Kullanım Kılavuzu

TheHive kullanım kılavuzu bölümü, TheHive platformunun temel özelliklerini ve işlevlerini inceler. Kullanım senaryoları bu bölümde ele alınır.

Başlangıç

TheHive kurulup çalışmaya başladıktan sonra, web tarayıcınızla http://IP_ADDRESS:9000 adresine bağlanın ve varsayılan hesapla oturum açın:

 Ekran görüntüsü 2024-04-07 172505.png

Ekran görüntüsü 2024-04-07 172616.png

Yönetici Parolasını Değiştirin 

Kullanıcı ayarları bölümüne gidin.

resim.png

Paronızı değiştirin.

resim.png

Değişikliklerin kaydetmek için onaylayın.

Yapılandırma

Yönetici alanı, tüm platformun yapılandırıldığı yerdir.

TheHive'ı bir SMTP sunucusuyla, kimlik doğrulama dizin sunucularıyla, Cortex ve MISP sunucularıyla entegre edin:

Platform Yönetimi sayfasına gidin.

Ekran görüntüsü 2024-04-08 160134.png

Organizasyonlar Oluşturun.

Ekran görüntüsü 2024-04-08 160330.png

Kullanıcı oluşturma.

Ekran görüntüsü 2024-04-08 160341.png

Varlık Yönetimi sayfasındaki kullanıcılar için uygulama davranışını özelleştirin.

Ekran görüntüsü 2024-04-08 160353.png

Lisans Yükleme

Varsayılan lisansla, TheHive 2 kullanıcı ve 1 organizasyonla ücretsiz olarak kullanılabilir.

 Lisans Etkinleştirme

Deneme, Gold veya Platinum lisansları gelişmiş özelliklerin dahil edilen bir dizi hesap ve organizasyonu kilidini açar.

Lisans Al

Bir lisans talep etmek için StrangeBee ile iletişime geçin - https://www.strangebee.com veya [email protected] adresinden iletişime geçin.

Lisansı Etkinleştirme

Varsayılan yönetici kimlik bilgileri [email protected] / secret'tir.

Yönetici olarak bağlanın ve bu kılavuzu takip edin:

resim.png

Kopyalayıp StrangeBee'ye gönderin.

Ekran görüntüsü 2024-04-08 114352.png

Karşılık gelen lisansı alın, arayüze girin ve etkinleştirin.

Ekran görüntüsü 2024-04-08 114951.png

Ekran görüntüsü 2024-04-08 115023.png

Organizasyonları Yönetin

TheHive 'ın bu bölümünde organizsyon oluşturma, güncelleme, yönetme kısmı anlatılacaktır.

Organizasyonları Yönetin

Organizasyon Oluşturma/Güncelleme

Yönetici olarak, Organizasyonlar sayfasına gidin.

resim.png

Bir Organizasyon Ekleyin

Düzeneği açmak için "+" simgesine tıklayın ve gerekli alanları düzenleyin:

resim.png

Organizasyonu oluşturmak için Onayla'ya tıklayın.

Organizasyonunuzu Düzenleyin

resim.png

resim.png

Organizasyonunuz oluşturulduktan sonra:

Bir Organizasyonu Kilitleyin

Organizasyon kilitleyebilirsiniz, böylece bu organizasyona tüm kullanıcıların oturum açamayacağı şekilde kilitlenir.

resim.png

Organizasyonları Yönetin

Organizasyonla Bağlantıları Yönetmek

Varsayılan olarak, organizasyonlar birbirleriyle bağlantılı değildir: her biri örnekteki diğerleri hakkında bilgi sahibi değildir. 

Başka Bir Organizasyonla Bağlantıları Yönetmek 

Bağlı Organizasyonlar sekmesini açın
Bağlı Organizasyonları Yönet düğmesine tıklayın

resim.png

Diğer organizasyonlar için şunları seçin:

  1. Eğer mevcut Organizasyonunun onunla bağlantılı olmasını istiyorsanız
  2. Oluşturulacak bağlantı türleri

resim.png

3 farklı bağlantı türü mevcuttur:

Hesap oluşturma/güncelleme

Hesaplar, TheHive'da birkaç yerden oluşturulabilir veya düzenlenebilir:

Platformun Yöneticisi olarak, Kullanıcılar sayfasını açın.

resim.png

Hesap Türleri

TheHive 5.0'dan başlayarak, uygulamada iki tür hesap bulunmaktadır:

Normal Hesaplar

·        Standart kullanıcılar, analistler için kullanılır. Bu hesaplar web arayüzünde oturum açmak, mevcut tüm kimlik doğrulama yöntemlerini kullanmak ve etkinse API anahtarlarını kullanmak için kullanılabilir.

Servis Hesapları    

Bir Hesap Oluşturun

Bir hesap eklemek için + butonuna basınız.

resim.png

Son olarak, Onayla'ya tıklayın.

Hesabı Güncelleyin

Hesaplar listesinde, hesap detaylarını görüntülemek için Önizleme'ye tıklayın.

resim.png

Platform Yönetimi

Platform Yönetimi

Marka Oluşturma

Bu özellik yalnızca bir lisansla kullanılabilir.

Marka adını, giriş sayfası logosunu, gezinti sayfası logosunu ve favicon'u değiştirebilirsiniz.

Markalaşmayı özelleştirmek için:

resim.png

Platform Yönetimi

Lisans

Lisansı Yükle veya Güncelle

Varsayılan olarak, TheHive topluluk sürümü lisansını içerir.

Yeteneklerin ve kotaların kilidini açmak için bir lisans gereklidir. StrangeBee ile iletişime geçin. Lisansı StrangeBee'den satın aldığınızda, StrangeBee size lisansı etkinleştirmenizi sağlayacak bir müşteri portalında hesap oluşturacaktır.


