용하여 규모에 맞게 관측 가능함을 분석할 수 있다."
프로젝트를 배포하려면 다음과 같은 하드웨어 요구 사항이 필요하다.
- 8vCPU
- RAM 8GB
- 60GB 디스크
이제 프로젝트 설치 방법을 살펴봅시다.
먼저 Java 설치:
sudo apt-get install openjdk-11-jre-headless
소스 추가:
echo 'deb https://dl.bintray.com/thehive-project/debian-stable any main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master /PGP-PUBLIC-KEY | sudo apt-key add -
시스템 업데이트:
sudo apt-get update
Elasticsearch 설치
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-key D88E42B4
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | tee -a/etc/apt/sources.list.d/elastic-5.x.list
apt install apt-transport-https
apt update
sudo apt install elasticsearch
"더 하이브" 설치
sudo apt-get install thehive
sudo mkdir /etc/thehive
sudo mkdir /etc/thehive (cat << _EOF_ # Secret key # ~~~~~ # The secret key is used to secure cryptographics functions. # If you deploy your application to several instances be sure to use the same key! play.http.secret.key="<ADD A RANDOM STRING HERE>" _EOF_ ) | sudo tee -a /etc/thehive/application.conf
sudo systemctl enable thehive
sudo service thehive start
이제 브라우저로 이동하여 다음을 입력하십시오.
http://YOUR_SERVER_ADDRESS:9000/
서버에 설치하기 전에 시도하려면 교육 VM을 다운로드하십시오. 여기서 찾을 수 있다.
https://drive.google.com/file/d/1KXL7kzH7Pc2jSL2o1m1_RwVc3FGw-ixQ/view
다운로드한 후 가상 머신으로 열기
나의 로컬 IP 주소는 192.168.43.188 입니다. 그런 다음 TheHive를 입력하려면 192.168.43.188:9000 URL을 사용해야 한다.
플랫폼에 액세스하려면 다음 자격 증명을 사용하십시오.
- 로그인: admin
- 암호: thehive1234
짜잔! 넌 메인 대시보드에 있어
이제 TheHive의 사용법을 살펴봅시다.
사용자
팀 구성원 추가를 작성하려면 사용자를 작성하십시오. 사용자를 생성하려면 관리 -\> 사용자로 이동하십시오.
"사용자 추가"
사용자 정보 추가
사용자가 성공적으로 추가됨
"새 암호"를 클릭하여 암호를 새로 만들고 암호를 입력한 다음 Enter 키를 눌러 암호를 저장하십시오.
우리의 비밀번호도 "분석가1"이 될 것이다.
사례:
하이브에서 케이스를 만들려면 "새 케이스"를 클릭하십시오.
사례 정보 추가:
- 제목
- Severity: 낮음, 중간 또는 높음
- 날짜
- _태그 등등. _
사례 태스크 추가:
이제 우리는 사건 파일을 만들었다.
사례 파일에는 작업 및 관찰 자료도 포함되어 있다.
"Waiting Case" 섹션에서 해당 사례를 찾을 수 있음
가져오려면 작업만 클릭하십시오. 그러면 "내 작업" 섹션에 추가됨
Once you finish the case, click on "Close" and it will be closed
Dashboards
To visualize your cases statistics you need to use The Hive dashboards. To open or create a new dashboard go to "Dashboards"
탐색할 사용 가능한 대시보드를 선택하십시오.
피질:
그것의 개발자들은 피질을 다음과 같이 정의한다.
"코텍스 덕분에 IP와 이메일 주소, URL, 도메인 이름, 파일 또는 해시 같은 관측 가능성은 웹 인터페이스를 사용하여 분석할 수 있다. 분석가들은 또한 이러한 작업을 자동화하고 TheHive 또는 대체 SIRP 플랫폼, 사용자 정의 스크립트 또는 MISP의 Cortex REST API를 통해 대규모 관측 자료 세트를 제출할 수 있다. TheHive와 함께 사용할 경우, 코텍스트는 능동 응답 기능 덕분에 격납 단계를 크게 용이하게 한다."
다음 그래프는 코텍스 구조를 보여준다.
브라우저에 이 주소를 입력하려면 http://YOUR_SERVER_ADDRESS:9001/을 입력하십시오.
하이브와 동일한 자격 증명을 사용하여 피질에 로그인
- 로그인: admin
- 암호: thehive1234
이것은 "코텍스"의 주요 대시보드 입니다.
요약
본 가이드에서, 우리는 "Hive"라는 훌륭한 사고 관리 플랫폼을 발견했는데, 여기서 우리는 그것을 설치하고 팀 사례 관리에 사용하는 방법을 보았다.
