Vaka Yönetimi

Vaka (Case)

Bir vaka, TheHive tarafından manipüle edilen ana varlıktır. Güvenlik olaylarının soruşturulması sırasında tüm bilgileri merkezileştirecektir.

Not: API çağrılarında, bir vakaya atıfta bulunmak için _id'yi veya vaka numarasını kullanabilirsiniz

Sorgular

POST - Vaka Oluşturun

Yeni bir boş vaka oluşturun. Görevler ve özel alanlar sağlamak için bir Vaka Şablonu kullanılabilir.

resim.png

resim.png

Yanıtlar

resim.png

resim.png

resim.png

resim.png

resim.png

resim.png

resim.png

GET - Vaka Al

resim.png

resim.png

resim.png

resim.png

resim.png

resim.png

resim.png

DEL - Vaka Sil

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Vaka Güncelleme

resim.png

resim.png
Yanıtlar

resim.png

resim.png

PATCH - Toplu Güncelleme Durumu

resim.png

Yanıtlar 

resim.png

resim.png

POST - Vakaları Birleştirme

Sağlanan vakaları birleştirerek yeni bir vaka oluşturun. Benzer gözlemlenebilirler birleştirilecektir

resim.png

Yanıtlar

resim.png

resim.png

resim.png

resim.png

DEL - Uyarıyı vakadan Ayır

resim.png

resim.png

Vakanın Benzer Gözlemlenebilirlerini Birleştirin

resim.png

resim.png

GET - Bağlantılı Vakaları Alın

resim.png

resim.png

resim.png

resim.png

resim.png

DEL- Özel Alanı Silme

resim.png

Yanıtlar

resim.png

resim.png



POST - Dosyadan Vaka İçe Aktar

Dosya bir .thar dosyası olmalıdır

resim.png

Yanıtlar

resim.png

resim.png

GET - Vakayı arşiv olarak dışa aktar

Vakayı bir TheHive arşiv (.thar) dosyası olarak dışa aktarın. Dosya, Vakayı başka bir TheHive örneğine aktarmak için kullanılabilir

resim.png

Yanıtlar

resim.png

resim.png

POST - Case Template'i Mevcut Vakalara Uygulama

Vaka şablonunun hangi bölümünün mevcut vakalara uygulanacağını seçebilirsiniz.

resim.png

Yanıtlar

resim.png

resim.png

POST - Vaka Sahip Kuruluşunu Değiştir

Vakanın mevcut sahibini güncelleyin. Dikkat edin, profil ayarlanmazsa mevcut kuruluş vakaya erişimini kaybedebilir.

resim.png

Yanıtlar 

resim.png

resim.png

GET - Vaka Zaman Çizelgesi Al

resim.png

resim.png

resim.png

Vakaya Eklenti Ekleme

resim.png

Yanıtlar

resim.png

resim.png

GET - Eklentiyi İndir

resim.png

Yanıtlar 

resim.png

resim.png

GET - Vakadan Ek Dosya Al

resim.png

Yanıtlar

resim.png

resim.png

DEL - Ek Dosyayı Sil

resim.png

Yanıtlar

resim.png

resim.png

GET - Vaka Paylarını Listele

resim.png

Yanıtlar

resim.png

resim.png

resim.png

PUT - Vakaya Paylaşımlar Ayarla

Vakayı diğer kuruluşlarla paylaşmak için bir profil (erişim düzeyi) belirleyebilirsiniz. POST'un aksine, bu istek önceden var olan paylaşımları silebilir ve güncelleyebilir.

resim.png

Yanıtlar 

resim.png

resim.png

resim.png

POST - Bir Vaka Paylaşın

Vakayı diğer kuruluşlarla paylaşın. Her kuruluş için, kuruluşun alacağı bir profil (erişim düzeyi) tanımlayabilirsiniz.

Bu istek yalnızca yeni paylaşımlar oluşturacak ve mevcut paylaşımları güncellemeyecek veya silecektir.

resim.png

Yanıtlar

resim.png

resim.png

resim.png


DEL - Bir Vakanın Paylaşımını Kaldırma

resim.png

Yanıtlar

resim.png

resim.png

DEL - Vaka'dan Paylaşım Kaldırma

resim.png

Yanıtlar

resim.png

resim.png

Uyarı (Alert)

Sorgular

  • İlk Sorgular:
    • listAlert: org'da kullanıcı tarafından görülebilen uyarıları listeler
    • getAlert : kimliğe göre bir uyarı alın
    • countAlert: tüm uyarıları say (kullanımdan kaldırıldı)
    • countUnreadAlert: durumu yeni olan uyarıları say (kullanımdan kaldırıldı)
    • countImportedAlert: vakalara aktarılan uyarıları say (kullanımdan kaldırıldı)
  • Uyarılarda mevcut sorgular:
    • observables
    • case
    • similarCases
    • similarAlerts
    • procedures
    • comments
  • Ekstra veri:
    • similarCases
    • similarAlerts
    • importDate
    • caseNumber
    • status
    • procedureCount

Uyarı Oluştur

Bu uç nokta, TheHive'da alarm oluşturmaya olanak tanır. Hem çok parçalı hem de json girişini destekler. Dosyalarla gözlemler oluşturmak için çok parçalı bir gövde kullanmanız gerekir.

