CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cyber Security
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Un SIRP open per il SOC
Un Security Operations Centre ha bisogno di tracciare incidenti, assegnare task, correlare osservabili, integrare threat intelligence. I Security Incident Response Platform commerciali (ServiceNow SIR, Demisto/XSOAR, Resilient) coprono lo spazio ma con costi e lock-in.
Nel 2016 Jérôme Léonard, Nabil Adouani e Thomas Franco (ex-CERT-BDF) avviano TheHive Project: piattaforma SIRP open source, scritta in Scala con framework Akka e database Cassandra/Elasticsearch.
TheHive 4.0, prima major con database Cassandra + ElasticSearch (architettura scalabile), è rilasciata il 7 settembre 2020 sotto licenza AGPLv3.
Case, task, observable
TheHive organizza l’operatività SOC in tre oggetti principali:
- Case — l’incidente (con severity, TLP, PAP, tag, custom fields)
- Task — attività da eseguire durante la gestione (assegnabili, tracciabili)
- Observable — IoC o artefatto (IP, hash, URL, email, file) con possibilità di analisi automatica
Ogni oggetto è versionato, ricercabile e collegato a un audit trail.
Integrazione con Cortex
Cortex è il motore di analisi associato a TheHive, anch’esso open source. Espone analyzer (oltre 150 pubblici: VirusTotal, MISP, PassiveTotal, AbuseIPDB, Shodan, Have I Been Pwned) e responder (azioni: blocco IP su firewall, isolamento endpoint, notifica).
TheHive invia automaticamente observable a Cortex per arricchimento; il risultato è visibile nel case.
Integrazione MISP
L’integrazione MISP ↔ TheHive è bidirezionale:
- Import — gli eventi MISP possono generare alert in TheHive
- Export — un case TheHive può essere pubblicato come evento MISP (per sharing in community/ISAC)
Questa sinergia nasce dalla vicinanza storica dei due progetti e dall’uso combinato in CSIRT europei.
Alert feed e automazione
TheHive riceve alert da fonti esterne (SIEM, IDS, mail gateway, EDR) via API REST. Gli alert vengono normalizzati, deduplicati e promossi a case manualmente o automaticamente. Python client (thehive4py) e integrazioni con n8n, Shuffle, Cortex XSOAR abilitano workflow SOAR.
Il cambio di TheHive 5
Nel 2022 il team annuncia TheHive 5, con cambio di modello: licenza proprietaria (AGPLv3 mantenuta solo per la versione 4 legacy), rebrand dell’azienda in StrangeBee, tier Community/Gold/Platinum. TheHive 4 resta disponibile in archivio ma non riceve più manutenzione attiva.
Parte della community ha proseguito con fork community-driven o migrazione verso alternative; il nostro racconto qui si concentra sulla versione 4 open source.
Adozione
- CSIRT nazionali e governativi — case management per incidenti pubblici
- CERT finanziari e sanitari — tracciamento incidenti regolamentati
- MSSP — piattaforma multi-tenant per gestione clienti
- Team Blue accademici — didattica e esercitazioni
Nel contesto italiano
TheHive 4 è stato adottato da:
- CSIRT e SOC pubblici — gestione incidenti su infrastrutture critiche
- Aziende di settore finanziario e PA — per requisiti di tracciabilità
- Università e centri di ricerca — progetti cybersecurity
Rimane riferimento storico per architetture SOC open source, anche se lo sviluppo attivo si è spostato altrove.
Riferimenti: TheHive 4.0 (7 settembre 2020). TheHive Project — Jérôme Léonard, Nabil Adouani, Thomas Franco, 2016. Licenza AGPLv3 per TheHive 4. TheHive 5 (2022) — cambio licenza a modello proprietario StrangeBee. Integrazione con Cortex e MISP. Sito: https://thehive-project.org.