Lisansı Etkinleştir veya Güncelle

resim.png

Lisans Anahtarını Ayarla penceresi açılır. Pencerede meydan okumayı görebilirsiniz.

Meydan okuma kopyalandı mesajını göreceksiniz.  Meydan okuma kopyaladıktan sonra, StrangeBee müşteri portalındaki hesabınıza gidin ve bu meydan okumayı kullanılarak lisansı etkinleştirin ve müşteri portalı size bir etkinleştirme lisans anahtarı verecektir.

Lisans anahtarını etkinleştir düğmesine tıklayın

Bu, lisansı etkinleştirir ve bu lisansla birlikte gelen tüm özelliklerle örneğinizi günceller.

resim.png

Lisans aşağıdaki yeteneklerle tanımlanır:

  • Platformunuzda kaç kullanıcı oluşturabileceğinizi belirler.
  • Lisans, kullanıcı sayısına ve organizasyon sayısına dayanır.
  • Bir doğrulama ve son kullanma tarihi vardır.
  • Sınırsız Sayıda Salt Okunur kullanıcı ve Servis hesaplarına izin verir. Servis hesapları, TheHive arayüzüne erişimi olmayan ancak tüm API'ları çağırmak için bir API anahtarı kullanabilenlerdir.

Platform Yönetimi

Cortex

Varsayılan olarak, TheHive hiçbir Cortex sunucusuna bağlı değildir.

TheHive'i Cortex'e bağlayın ve Gözlemlenebilirler hakkında bilgi ve istihbarat toplamak için Analizörlerden yararlanın, ayrıca Aksiyonları etkinleştirerek ağınızda veya üçüncü taraf hizmetlerinde(TheHive ve Cortex'in dışında gelen ve bu platformlarla entegre olarak çalışabilen diğer yazılım veya servisler) işlemler çalıştırın.

Giriş

Bir bağlantı tanımlamak için bir Cortex sunucusunda bir hesap ve bir API anahtarı gereklidir.

Bir veya daha fazla Cortex örneği TheHive'e bağlanabilir.

Cortex Bağlantılarını Yönetme

 Yeni Bir Cortex Sunucusu Ekleyin

resim.png

Cortex bağlantısını belirtin:

  • Bu bağlantı için bir isim, örneğin: Cortex1
  • Bağlanılacak Cortex sunucusunun URL'si, örneğin: https://cortex.mycompany.com
  • Ayrılmış Cortex hesabının API anahtarı
  • Cortex ile bağlantı kurmak için gerekiyorsa Proxy ayarları

Gelişmiş Ayarlar

resim.png

Cortex tarafından sunulan tüm Analizörler ve Yanıtlayıcılar TheHive'deki tüm organizasyonlar için kullanılabilir durumdadır. Ayrıca, 2 seçenek daha bulunmaktadır:

Bir Bağlantıyı Sil

resim.png

Platform Yönetimi

MISP

Giriş

Bir bağlantı tanımlamak için MISP sunucusunda bir hesap ve bir API anahtarı gereklidir.

  • Bir veya daha fazla MISP örneği TheHive'a bağlanabilir.
  • Her biri için:
  • MISP etkinlikleri, TheHive'da Uyarılar olarak içe aktarılabilir. İçe aktarılan etkinlikleri hassaslaştırmak için bir filtre seti kullanılabilir.
  • Bir Vaka'da IOC olarak işaretlenmiş Gözlemlenebilirler, MISP'te yeni bir etkinlik olarak dışa aktarılabilir.
MISP bağlantılarını yönetme

Yeni bir MISP sunucusu ekleyin

resim.png

Bağlantı için şunları belirtin:

  • Bu bağlantı için bir isim, örneğin: misp1
  • Bağlanılacak MISP sunucusunun URL'si, örneğin: https://misp.mycompany.com
  • Ayrılmış MISP hesabının API anahtarı
  • Bu bağlantının amacı: Yalnızca İçe Aktar, Yalnızca Dışa Aktar veya İçe Aktar ve Dışa Aktar
  • TheHive'in MISP ile bağlantı kurması için gerekiyorsa Proxy ayarları
Gelişmiş Ayarlar

resim.png

Varsayılan olarak, TheHive'daki tüm organizasyonlar bu bağlantıdan faydalanır. Ek olarak, 2 seçenek daha bulunmaktadır:

  • Bu bağlantıyı yalnızca TheHive'daki mevcut organizasyonların bir alt kümesine kullanılabilir hale getirin.
  • Bu bağlantıyı TheHive'daki mevcut organizasyonların bir alt kümesine kullanılamaz hale getirin.

Ek seçenekler size şunları sağlar:

  • MISP etkinliklerini içe aktardığınızda Uyarılara eklenen etiketleri tanımlayın
  • IOC'leri MISP'te dışa aktardığınızda, yeni MISP etkinliğinde Vakadaki gözlemlenebilirlerden gelen etiketleri de dışa aktarın
  • IOC'leri MISP'te dışa aktardığınızda, gözlemlenebilirlerden gelen etiketleri de dışa aktarın

Filtreler

resim.png

MISP etkinliklerini TheHive Uyarıları olarak içe aktardığınızda, birkaç seçenek mevcuttur:

  • İçe aktarılmasına izin verilen bir MISP etkinliğinin maksimum yaşını belirleyin
  • İçe aktarılmasına izin verilen MISP etkinliklerinin sahibi olan organizasyonların bir listesini belirtin
  • İçe aktarılmasına izin verilmeyen MISP etkinliklerinin sahibi olan organizasyonların bir listesini belirtin
  • İçe aktarılması için MISP etkinliğine dahil edilecek gözlemlenebilirlerin (~ özniteliklerin) bir limitini belirleyin
  • İçe aktarılması için MISP etkinliğinde bulunması gereken etiketlerin bir listesini belirtin
  • İçe aktarılması için MISP etkinliğinde bulunması gereken etiketlerin bir listesini belirtin ve bunu görmezden gelin

Bir Bağlantıyı Sil

resim.png

Platform Yönetimi

SMTP

TheHive, e-posta bildirimleri göndermek için bir SMTP sunucusuna bağlanabilir ve kullanıcıların unuttukları şifrelerini tanımlamalarına veya değiştirmelerine izin verebilir.