Çok parçalıyı kullanmak için, birkaç parça göndermeniz gerekir:

_json adında, oluşturulacak uyarının json'unu içeren bir veri parçası

POST /api/v1/alert/<alertId>/observable uç noktasını kullanarak uyarınıza daha sonra her zaman gözlemlenebilirler ekleyebilirsiniz.

Curl ile

json kullanarak string türünde gözlemlenebilirler içeren bir uyarı oluşturma

curl http://<thehive_endpoint>/api/v1/alert -H 'Authorization: Bearer <api_key>' -X POST -H 'Content-Type: application/json' --data '
{
  "type": "alertType",
  "source": "test",
  "sourceRef": "1",
  "title": "alert title",
  "description": "alert description",
  "observables": [
     { "dataType": "url", "data": "http://example.org" },
     { "dataType": "mail", "data": "foo@example.org" }
  ]
}

Çok parçalı kullanarak 2 gözlemlenebilir, bir url ve bir dosya içeren bir uyarı oluşturma

curl http://<thehive_endpoint>/api/v1/alert -H 'Authorization: Bearer <api_key>' -X POST -F _json='
{
  "type": "alertType",
  "source": "test",
  "sourceRef": "1",
  "title": "alert title",
  "description": "alert description",
  "observables": [
     { "dataType": "url", "data": "http://example.org" },
     { "dataType": "file", "attachment": "attachment0" }
  ]
}
' -F attachment0=@<file>

Python ile (istekler)

 Gözlemlenebilir olarak iki dosya içeren bir uyarı oluşturun.

import json
import requests 

# 'fileA' and 'fileB' are arbitrary names. You can choose your own.
# the name must be used as a key in the dictionary 'files'
observables = [
    {'dataType': 'file', 'attachment': 'fileA'}, 
    {'dataType': 'file', 'attachment': 'fileB'}, 
]
files = {
    'fileA': open(path_to_fileA, 'rb'),
    'fileB': open(path_to_fileB, 'rb')
}
alert = {
    'title': 'my title',
    'type': 'test',
    'source': 'python',
    'sourceRef': '1',
    'description': 'description ...',
    'observables': observables
}

# Send the request
response = requests.post(
    f'{thehive_url}/api/v1/alert',
    # send the files and the alert with the special part '_json'
    files={
        '_json': json.dumps(alert), 
        **files
    },
    headers={ 'Authorization': f'Bearer {thehive_api_key}' }
)

# check response code
response.raise_for_status()

resim.png

resim.png

Yanıtlar

resim.png

resim.png

resim.png

resim.png

GET - Uyarı Alın

resim.png

Yanıtlar 

resim.png

resim.png

resim.png

resim.png

DEL - Uyarıyı Sil

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Güncelleme Uyarısı

resim.png

resim.png

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Toplu güncelleme Uyarısı

resim.png

resim.png

Yanıtlar

resim.png

resim.png

POST - Uyarıdan Vaka Oluşturma

resim.png

resim.png

resim.png

Uyarılar

resim.png

resim.png

resim.png

resim.png

resim.png

POST - Uyarıyı Takip Edin

resim.png

Yanıtlar

resim.png

resim.png

Takibi Bırak Uyarısı

resim.png

Yanıtlar

resim.png

resim.png

POST - Uyarıyı Vaka ile Birleştir

resim.png

Yanıtlar

resim.png

resim.png

resim.png

POST - Toplu Uyarıları Case ile Birleştirme

resim.png

Yanıtlar

resim.png

resim.png

resim.png

resim.png

resim.png

POST - Uyarıyı toplu olarak silme

resim.png

Yanıtlar

resim.png

resim.png

Uyarılara Ek Dosyası Ekle

resim.png

resim.png

resim.png

GET - Uyarı Ek Dosyası Al

resim.png

resim.png

resim.png

DEL - Uyarı Ek Dosyası Sil

resim.png

Yanıtlar

resim.png

resim.png

GET - Uyarı Ekini İndirin

resim.png

Yanıtlar

resim.png

resim.png

Görev

Bir görev bir Vakaya veya bir Vaka Şablonuna bağlanabilir.

