thehiveproject/thehive

TheHive 镜像文档

镜像概述和主要用途

TheHive 是一个可扩展的三合一开源免费安全事件响应平台，旨在为SOC（安全运营中心）、CSIRT（计算机安全事件响应团队）、CERT（计算机紧急响应团队）及任何需要快速调查和处理安全事件的信息安全从业者提供支持。它是MISP（信息共享平台）的理想伴侣，可与一个或多个MISP实例同步，从MISP事件启动调查，并能将调查结果导出为MISP事件以帮助同行检测和应对已处理的。此外，当与Cortex结合使用时，安全分析师和研究人员可轻松分析数十甚至数百个可观察对象。

!https://raw.githubusercontent.com/TheHive-Project/TheHive/master/images/Current_cases.png

核心功能和特性

• 可扩展性：支持大规模安全事件处理需求
• MISP集成：与MISP双向同步，可导入事件和导出调查结果
• Cortex集成：结合Cortex实现对可观察对象的批量分析
• 安全事件管理：提供完整的事件调查流程支持
• 灵活配置：支持自定义配置文件和参数调整

使用场景和适用范围

适用群体

• SOC（安全运营中心）团队
• CSIRT（计算机安全事件响应团队）
• CERT（计算机紧急响应团队）
• 企业信息安全部门
• 安全研究人员

典型使用场景

• 安全事件的快速调查与响应
• 与MISP联动共享威胁情报
• 利用Cortex对可疑对象进行自动化分析
• 团队协作处理安全事件

详细使用方法和配置说明

如何使用此镜像

使用TheHive Docker镜像前，需先安装Docker。TheHive运行依赖Elasticsearch，可通过docker-compose将两者一起启动，或手动安装配置Elasticsearch。

使用Docker Compose

Docker Compose可启动多个容器并进行链接。以下https://raw.githubusercontent.com/TheHive-Project/TheHive/master/docker/thehive/docker-compose.yml%E6%96%87%E4%BB%B6%E4%BC%9A%E5%90%AF%E5%8A%A8Elasticsearch%E5%92%8CCortex%EF%BC%9A

yaml
version: "2"
services:
  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:5.6.0
    environment:
      - http.host=0.0.0.0
      - transport.host=0.0.0.0
      - xpack.security.enabled=false
      - cluster.name=hive
      - script.inline=true
      - thread_pool.index.queue_size=100000
      - thread_pool.search.queue_size=100000
      - thread_pool.bulk.queue_size=100000
    ulimits:
      nofile:
        soft: 65536
        hard: 65536
  cortex:
    image: thehiveproject/cortex:latest
    ports:
      - "0.0.0.0:9001:9001"
  thehive:
    image: thehiveproject/thehive:latest
    depends_on:
      - elasticsearch
      - cortex
    ports:
      - "0.0.0.0:9000:9000"

将此文件放在空文件夹中，运行docker-compose up启动服务。TheHive暴露在9000/tcp端口，Cortex暴露在9001/tcp端口，可通过修改docker-compose文件更改端口。

自定义配置文件

如需指定自定义TheHive配置文件（application.conf），可在thehive部分添加以下内容：

yaml
volumes:
    - /path/to/application.conf:/etc/thehive/application.conf

数据持久化

为定义Elasticsearch数据库在操作系统上的存储位置，在elasticsearch部分添加：

yaml
volumes:
    - /path/to/data:/usr/share/elasticsearch/data

注意：在生产模式下运行Elasticsearch需要vm.max_map_count至少为262144。Elasticsearch文档提供了查询和修改此值的说明。

手动安装Elasticsearch

Elasticsearch可安装在与Cortex相同的服务器或不同服务器上。根据文档配置Cortex后，可通过以下命令运行Cortex容器：

bash
docker run --volume /path/to/thehive/application.conf:/etc/thehive/application.conf thehiveproject/thehive:latest --no-config

可添加--publish选项暴露TheHive HTTP服务。

自定义Docker镜像

默认情况下，Cortex Docker镜像具有最小配置：

• 选择随机密钥（play.http.secret.key）
• 搜索Elasticsearch实例（主机名为elasticsearch）并添加到配置
• 搜索Cortex实例（主机名为cortex）并添加到配置

可通过在Docker命令行添加--no-config禁用此行为：

bash
docker run thehiveproject/thehive:latest --no-config

或在docker-compose文件的thehive部分添加command: --no-config。

可用选项

注意：请记住必须安装和配置Elasticsearch。

后续操作

Docker镜像启动后，请参考配置指南进行配置。更多配置选项，请参阅管理指南。

文档

https://github.com/TheHive-Project/TheHiveDocs%E6%8F%90%E4%BE%9B%E4%BA%86%E5%A4%9A%E4%B8%AA%E6%8C%87%E5%8D%97%E3%80%82

许可证

TheHive是开源免费软件，基于https://github.com/TheHive-Project/TheHive/blob/master/LICENSE%EF%BC%88Affero%E9%80%9A%E7%94%A8%E5%85%AC%E5%85%B1%E8%AE%B8%E5%8F%AF%E8%AF%81%EF%BC%89%E5%8F%91%E5%B8%83%E3%80%82TheHive%E9%A1%B9%E7%9B%AE%E5%9B%A2%E9%98%9F%E8%87%B4%E5%8A%9B%E4%BA%8E%E7%A1%AE%E4%BF%9DTheHive%E9%95%BF%E6%9C%9F%E4%BF%9D%E6%8C%81%E5%85%8D%E8%B4%B9%E5%BC%80%E6%BA%90%E3%80%82

支持

如发现bug或需要功能请求，请在https://github.com/TheHive-Project/TheHive/issues%E3%80%82%E4%B9%9F%E5%8F%AF%E9%80%9A%E8%BF%87Gitter%E8%8E%B7%E5%8F%96%E5%B8%AE%E5%8A%A9%E3%80%82

如需联系项目团队，请发送邮件至<***>。

社区讨论

我们建立了Google论坛：<[***]>。需要Google账户才能请求访问，可使用Gmail地址创建账户或不使用Gmail创建。

网站

<[***]>