SMTP'yi Yapılandırın

Platform Yönetimi sayfasında, SMTP sekmesini seçin.

resim.png

Sunucu Ayarlarını Yapılandırın

Tanımlayın:

Güvenlik ve Kimlik Doğrulama Ayarlarını Yapılandırın

Gerekliyse ek güvenlik parametrelerini belirtin:

  • Bağlantı güvenliği listesinden doğru protokolü seçin
  • Gerekirse Kullanıcı adı ve Şifreyi girin

Değişiklikleri Onaylayın

 Kullanıcı hesabı oluşturun ve bildirim gönderin

Platform Yönetimi

Kimlik Doğrulama

Genel Ayarlar

Bilgi:

  1. Menü: Platform Yönetimi
  2. Sekme: Kimlik Doğrulama

resim.png

Oturum Ayarları

Birkaç seçenek mevcuttur:

  • Temel Kimlik Doğrulamayı Etkinleştir: Sağlanan giriş ve parola ile HTTP isteklerini kimlik doğrular
  • API Anahtar Kimlik Doğrulamasını Etkinleştir: Sağlanan bir API anahtarı ile HTTP isteklerini kimlik doğrular
  • HTTP Başlık Kimlik Doğrulamasını Etkinleştir: Kullanıcı girişini içeren bir HTTP başlığı kullanarak HTTP isteklerini kimlik doğrular
  • Çok Faktörlü Kimlik Doğrulamasını Etkinleştir: Çok Faktörlü Kimlik Doğrulama varsayılan olarak etkindir. Bu, kullanıcıların Çok Faktörlü Kimlik Doğrulamalarını Kullanıcı Ayarları sayfası üzerinden yapılandırabilecekleri anlamına gelir.
  • Varsayılan kullanıcı alanı: Varsayılan olarak, kullanıcılar bir e-posta adresiyle giriş yaparlar, örneğin: user@domain.com. Kurulduğunda, kullanıcıların alan olmadan da giriş yapma izni verilir (örneğin, kullanıcı).

Kimlik Doğrulama Sağlayıcılarını Yönetmek

Kullanıcıları doğrulamak için birkaç seçenek bulunmaktadır:

  • Yerel hesaplar: Parola politikasını yapılandırabileceğiniz yerel bir kullanıcı veritabanını yönetin.
  • LDAP dizini kullanma: TheHive'ı bir LDAP sunucusunu kullanacak şekilde yapılandırın.
  • Active directory kullanma: TheHive'ı bir LDAP sunucusunu kullanacak şekilde yapılandırın.
  • SAML: Kullanıcıları doğrulamak için bir veya daha fazla SAML sağlayıcısı aracılığıyla tek oturum açmayı kullanın.
  • OAuth2: Kullanıcıları doğrulamak için harici bir OAuth2 sunucusu aracılığıyla tek oturum açmayı kullanın.

Birden fazla sağlayıcı kullanımı

resim.png

TheHive, kullanıcıları doğrulamak için birden fazla sağlayıcı kullanabilir, öncelik sırasını değiştirmek için okları kullanın (örneğin: önce Oauth2 doğrulamasını deneyin, sonra yerel veritabanını).

Yerel Hesap

      Bu, TheHive'ın varsayılan davranışıdır. Uygulamalar kullanıcı adlarını ve parolaları yerel bir veritabanında saklar.

Yapılandırma

resim.png

Varsayılan olarak, yerel hesaplar için herhangi bir politika etkin değildir. Bununla birlikte, bir parola politikası ve engelleme ayarları ayarlanabilir:

- Bir kullanıcının geçici olarak engellenmeden önce kimlik doğrulama için başarısız deneme sayısı
- Kullanıcının engelini kaldırmak için ilgili süre

Parola Politikası

LDAP Kimlik Doğrulamasını Ayarlama

resim.png

LDAP kimlik doğrulamasını kurmak için şu adımları izleyin:

  1. Dizin Kimlik Doğrulaması'na tıklayın.
  2. Dizini etkinleştirmek için anahtarı kullanın.
  3. Ardından menüden LDAP'ı seçin; gerekli parametrelerin listesi görüntülenir.

resim.png

4. Değişikliklerinizi onaylayın ve kaydedin.

5. Dizin Kimlik Doğrulaması satırını, kimlik doğrulama sağlayıcıları listesinde kullanılacak ilk sağlayıcı olarak taşıyın.

LDAP ile Kimlik Doğrulama

Kimlik doğrulama yapabilen kullanıcıların zaten TheHive yerel veritabanında bir hesap oluşturmuş olmaları gerekir.

Active Directory

Active Directory kimlik doğrulamasını yapılandırmak için bir lisans gereklidir.

resim.png

AD kimlik doğrulamasını yapılandırmak için aşağıdaki bilgilere ihtiyacınız olacak:

  • Alan denetleyicilerinin adresleri
  • Windows Alan Adı
  • DNS alan adı
  • SSL kullanılıp kullanılmadığı

SAML

TheHive SAMLv2.0 kimlik doğrulama sağlayıcılarını destekler.


