TheHive

• Theo mình nghiên cứu và hiểu thì SOC sẽ gồm các quá trình:
  • Phát hiện
  • Báo cáo
  • Xử lý
• Công cụ TheHive là nằm trong giai đoạn 2.

Ví dụ dễ hiểu như sau:

• Khi nhận cảnh báo về một sự kiện nào đó, nhân viên A sẽ làm check và xử lý cơ bản tác vụ này.
• Nếu không xử lý được, hoặc mức độ phức tạp cao thì tạo Ticket mô tả và cung cấp đầy đủ thông tin. (Giai đoạn này là bước sử dụng TheHive).
• Người có trách nhiệm, hoặc chuyên môn cao sẽ nhận ticket này và tiếp tục xử lý.

TheHive

• TheHive cũng có chức năng như JIRA, tuy nhiên TheHive là open-source.
• Documents:

- https://thehive-project.org/
- http://docs.thehive-project.org/cortex/
- https://github.com/thehive-project/Cortex/
- https://blog.thehive-project.org/
- https://docs.thehive-project.org/
- https://github.com/TheHive-Project/Cortex

Tham khảo TheHive với Graylog

- https://blog.reconinfosec.com/integrating-graylog-with-thehive
- https://github.com/ReconInfoSec/graylog2thehive