참조:
- 국립표준기술연구원의 권고사항: 컴퓨터 보안 문제 처리 가이드: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
- 컴퓨터 보안 사고 대응팀(CSIRT) : http://whatis.techtarget.com/definition/Computer-Security-Incident-Response-Team-CSIRT
- US-CERT | 미국 컴퓨터 비상 준비팀 : https://www.us-cert.gov/about-us
How to Install and use The Hive Project in Incident Management
In this module, we are going to explore a great incident management platform called "TheHive Project."
The Hive Project
According to its official Github repository:
"TheHive is a scalable 4-in-1 open source and free security incident response platform designed to make life easier for SOCs, CSIRTs, CERTs and any information security practitioner dealing with security incidents that need to be investigated and acted upon swiftly. Thanks to Cortex, our powerful free and open-source analysis engine, you can analyze (and triage) observables at scale using more than 100 analyzers."
To deploy the project you need these hardware requirements:
- 8vCPU
- 8 GB of RAM
- 60 GB of disk
Now let's explore how to install the project:
First, you need to install Java:
sudo apt-get install openjdk-11-jre-headless
Add the sources:
echo 'deb https://dl.bintray.com/thehive-project/debian-stable any main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master /PGP-PUBLIC-KEY | sudo apt-key add -
Update the system:
sudo apt-get update
Install Elasticsearch
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-key D88E42B4
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | tee -a/etc/apt/sources.list.d/elastic-5.x.list
apt install apt-transport-https
apt update
sudo apt install elasticsearch
Install "The Hive"
sudo apt-get install thehive
sudo mkdir /etc/thehive
sudo mkdir /etc/thehive (cat << _EOF_ # Secret key # ~~~~~ # The secret key is used to secure cryptographics functions. # If you deploy your application to several instances be sure to use the same key! play.http.secret.key="<ADD A RANDOM STRING HERE>" _EOF_ ) | sudo tee -a /etc/thehive/application.conf
sudo systemctl enable thehive
sudo service thehive start
Now go to your browser and type:
http://YOUR_SERVER_ADDRESS:9000/
If you want to try it before installing it on your server you download the training VM. You can find it here:
https://drive.google.com/file/d/1KXL7kzH7Pc2jSL2o1m1_RwVc3FGw-ixQ/view
Once you download it, open it with your virtual machine
My local IP address is 192.168.43.188. Then to enter TheHive I need to use this URL: 192.168.43.188:9000
To access the platform use these credentials:
- Login: admin
- Password: thehive1234
Voila! You are in the main dashboard
Let's start exploring how to use TheHive.
Users
To create add your team members you need to create users. To create a user go to Admin -\> Users :
Click on "Add user"
Add your user information
The user was added successfully
Create a new password for it by clicking " New password", type a password and press enter to save it.
Our password will be " analyst1" too.
Cases:
To create cases in the Hive, click on " New case"
Add your case information:
- Title
- Severity: Low, Medium or High
- Date
- _Tags and so on. _
Add the case tasks:
Now we created a case file
The case file contains also the tasks and the Observables:
You will find the case in the "Waiting cases" section
To take it just click on tasks and it will be added to your "my tasks" section
Once you finish the case, click on "Close" and it will be closed
Dashboards
To visualize your cases statistics you need to use The Hive dashboards. To open or create a new dashboard go to "Dashboards"
Select any available dashboard to explore it
Cortex:
Its developers define cortex as follows:
"Thanks to Cortex, observables such as IP and email addresses, URLs, domain names, files or hashes can be analyzed using a Web interface. Analysts can also automate these operations and submit large sets of observables from TheHive or through the Cortex REST API from alternative SIRP platforms, custom scripts or MISP. When used in conjunction with TheHive, Cortex largely facilitates the containment phase thanks to its Active Response features."
The following graph illustrates Cortex architecture:
To enter cortex type this address on your browser: http://YOUR_SERVER_ADDRESS:9001/
Login to cortex using the same credentials as The hive
- Login: admin
- Password: thehive1234
This is the main dashboard of "Cortex"
Summary
In this guide, we discovered a great incident management platform called "the Hive" where we saw how to install it and use it to manage your team cases.
References:
- Recommendations of the National Institute of Standards and Technology: Computer Security Incident Handling Guide: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
- Computer Security Incident Response Team (CSIRT) : http://whatis.techtarget.com/definition/Computer-Security-Incident-Response-Team-CSIRT
- US-CERT | United States Computer Emergency Readiness Team : https://www.us-cert.gov/about-us
※ 출처 : Blue Teams Academy | www.blueteamsacademy.com/hive/
댓글