Yapılandırma

Bir SAML kimlik doğrulama sağlayıcısı aşağıdaki yapılandırma parametrelerini kabul eder:

resim.png

Birden Fazla Hizmet Sağlayıcısı Yapılandırıma

Birden fazla hizmet sağlayıcısı yapılandırılabilir. Bu durumda, bir kullanıcı giriş yapmaya çalıştığında, TheHive her bir hizmet sağlayıcısına sırayla sorgu gönderir. Bir hizmet sağlayıcı giriş yapma yetkisiyle yanıt verdiğinde sorgular durur.

resim.png

OAuth2 / OpenID Bağlantısı

resim.png

Yapılandırma

Kullanıcıyı harici bir OAuth2 kimlik doğrulayıcı sunucusu kullanarak kimlik doğrulayın. Aşağıdaki yapılandırma parametrelerini kabul eder:

Parametre ve Açıklamaları :

Kullanıcı Otomatik Oluşturma

Kullanıcıların önceden oluşturulmadan giriş yapmalarına izin vermek için otomatik oluşturmayı etkinleştirebilir ve birkaç seçenek belirleyebilirsiniz:

  • Kullanıcı bilgisinde kullanıcının adını içeren alan
  • Kullanıcı bilgisinde kuruluşun adını içeren alan
  • Yeni kullanıcılara uygulanan varsayılan kuruluş
  • Yeni kullanıcılara uygulanan varsayılan profil

resim.png

Varlık Yönetimi

Bu bölümde profiller, özel alanlar, gözlemlenebilir tipler, vaka durumu, uyarı durumu, analiz şablonları, sınıflandırmalar, att&ck modellerinin nasıl oluşturduğu anlatılacaktır.

Varlık Yönetimi

Profiller

Profiller, Varlıklar Yönetimi sayfasının ilk sekmesinde bulunmaktadır.

Giriş

TheHive, Yöneticiler ve Kuruluşlar için önceden tanımlanmış bir dizi profil ile gelir; bu set, ihtiyaçlarınıza bağlı olarak oluşturabileceğiniz özel profillerle zenginleştirilebilir.

resim.png

Profilleri güncellemek için geçerli bir lisans gereklidir.

İzinler

Her profil, bir dizi izin tarafından tanımlanır. İki profil türü vardır:

  • Yönetim: Admin kuruluşundaki kullanıcılar tarafından platformun yönetimi için kullanılır.
  • Kuruluş: İş kuruluşlarında kullanılan.

İzinler, uygulamadaki bir varlık olan Entity ile manageEntity adı verilir. Örneğin: manageCase. Bir manageEntity izni, bir varlığı yazma, güncelleme, silme haklarını içerir.

Profilleri Yönet

Admin profili hariç, tüm profiller özelleştirilebilir ve silinebilir.

Profil Ekle

  • Profil sekmesinde, Entities Management sayfasında "+" düğmesine tıklayarak yeni bir profil ekleyin.
  • Ardından oluşturulacak profil türünü seçin ve ilişkilendirilmiş izinleri belirleyin.

Profil Ekleme penceresi açılır.

  • Yeni profil için bir Ad girin.
  • Profil türünü Seçin.
  • O profil türü için İzinleri seçin.
  • Profil oluşturma işlemini onaylamak için "Profil Oluşturma" düğmesine tıklayın.

resim.png

Varlık Yönetimi

Özel Alanlar

Özel Alanlar, bir Vaka veya Uyarıyı daha fazla bağlam sağlamak, istatistikler veya panolar oluşturmak için kullanılan özel bilgilerle zenginleştirilmiş bilgilerdir.

TheHive'in Yönetici görünümünde tanımlanır ve platformdaki tüm Kuruluşlara sunulur.

Bu Özel Alanlar görünümü, Yönetici alanında mevcuttur: Varlıklar Yönetimi görünümünü açın, ardından Özel Alanlar sekmesini açın.


Özel Alan Oluştur

Yeni bir Özel Alan oluşturmak için "+" simgesine tıklayın.

resim.png

Yeni bir Özel Alan oluşturmak için aşağıdaki bilgileri doldurun:

  • Vakalar ve Uyarılarda görüntülenecek bir isim
  • Teknik bir isim. Varsayılan olarak, bu isim otomatik olarak ad ile ayarlanır, ancak gerektiğinde ayarlanabilir. Bu isim, API ile Özel Alanı kullanırken kullanılır.
  • Analistlerin Vakalar ve Uyarılarla bu ÖA'yı kullanmasına yardımcı olmak için bir açıklama ekleyin.
  • Bu ÖA için bir grup adı tanımlayın.
  • ÖA'nın türünü tanımlayın; Birden fazla tür mevcuttur - Dize, Boolean, Tamsayı, Ondalık, Tarih
  • Önceden tanımlanmış değerler varsa, bunları doldurun veya bu bir serbest alan ise boş bırakın
  • Bu Özel Alanın zorunlu olması ve bir Vakayı kapatmadan önce değerlendirilmesi gerekiyorsa bu seçeneği etkinleştirin.

Sonra, Özel Alan oluşturma işlemini onaylamak için "Özel Alan Oluştur" üzerine tıklayın.

Varlık Yönetimi

Gözlemlenebilir Tipler

Gözlemlenebilir türler, uygulamada kullanılabilecek Gözlemlenebilirlerin mevcut veri türlerini tanımlar. TheHive, önceden tanımlanmış bir dizi türle gelir ve bu liste özel veri türleriyle zenginleştirilebilir.

Gözlemlenebilir türleri, Yönetici alanında yapılandırılır: Varlıklar Yönetimi'ni açın ve Gözlemlenebilir türler sekmesini seçin.

Yeni Bir Gözlemlenebilir Türü Oluştur

Yeni bir Gözlemlenebilir Türü oluşturmak için "+" simgesine tıklayın.

resim.png

Bu yeni tür için bir isim belirtin. Bu yeni gözlemlenebilir türünün bir dosya ekine göre tanımlanıp tanımlanmadığını belirleyin. Eğer evet ise, analistler tarafından girilen veri bir dosyadır; değilse, bu bir metin alanıdır.

