TheHive for SOAR 오케스트레이션 및 사이버 보안관제 자동화

How ManoMano manages and responds to millions of security events : A do it yourself spirit and automation by Jules Duvivier

TheHive는 보안 사건 대응 및 탐지를 위한 오픈 소스 플랫폼 중 하나입니다. 다양한 보안 도구와 통합되어 보안 분석 및 대응을 위한 중앙 집중식 플랫폼을 제공합니다. 주요 목적은 보안 사건을 효과적으로 관리하고 대응하는 데 도움을 주는 것입니다.

 

아래는 TheHive의 주요 특징과 활용 예시에 대한 설명입니다.

1. 이벤트 수집 및 분석
   • TheHive는 다양한 보안 도구 및 소스에서 수집된 이벤트 및 알림을 중앙 집중식으로 관리합니다.
   • 이벤트는 자동으로 플로우로 흐르며 분석 및 조사를 위한 기본 데이터로 사용됩니다.
2. 대시보드 및 시각화
   • 사용자는 대화형 대시보드를 통해 현재의 보안 상태를 실시간으로 모니터링할 수 있습니다.
   • 이를 통해 보안 팀은 중요한 이벤트 및 경고에 대한 빠른 대응을 지원할 수 있습니다.
3. 알림 및 협업
   • 팀 멤버 간의 협업이 가능하며, 태스크 및 이벤트에 대한 알림이 팀에게 자동으로 전송됩니다.
   • 여러 팀 멤버가 동시에 이벤트를 조사하고 대응할 수 있어 효율적인 협업이 가능합니다.
4. 탐지 및 조사
   • TheHive는 분석을 위한 태스크 및 조사 워크플로우를 제공하며, 여러 도구를 사용하여 이벤트 및 알림을 자세히 조사할 수 있습니다.
   • 분석 결과물은 사건과 관련된 다양한 정보를 포함하여 보고서로 작성될 수 있습니다.
5. 자동화 및 통합
   • TheHive는 다양한 보안 도구 및 서비스와의 통합을 지원합니다. 예를 들어, SIEM 도구, 분석 도구, 스레트 인텔리전스 플랫폼 등과 통합이 가능합니다.
   • 자동화된 작업 및 스크립팅을 통해 반복적이고 일상적인 작업을 간소화할 수 있습니다.

TheHive는 보안 팀이 보안 이벤트를 효과적으로 추적하고 조사하며, 빠르게 대응할 수 있도록 지원합니다. 오픈 소스이므로 커뮤니티에 의해 개발되고 유지보수되고 있으며, 사용자는 커스터마이징하여 자신의 환경에 맞게 구성할 수 있습니다.

 

TheHive는 오픈 소스 보안 사건 대응 플랫폼 중 하나이며, Slack과의 통합을 통해 알림 및 이벤트를 효과적으로 관리할 수 있습니다. TheHive에서 Slack 알림을 설정하는 방법은 다음과 같습니다.

1. Slack 웹훅 생성
   • 먼저 Slack에서 웹훅을 생성해야 합니다. Slack workspace에 로그인하고 https://api.slack.com/messaging/webhooks을 통해 새 웹훅을 만듭니다.
   • "Create a Webhook"을 클릭하고, 알림을 받을 채널을 선택한 후 "Create"를 클릭하여 웹훅 URL을 생성합니다.
2. TheHive에서 Webhook 설정
   • TheHive 대시보드에 로그인합니다.
   • "Admin" 섹션으로 이동합니다.
   • "Alerts" 항목을 선택하고, "New Alert"를 클릭합니다.
   • "Name" 필드에 알림 규칙에 대한 이름을 입력합니다.
   • "Type"에서 "Webhook"을 선택합니다.
   • "Webhook URL"에 Slack에서 생성한 웹훅 URL을 붙여넣습니다.
   • 필요에 따라 "Webhook Verb" 및 "Webhook Headers"를 설정합니다.
   • "Save" 버튼을 클릭하여 설정을 저장합니다.
3. 알림 규칙 설정
   • "Alerts" 항목에서 "New Alert"를 클릭하여 새 알림 규칙을 생성합니다.
   • "Name" 필드에 알림 규칙에 대한 이름을 입력합니다.
   • "Event Type"을 선택하고, 필요에 따라 다양한 조건을 설정합니다.
   • "Webhook" 옵션에서 앞서 생성한 웹훅을 선택합니다.
   • "Save" 버튼을 클릭하여 알림 규칙을 저장합니다.

이제 TheHive에서 정의한 알림 규칙에 따라 이벤트가 발생하면 해당 이벤트에 대한 알림이 Slack 채널로 전송됩니다. 이를 통해 보안 이벤트 및 대응에 대한 실시간 알림을 효과적으로 관리할 수 있습니다.

 

TheHive의 notification.webhook.endpoints 설정을 사용하여 Slack 웹훅을 추가하려면 다음과 같이 설정할 수 있습니다. 아래 예제에서는 Slack 웹훅 URL을 추가하도록 했습니다. 이를 참고하여 실제 Slack 웹훅 URL 및 필요한 구성을 사용하십시오.

notification.webhook.endpoints = [
  {
    name: mywebhook
    url: "http://webhook:5000/"
    version: 0
    wsConfig: {}
    includedTheHiveOrganisations: ["*"]
    excludedTheHiveOrganisations: []
  },
  {
    name: slackWebhook
    url: "https://hooks.slack.com/services/your/slack/webhook/url"
    version: 0
    wsConfig: {}
    includedTheHiveOrganisations: ["*"]
    excludedTheHiveOrganisations: []
  }
]

위 예제에서 "slackWebhook"은 Slack 알림을 위한 새로운 웹훅을 나타냅니다. 여기서 url 속성에는 실제 Slack Incoming Webhook URL을 제공해야 합니다.

 

이제 이 구성을 저장하고 TheHive를 다시 시작하면 새로 추가한 Slack 웹훅이 활성화됩니다. 이제 알림 규칙에서 Slack 웹훅을 선택하고 Slack으로 알림을 전송할 수 있습니다.

 

프로덕션 환경에서 설정 변경 전에 백업을 수행하고, 변경된 설정을 테스트하는 것이 좋습니다. 이를 통해 예기치 않은 문제를 방지하고 안정적인 시스템 운영을 유지할 수 있습니다.