Sorgular

POST - Vaka'dan Görev Oluşturma

resim.png

resim.png

Yanıtlar

resim.png

resim.png

resim.png

GET- Görev Al

resim.png

Yanıtlar

resim.png

resim.png

resim.png

DEL - Görev Silme

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Güncelleme Görevi

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Görevin Büyük Kısmını Güncelle

resim.png

Yanıtlar

resim.png

resim.png

GET - Gerekli Görev Eylemleri

resim.png

Yanıtlar

resim.png

resim.png

PUT - Organizasyon Tarafından Gerekli Olarak İşaretleme Görevi

resim.png

Yanıtlar

resim.png

resim.png

PUT - Organizasyon Tarafından Tamamlandı Olarak İşaretleme Görevi

resim.png

Yanıtlar

resim.png

resim.png

GET - Görevin Paylaşımlarını Listele

resim.png

Yanıtlar

resim.png

resim.png

resim.png

POST - Görev Paylaşımı

Bir görevi bir kuruluşla paylaşın. Vakanın hedef kuruluşlarla zaten paylaşılmış olması gerekir. Bakınız 'Vaka Paylaşma'

resim.png

Yanıtlar

resim.png

resim.png

DEL - Görev Paylaşımını Kaldırma

resim.png

resim.png

resim.png

Gözlemlenebilir (Observable)

Sorgular

POST - Vakada Gözlem Oluştur

Bir mevcut vakaya bir gözlem ekleyin.

Örnekler için 'Uyarıdan Gözlem Oluştur' bölümüne bakın.

resim.png

resim.png

Yanıtlar

resim.png

resim.png

resim.png

POST - Uyarıdan Gözlem Oluştur

Mevcut bir uyarıya bir gözlemlenebilir ekleyin.


Curl ile

String türünde verilere sahip bir gözlemlenebilir eklemek için verilerinizi içeren basit bir json isteği gönderin:

curl http://<thehive_endpoint>/api/v1/alert/<alertId>/observable -H 'Authorization: Bearer <api_key>' -X POST -H 'Content-Type: application/json' --data '
  { "dataType": "url", "data": "http://example.org" }
'

Ek dosya ile bir gözlemlenebilir ekleme. Not: dosya attachment olarak gönderilmelidir.

curl http://<thehive_endpoint>/api/v1/alert/<alertId>/observable -H 'Authorization: Bearer <api_key>' -X POST -F _json='
{ "dataType": "file" }
' -F attachment=@<file>

attachment, tek bir http çağrısı ile birkaç dosya yüklemek için tekrarlanabilir. (Aynı etki için isZipile bir zip dosyası da gönderebilirsiniz

curl http://<thehive_endpoint>/api/v1/alert/<alertId>/observable -H 'Authorization: Bearer <api_key>' -X POST -F _json='
{ "dataType": "file", "tlp": 3 }
' -F attachment=@<file1> -F attachment=@<file2>

Bir dosya yüklerken, dataType attachment tahmin edilir, bu nedenle gözlemlenebilir curl üzerinde herhangi bir özellik ayarlamanız gerekmiyorsa sadece dosyayı gönderebilirsiniz http:///api/v1/alert//observable -H 'Authorization: Bearer ' -X POST -F attachment=@


Python ile (istekler)

url türünde basit bir gözlemlenebilir oluşturun:

import requests

observable = {'dataType': 'url', 'data': 'example.org'}
response = requests.post(
    f'{thehive_url}/api/v1/alert/{alert_id}/observable',
    json=observable,
    headers={ 'Authorization': f'Bearer {thehive_api_key}' }
)

# check response code
response.raise_for_status()

Özel bir mesaj ve tlp ile iki dosya gönderme:

import json
import requests 

observable = {'dataType': 'file', 'message': 'Files from infected server', 'tlp': 3}

# Send the request
response = requests.post(
    f'{thehive_url}/api/v1/alert/{alert_id}/observable',
    # send the files and the observable with the special part '_json'
    files=[
        ('_json', json.dumps(observable)),
        ('attachment', open(path_to_fileA, 'rb')),
        ('attachment', open(path_to_fileB, 'rb'))
    ],
    headers={ 'Authorization': f'Bearer {thehive_api_key}' }
)

# check response code
response.raise_for_status()

resim.png

resim.png

Yanıtlar

resim.png

resim.png

resim.png

GET - Gözlem Al

resim.png

Yanıtlar

resim.png

resim.png

resim.png

DEL - Gözlemi Sil

resim.png

resim.png

Yanıtlar

resim.png

resim.png

PATCH- Gözlemi Güncelle

resim.png

Yanıtlar

resim.png

resim.png

PATCH- Gözlemlerin Toplu Güncellemesini Yap

resim.png

Yanıtlar

resim.png

resim.png

GET - Gözlemden Ek Dosyayı İndir

Eğer ?asZip sorgu parametresi ayarlanırsa, ek dosya bir zip dosyası olarak 'kötü amaçlı yazılım' varsayılan şifresiyle gönderilecektir.

resim.png

Yanıtlar

resim.png

resim.png

GET - Gözlemin Paylaşımlarını Listele

resim.png

Yanıtlar

resim.png

resim.png

resim.png

POST - Bir Gözlemi Paylaş

Bir gözlemi bir kuruluşla paylaş. Vaka zaten hedef kuruluşlarla paylaşılmalıdır. 'Bir Vakayı Paylaş' bölümüne bakınız.

resim.png

Yanıtlar

resim.png

resim.png

DEL - Bir Gözlemi Paylaşmayı Sonlandır

resim.png

Yanıtlar

resim.png

resim.png

Yorum (Comment)

Sorgular:

POST - Vakada Yorum Oluştur

resim.png

Yanıtlar

resim.png

resim.png

POST - Uyarıdan Yorum Oluştur

resim.png

resim.png

resim.png

DEL - Yorumu Sil

resim.png

resim.png

resim.png

PATCH - Yorumu Güncelle

resim.png

Yanıtlar

resim.png

resim.png

Zaman Çizelgesi (Timeline)

GET - Vaka Zaman Çizelgesi Al

resim.png

Yanıtlar

resim.png

resim.png

POST - Özel Olay Oluştur

resim.png

Yanıtlar

resim.png

resim.png

DEL - Özel Bir Olayı Sil

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Özel Bir Olayı Güncelle

resim.png

Yanıtlar

resim.png

resim.png

TTP

Prosedürler İçin Sorgular

POST - Vaka için Prosedür Oluştur

resim.png

Yanıtlar

resim.png

resim.png

resim.png

POST - Vaka için Çeşitli Prosedürler Oluştur

resim.png

Yanıtlar 

resim.png

resim.png

resim.png

POST - Uyarı için Prosedür Oluştur

resim.png

Yanıtlar

resim.png

resim.png

resim.png

POST - Uyarı için Çeşitli Prosedürler oluşturun

resim.png

Yanıtlar

resim.png

resim.png

resim.png

DEL - Prosedürü Sil

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Prosedürü Güncelle

resim.png

Yanıtlar

resim.png

resim.png

POST - Prosedürleri Toplu Sil

resim.png

Yanıtlar

resim.png

resim.png

Görev Günlüğü (Task Log)

Sorgular

POST - Görev Günlüğü Oluştur

resim.png

Yanıtlar


resim.png

resim.png

resim.png

DEL - Görev Günlüğünü Sil

resim.png

Yanıtlar

resim.png

PATCH - Görev Günlüğünü Güncelle

resim.png

Yanıtlar

resim.png

resim.png

POST - Görev Günlüğüne Ek Dosyalar Ekleyin

resim.png

Yanıtlar

resim.png

resim.png

DEL - Görev Günlüğünden Ek Dosyayı Sil

resim.png

Yanıtlar

resim.png

resim.png

Paylaş (Share)

Sorgular

 PATCH - Paylaşımı Güncelleme

resim.png

Yanıtlar

resim.png

resim.png

DEL - Paylaşım Kimliği ile Paylaşımları Sil

resim.png

Yanıtlar

resim.png

resim.png

Vaka Raporu

GET - Vaka Raporu Şablonunu Oluştur 

Açıklama olarak giriş alamayan, aynı şekilde işlev görür ancak GET http kullanır.

resim.png

Yanıtlar

resim.png

resim.png

POST - Vaka Rapor Şablonunu Oluştur

Bir vaka rapor şablonunu oluşturun. Bu, şablonun render edilmiş çıktısını verecek ancak render edilen veri saklanmayacaktır.

caseId isteğe bağlıdır. Sağlanmazsa, sahte veriler kullanılacaktır.

Ya tam bir rapor tanımı sağlayabilir ya da mevcut bir vaka raporu şablonunu kullanabilirsiniz.

resim.png

Yanıtlar

resim.png

resim.png

POST - Vaka Raporu Oluştur

Bir vaka ve bir rapor şablonundan bir rapor oluşturun.

resim.png

Yanıtlar

resim.png

resim.png

POST - Vaka Raporunu Yükle

Mevcut bir dosyadan bir raporu yükleyin

resim.png

Yanıtlar

resim.png

resim.png

GET - Vaka Raporunu İndir

resim.png

Yanıtlar

resim.png

resim.png

DEL - Vaka Raporunu Sil

resim.png

Yanıtlar

resim.png

resim.png

PATCH - Vaka Raporunu Güncelle

Vaka raporunun içeriğini güncelle ve değiştir.

resim.png

Yanıtlar

resim.png

resim.png

GET - Desteklenen Formatları Listele

resim.png

Yanıtlar

resim.png

resim.png

GET - Vaka Raporunu Görüntüle

resim.png

Yanıtlar

resim.png

resim.png