Sonra, Gözlemlenebilir tür oluşturmayı onaylamak için "Gözlemlenebilir tür oluştur" üzerine tıklayın.

Varlık Yönetimi

Vaka Durumu

Vaka Durumu, Yönetici alanında yapılandırılabilir: Varlıklar Yönetimi sayfasını açın ve Vaka durumu sekmesini seçin.

Giriş

TheHive, bir dizi önceden tanımlanmış durum ile gelir. Her durum bir Aşamaya aittir.

resim.png

Aşamalar sabitlenmiştir; güncellenemez veya silinemezler ve platforma yeni bir aşama eklenemez. Durumlar oluşturulabilir, güncellenebilir ve silinebilir.

Durum Oluşturma

Yeni bir durum eklemek için "+" simgesine tıklayın.

resim.png

Bir durum şu özelliklere sahiptir:

  • Bir aşama: Yeni durumun aşamasını seçin.
  • Bir değer: Yeni durum için bir ad seçin.
  • Bir renk: Kullanıcıların uygulamada durumu hızlıca tanımlaması için bir renk seçin.

Durumu Düzenle/Sil

Renk, bir durumu güncellerken yalnızca güncellenebilir.

Varlık Yönetimi

Uyarı Durumu

Uyarı Durumu, Yönetici alanında yapılandırılabilir: Varlıklar Yönetimi sayfasını açın ve uyarı durumu sekmesini seçin.

Giriş

TheHive, bir dizi önceden tanımlanmış durum ile gelir. Her durum bir aşamaya aittir.

resim.png

Aşamalar sabitlenmiştir; güncellenemez veya silinemezler ve platforma yeni bir aşama eklenemez. Durumlar oluşturulabilir, güncellenebilir ve silinebilir.

Durum Oluşturma

Yeni bir durum eklemek için "+" simgesine tıklayın.

resim.png

Bir durum, şu özelliklere sahiptir:

  • Bir aşama: Yeni durumun aşamasını seçin.
  • Bir değer: Yeni durum için bir ad seçin.
  • Bir renk: Kullanıcıların uygulamada durumu hızlıca tanımlaması için bir renk seçin.

Durumu Düzenle/Sil

Renk, bir durumu güncellerken yalnızca güncellenebilir.

Varlık Yönetimi

Analiz Şablonları

TheHive, analiz raporlarını görüntülemek için HTML şablonlarına ihtiyaç duyar.


Genel Analiz Şablonlarını Kurun veya Güncelleyin

resim.png

resim.png

Şablonları Düzenle

Yeni bir Analiz Cortex'te etkinleştirildiğinde ve TheHive için kullanılabilir hale geldiğinde, bu listede bir şablon satırı eklenir.

resim.png

Düzenleyin ve kaydedin

resim.png

Bağlı analizleri çalıştırmak, yeni şablonun uygulandığı sonuçları görüntülemelidir.

 

Varlık Yönetimi

Sınıflandırmalar

Sınıflandırmalar, TheHive'da yapılandırılmış etiketleri tanımlamak için kullanılır. Sınıflandırmalar, Yönetici alanında yapılandırılabilir: Varlıklar Yönetimi'ni açın ve Sınıflandırmalar sekmesini seçin.

Varsayılan olarak, MISP sınıflandırmaları içe aktarılır.

resim.png

Bir sınıflandırmadaki mevcut etiketlerin listesini gözden geçirmek için istenen adı tıklayın; bu, etiketlerin listesiyle bir çekmeceyi açacaktır.

Kullanıcı Bir Sınıflandırmayı Görüntüle

Bir belirli sınıflandırmadaki mevcut etiketlerin listesini gözden geçirmek için istenen adı tıklayın; bu, etiketlerin listesiyle bir çekmeceyi açacaktır.

resim.png

Bir Sınıflandırmayı Etkinleştirme veya Silme

Varsayılan olarak hiçbir sınıflandırma etkin değildir; bu nedenle Vakalarda veya Uyarılarda kullanılamazlar. Vakalarda ve Uyarılarda bir etiket setini kullanmak için ilgili sınıflandırma etkinleştirilmelidir.

 

resim.png

Sınıflandırmaları Güncelle

TheHive, kurulum anındaki MISP sınıflandırmaları sürümüyle birlikte gelir. TheHive güncellenirken en son kullanılabilir sürümü güncellemez veya eklemaz. Dolayısıyla, MISP ekibinin yayınladığı en son sürümü almak istiyorsanız bunu manuel olarak güncellemeniz gerekir.

resim.png

  1. Taksonomileri "İçe Aktar" düğmesine tıklayın.
  2. Son arşivi buradan indirebilirsiniz: https://github.com/MISP/misp-taxonomies/archive/main.zip
  3. İndirilen dosyayı sürükleyip bırakın ve "İçe Aktar" düğmesine tıklayın

Özel Sınıflandırmalar

MISP tarafından belirtilen JSON şemasını takip ederek kendi taksonomilerinizi ekleyebilirsiniz. (https://github.com/MISP/misp-taxonomies)

 

Varlık Yönetimi

Att&ck Modelleri

Att&ck modelleri yapılandırması, Yönetici alanında mevcuttur: Varlıklar Yönetimi'ni açın, ardından Att&ck  Modelleri sekmesine tıklayın.

