EN Contattaci

TheHive 4: piattaforma Open Source per SOC e incident response

TheHive 4.0 (settembre 2020) del TheHive Project: SIRP Open Source per case management, task e observable, integrazione MISP e Cortex. Scala/Akka, AGPLv3.

CybersecurityOpen Source
CybersecurityOpen Source TheHiveSOCSIRPIncident ResponseCybersecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Un SIRP open per il SOC

Un Security Operations Centre ha bisogno di tracciare incidenti, assegnare task, correlare osservabili, integrare threat intelligence. I Security Incident Response Platform commerciali (ServiceNow SIR, Demisto/XSOAR, Resilient) coprono lo spazio ma con costi e lock-in.

Nel 2016 Jérôme Léonard, Nabil Adouani e Thomas Franco (ex-CERT-BDF) avviano TheHive Project: piattaforma SIRP Open Source, scritta in Scala con framework Akka e database Cassandra/Elasticsearch.

TheHive 4.0, prima major con database Cassandra + ElasticSearch (architettura scalabile), è rilasciata il 7 settembre 2020 sotto licenza AGPLv3.

Case, task, observable

TheHive organizza l’operatività SOC in tre oggetti principali:

  • Case — l’incidente (con severity, TLP, PAP, tag, custom fields)
  • Task — attività da eseguire durante la gestione (assegnabili, tracciabili)
  • Observable — IoC o artefatto (IP, hash, URL, email, file) con possibilità di analisi automatica

Ogni oggetto è versionato, ricercabile e collegato a un audit trail.

Integrazione con Cortex

Cortex è il motore di analisi associato a TheHive, anch’esso Open Source. Espone analyzer (oltre 150 pubblici: VirusTotal, MISP, PassiveTotal, AbuseIPDB, Shodan, Have I Been Pwned) e responder (azioni: blocco IP su firewall, isolamento endpoint, notifica).

TheHive invia automaticamente observable a Cortex per arricchimento; il risultato è visibile nel case.

Integrazione MISP

L’integrazione MISP ↔ TheHive è bidirezionale:

  • Import — gli eventi MISP possono generare alert in TheHive
  • Export — un case TheHive può essere pubblicato come evento MISP (per sharing in community/ISAC)

Questa sinergia nasce dalla vicinanza storica dei due progetti e dall’uso combinato in CSIRT europei.

Alert feed e automazione

TheHive riceve alert da fonti esterne (SIEM, IDS, mail gateway, EDR) via API REST. Gli alert vengono normalizzati, deduplicati e promossi a case manualmente o automaticamente. Python client (thehive4py) e integrazioni con n8n, Shuffle, Cortex XSOAR abilitano workflow SOAR.

Adozione

  • CSIRT nazionali e governativi — case management per incidenti pubblici
  • CERT finanziari e sanitari — tracciamento incidenti regolamentati
  • MSSP — piattaforma multi-tenant per gestione clienti
  • Team Blue accademici — didattica e esercitazioni

Nel contesto italiano

TheHive 4 è stato adottato da:

  • CSIRT e SOC pubblici — gestione incidenti su infrastrutture critiche
  • Aziende di settore finanziario e PA — per requisiti di tracciabilità
  • Università e centri di ricerca — progetti cybersecurity

Rappresenta un’architettura SOC Open Source completa, nata per coprire un vuoto tra SIRP commerciali e soluzioni ad-hoc.

Riferimenti: TheHive 4.0 (7 settembre 2020). TheHive Project — Jérôme Léonard, Nabil Adouani, Thomas Franco, 2016. Licenza AGPLv3. Integrazione con Cortex e MISP. Sito: https://thehive-project.org.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi