O que é o TheHive ?
Meu cachorro falou que o TheHive é uma ótima ferramenta para segurança da Informação, mas o que é o TheHive ?
Para entendermos o que é o TheHive e seu papel dentro de um ecossistema de segurança da informação na organização, precisamos entender o objetivo de uma ferramenta de gestão de incidentes.
A equipe de segurança da informação tem como objetivo organizar, e documentar os incidentes na ferramenta de gestão de incidentes, da mesma forma que temos os sistemas de help desk (GLPI, OTRS, JIRA) para a equipe de suporte, a equipe de segurança tem o sistema de gestão de incidentes (Request Tracker, TheHive) para documentarmos os incidentes, informando seus principais pontos, documentando o que foi feito em cada incidente, e podendo ser utilizada como documentação para reincidências.
Agora que entendemos o objetivo do TheHive, precisamos entender as principais terminologias da bagaças, então vamos imaginar:
1 – Analista de segurança da informação felizão que não tem nada na fila
2 – Alguém envia uma denuncia de incidente de segurança no e-mail
3 – Quando chegar o e-mail, ele vai cair no Alert, o analista de segurança da informação, vai triar esse report e classificar, após isso o mesmo terá um case
4 – Já no estado de Case, geralmente um outro analista de segurança, vai tratar esse incidente, vamos supor que para tratar esse incidente o analista vai precisar bloquear uma conta de e-mail, notificar uma pessoa sobre o bloqueio, e bloquear o computador dessa pessoa, para documentar essas ações ele pode criar tasks, nessas tasks ele informa o que ele fez e sempre que possível coloca um log da ação.
5 – Após ele realizar todas as ações, o analista vai fechar o incidente, informando um dos status abaixo:
True Positive
Se realmente é um incidente de segurança
False Positive
Se não é um incidente de segurança da informação
Indeterminate
Se não é possível determinar se é ou não um incidente
Other
Outro status
E no final realizar um resumo desse incidente no campo Summary