Giriş

Varsayılan olarak, TheHive, MITRE'den Enterprise ATT&CK modelleri ile birlikte gelir. Bu, kurulum süreci sırasında yüklenir ve ilgili tüm tekniklerle birlikte Katalog adı Enterprise Attack oluşturulur.

resim.png

Modelleri Görüntüle

Bir kataloğa dahil edilen modellerin ayrıntılarını görmek için bir kataloğa tıklayın.

resim.png

Her bir modelin tüm ayrıntıları teknik kimliğine tıklanarak incelenebilir 

resim.png

Kataloglar otomatik olarak güncellenmez, kurulum sırasında gelen Enterprise kataloğu da güncellenmez. Dolayısıyla, çerçevenin en son sürümlerinden yararlanmak istiyorsanız, bunları güncellemeniz gerekir.

resim.png

Yeni bir katalog eklemek için:

  1. "MITRE ATT&CK desenlerini içe aktar" üzerine tıklayın.
  2. Kurmak istediğiniz desenleri seçin.
  3. Yeni bir katalog oluşturuyorsanız bir katalog adı ekleyin veya güncellemek istediğiniz mevcut bir adı seçin.
  4. İndirilen dosyayı sürükleyip bırakın.
  5. İçe Aktar düğmesine tıklayın.

Bu işlemler biraz zaman alabilir.

Şifremi Unuttum

Eğer TheHive bir SMTP sunucusuna bağlıysa, kullanıcı olarak parolanızı değiştirebilirsiniz.

resim.png

resim.png

resim.png

Göstergeler & Key Performance Indicator(KPI)

Göstergeler

5.1 sürümünden beri, TheHive, olaylar ve vakalarla ilgili zaman ölçütlerine değerli bir bakış sunar ve güvenlik operasyonlarınıza ilişkin ana performans göstergelerini izlemenizi sağlar. Ortalama zaman ölçütlerine olan destek, operasyonlarınızı yönetmeyi kolaylaştırmak daha fazla dikkat veya çaba gerektiren alanları belirlemeye yardımcı olmak için panolara eklenmiştir.

Vaka ve Uyarılardaki Gösterge Listesi

Her Vaka ve Uyarı, çeşitli zaman ve tarih bilgileri ile tanımlanır. TheHive bu verilerden yararlı belirteçler hesaplar, her Vaka ve Uyarının ayrıntılı görünümünde görüntüler.

Yeni zaman ölçütü göstergeleri ile artık her vaka ve uyarı için tespit, kabul etme ve sınıflandırma sürelerine dair görünürlüğe sahip olabilirsiniz. Bu, olay yanıt süreçlerinizi daha net anlamanıza yardımcı olur.

resim.png

Gösterge Tablolarında KPI'ları Kullanma

MTTI gibi ortalama zaman ölçütleri kullanarak, işlemlerinizi anlamak ve öncelik verilmesi gereken alanları belirlemek için kullanışlı KPI'ları içeren gösterge tabloları oluşturabilirsiniz. Bu tablolar, etkinliğinizi değerlendirmenize ve operasyonlarınızı daha etkili hale getirmenize yardımcı olur.

KPI'lar genellikle işletmenin başarısını izlemek, performansı değerlendirmek ve stratejik kararlar almak için kullanılır.

Gösterge Tablolarındaki KPI'lar

resim.png

Organizasyon Yönetimi

Organizasyon Yönetimi

Kullanıcıları Yönet

Kuruluşunuzda Kullanıcıları Yönetme

Kuruluşunuzdaki kullanıcıları yönetmek için org-yönetici profil veya en azından kullanıcıları yönetme izni gereklidir.

Kullanıcıların Listesi

Kuruluşunuzda, sol taraftaki menüdeki Kuruluş'a tıklayarak kullanıcıların listesine erişebilirsiniz. İlk sekme Kullanıcılar'dır.

resim.png

Kullanıcı Bilgileri

Bir kullanıcı hakkında ayrıntılı bilgiye erişmek için Önizleme düğmesine tıklayın

resim.png

Yapılandırma Parametreleri

Avatar

Kullanıcıya ilişkilendirilmiş avatarı yenilemek için yeni bir dosyayı sürükleyip bırakarak güncelleyin (PNG veya JPG dosyaları).

Giriş

Kullanıcı girişi Email Hesap için e-posta adresi. Bu, bildirimleri göndermek veya kullanıcılara şifre sıfırlama bağlantıları göndermek için kullanılır. Eğer dolu değilse Giriş kullanılır 

Tip

Hesabın tipi. Normal veya Hizmet. Bir Hizmet hesabı etkileşimli oturum açama. 

Kilitli

Bir kullanıcının uygulamaya girişini engeller.

MFA

Bir kullanıcının çoklu faktör kimlik doğrulama (MFA) yapılandırıp yapmadığını belirtir. Eğer yapıldıysa, Evet olarak gösterilir.

API Anahtarı Hesabın 

API anahtarını tanımlayın, yenileyin, görün veya iptal edi. 

Profil

Kullanıcıya verilen profil hakkındaki bilgiler.

İzinler

Profilde bulunan izinlerin listesi Şifre Kullanıcının parolasını oluşturun veya güncelleyin. 

Şifre Sıfırla

Uygulama bir SMTP sunucusu ile yapılandırılmışsa, kullanıcıya bir sihirli bağlantı ile e-posta gönderin. Bağlantı kısa bir süre için aktiftir. 

Oturumlar

Açık etkileşimli oturumların listesi. Bir oturumu kapatmak için silmeye tıklayın.

Kullanıcı Ekleme

Kuruluş içindeki org-yönetici kullanıcılar veya profillerinde manageUser rolüne sahip kullanıcılar, mevcut Kuruluşa kullanıcı ekleyebilirler.

Mevcut kuruluşa bir hesap eklemek için "+" düğmesine tıklayın ve bir hesap oluşturma ve hesap güncelleme rehberlerini izleyin.

 Kullanıcı Yönetimi

Hesaplar, yalnızca mevcut kuruluşta silinebilir veya kilitlenebilir.

Organizasyon Yönetimi

Şablonlar

Vaka Şablonlarını Tanımlama

Bu bölüm, kuruluşunuz için hazırladığınız Vaka şablonlarını içerir.

Vaka Şablonlarının Listesi

Vaka şablonlarının listesine, Kuruluş menüsünü açarak, ardından Şablonlar sekmesini ve Vakalar sekmesini açarak erişebilirsiniz.

resim.png

Yeni bir Vaka şablonu oluşturmak için düğmesine tıklayın.

Yeni Vaka Şablonu

resim.png

Yapılandırma Parametreleri

Önek

Bu şablonla oluşturulan bir Vakanın başlığına öne eklenen dize

Ad

 Vaka şablonunun adı. API ile Vaka şablonunu tanımlamak için kullanılır

Görüntülenen Ad

Arayüzde görüntülenen Vaka şablonunun adı

TLP

 Bu şablonla oluşturulan Vakanın varsayılan TLP'si

PAP

Bu şablonla oluşturulan Vakanın varsayılan PAP'ı

Ciddiyet

Bu şablonla oluşturulan Vakanın varsayılan

Ciddiyeti Etiketler

Bu şablonla oluşturulan Vakalara eklenecek etiketlerin listesi

Açıklama

Değiştirilmediği takdirde, bu şablonla oluşturulan Vakaların varsayılan açıklaması

Görevler

Şablonlara görevler ekleyin. Bunlar, bu şablonla oluşturulan Vakalara otomatik olarak eklenir

Özel Alanlar

Şablona Özel alanlar ekleyin. Özel alanlar için varsayılan değer de ayarlanabilir

Sayfalar

Şablona sayfa şablonları ekleyin. Bunlar, bu şablonla oluşturulan Vakalara otomatik olarak eklenir

Dışa Aktarım/İçe Aktarım

Vaka Şablonunu Dışa Aktarma

Vaka şablonları, seçenek ... simgesine tıklayarak ve |-> Dışa Aktar seçeneğini seçerek JSON dosyaları olarak dışa aktarılabilir.

resim.png

Bir Vaka Şablonunu İçe Aktarma

Vaka Şablonunu İçe Aktar düğmesine tıklayın ve içe aktarılacak JSON formatlı dosyayı seçin.

resim.png

Sayfa Şablonlarını Tanımlama

Bu bölüm, kuruluşunuz için hazırladığınız Sayfa şablonlarını içerir.

Sayfa Şablonlarının Listesi

Organizasyon menüsünü, ardından Şablonlar sekmesini ve Sayfalar sekmesini açarak listeye erişin.

resim.png

Yeni bir Sayfa şablonu oluşturmak için "+"düğmesine tıklayın.

Yeni Sayfa Şablonu

resim.png

Yapılandırma Parametreleri

Başlık

Sayfa şablonu başlığı. API ile Sayfa şablonunu tanımlamak için kullanılır. Ayrıca şablon bir vakada kullanıldığında sayfa başlığı olarak da kullanılır.

Kategori
Sayfaları ortak bir tema altında gruplamak için kategori. Vakada sayfa ağacı olarak kullanılır.

İçerik
Sayfa şablonu bir vakada kullanıldığında varsayılan sayfa içeriği.

Dışa Aktarım/İçe Aktarım 

Bir Sayfa Şablonunu Dışa Aktar

Sayfa şablonları, seçenek ... simgesine tıklayarak ve |-> Dışa Aktar seçeneğini seçerek JSON dosyaları olarak dışa aktarılabilir.

resim.png

Sayfa Şablonunu İçe Aktar

Sayfa Şablonunu İçe Aktar düğmesine tıklayın ve içe aktarılacak JSON formatlı dosyayı seçin.

resim.png

Rapor Şablonlarını Tanımlama

Bu bölüm, kuruluşunuz için hazırladığınız rapor şablonlarını içerir.

Rapor Şablonlarının Listesi

Rapor şablonlarının listesine, Kuruluş menüsünü açarak, ardından Şablonlar sekmesini ve Raporlar sekmesini açarak erişebilirsiniz.

resim.png

Yeni bir Rapor şablonu oluşturmak için "+" düğmesine tıklayın.

Yeni Rapor Şablonu

resim.png

Yapılandırma Parametreleri

Rapor başlığını ve açıklamasını tanımlayın.

Başlık

Sayfa şablonu başlığı. API ile Sayfa şablonunu tanımlamak için kullanılır. Ayrıca şablon bir vakada kullanıldığında sayfa başlığı olarak da kullanılır.

Açıklama

Sayfaları ortak bir tema altında gruplamak için kategori. Vakada sayfa ağacı olarak kullanılır.

İçerik

Sayfa şablonu bir vakada kullanıldığında varsayılan sayfa içeriği.

Ardından, başlık, altbilgi ve widget listesinden oluşan rapor içeriğini tanımlayın.

Başlık

Başlık, basit metin biçimlendirme içeriğinden oluşur. Bir başlık belirtmek zorunlu değildir

resim.png

Metin Widget'ı

İçerik tanımlamak için bir metin kutusu tanımlamak mümkündür.

resim.png

Bileşenler arasına ayrı başlıklar eklemek için bir metin kutusu tanımlanabilir.

resim.png

Görüntü Bileşeni

Görüntüleri bilgisayar dosyalarında aratarak ekleyin veya sürükleyip bırakarak ekleyin

resim.png

Tablo Bileşeni

Vaka öğelerini içeren tablolar ekleyin.

Parametreler :

  • Varlık Tanımlama: Hangi vaka öğelerinin tabloda görüntüleneceğini seçmek için varlık tanımlayın.

  • Maksimum Öğe Sayısı: Tabloda görüntülenecek maksimum öğe sayısını tanımlamak mümkündür.

  • Bilgi Koruması: Gözlemlenenlerin görüntülenmesinde bilgi korumasını etkinleştirmek mümkündür.

resim.png

Veri Sütunları

  • Bileşen eklendiğinde, en ilgili bilgiler otomatik olarak ön seçilir. Bununla birlikte, yeni sütunlar her zaman eklenabilir.

  • Sütunların sırasını yeniden tanımlamak için sürükle ve bırak kullanılabilir.

  • Son olarak, herhangi bir sütunu silmek için öğenin çarpı düğmesine tıklayarak silmek mümkündür.

resim.png

Sıralamalar

resim.png

Filtreler

  • Tabloya veri miktarını sınırlamak için filtreler ekleyebilirsiniz.

  • Seçilen varlıktan herhangi bir bilgiyi seçin.

  • Filtrelenmesi gereken operatörü belirtin.

  • Kontrol değerlerini tanımlayın.

  • Birden çok filtre eklenebilir.

  • Bir filtreyi silmek için çarpı düğmesini kullanın.

  • Son olarak, uygulanacak tüm filtreleri temizleyebilirsiniz.

resim.png

Veri Listesi

Vaka öğelerini içeren bir liste ekleyin.

Parametreler:

  • Liste içinde görüntülenecek vaka öğelerini seçmek için varlık tanımlayın.

  • Listede görüntülenecek maksimum öğe sayısını tanımlamak mümkündür.

  • Gözlemlenenlerin görüntülenmesinde bilgi korumasını etkinleştirmek mümkündür. 

resim.png

Veri Listesi
  • Bileşen eklendiğinde, en ilgili bilgiler otomatik olarak ön seçilir. Ancak, istenilen zaman yeni veriler eklenebilir.

  • Verilerin sırasını yeniden tanımlamak için sürükle ve bırak yöntemi kullanılabilir.

  • Son olarak, herhangi bir veriyi silmek için öğenin üzerinde bulunan çarpı düğmesine tıklanabilir.

resim.png

Sıralamalar

  • Liste bilgilerini sıralamak mümkündür.

  • Listenin hangi verilere göre filtrelenmesi gerektiğini belirtin.

  • Sıralama düzenini seçin.

  • Birden fazla sıralama verisi ekleyin.

  • Gereksiz sıralama verilerini silin.

resim.png

Filtreler

  • Listenin içindeki verileri sınırlamak için filtreler ekleyebilirsiniz.

  • Seçilen varlıktan herhangi bir bilgiyi seçin.

  • Filtrelenmesi gereken operatörü belirtin.

  • Kontrol değerlerini tanımlayın.

  • Birden çok filtre ekleyebilirsiniz.

  • Bir filtreyi silmek için çarpı düğmesini kullanın.

  • Son olarak, uygulanacak tüm filtreleri temizleyebilirsiniz.

resim.png

Altbilgi

Altbilgi, metin biçimlendirme içeriği ile oluşturulur. Altbilgiyi tanımlamak zorunlu değildir.

resim.png

Bileşenleri Düzenleme

  • Bir bileşen rapora eklendiğinde, istenilen konuma sürüklenerek bırakılabilir.

  • Bir öğeyi raporun sonuna yerleştirmek için istenen bileşen düğmesine tıklanabilir.

  • Bileşenlerin sırası istenildiği zaman yeniden düzenlenebilir.

  • Başlık ve altbilgi hareket ettirilemez.

resim.png

Rapor Üzerindeki İşlemler

  • Rapor içindeki herhangi bir bileşeni düzenleme

  • Başlık ve altbilgi hariç herhangi bir bileşeni silme

  • Raporu önizleme

resim.png

  • Raporu istediğiniz zaman kaydedin
  • Rapor listesine dönmek için rapor düzenlemeden çıkın

resim.png

Organizasyon Yönetimi

Özel Etiketler

Özel etiketler, TheHive'a eklenmiş sınıflandırmalara dahil edilmemiş olsalar bile, uyarılar'dan gelen veya vakalar'a veya gözlemlenebilir varlıklara eklenen tüm etiketleri toplar, hatta etkinleştirilmemiş olsalar dahi.

resim.png

Liste, Vakalarda, Uyarılarda veya Gözlemlenebilirlerde bulunanların sayısıyla ilgili istatistikleri gösterir.

Yapılandırma

Tüm Özel etiketler için adlar ve renkler ayarlanabilir
Her etiket ayrıca silinebilir

Bu menüden bir etiketin silinmesi, kuruluştaki her Uyarı, Vaka ve Gözlemlenebilirler üzerindeki etiketi kaldıracaktır.

Organizasyon Yönetimi

Kullanıcı Arayüzü (UI) Yapılandırma

TheHive kullanıcı arayüzünün (UI) çeşitli özelliklerinin ve ayarlarının düzenlenmesini ifade eder. Bu, kullanıcı arayüzünün görünümünü, davranışını ve işlevselliğini özelleştirmeyi içerir. UI yapılandırması genellikle kullanıcıların tercihlerine, organizasyonel gereksinimlere ve güvenlik politikalarına uygun olarak ayarlanır. Örnekler arasında tema seçimi, dil seçimi, bildirim ayarları, sayfa düzeni ve diğer kullanıcı tercihleri bulunur.

Kuruluş düzeyinde, birkaç UI davranışı yapılandırılabilir.

Listeye Kuruluş menüsünü açarak ve UI Yapılandırma sekmesine erişebilirsiniz.

resim.png

Yapılandırma Parametreleri

Yapılandırma Parametreleri#

Boş Vaka düğmesini Gizle Varsayılan olarak devre dışı bırakılmıştır. Etkinleştirildiğinde, mevcut Kuruluşun kullanıcıları boş Vakalar oluşturamaz ve bir şablon kullanarak veya bir arşivden Vaka oluşturmak arasında seçim yapmak zorunda kalacaklardır.

: Varsayılan olarak devre dışı bırakılmıştır. Etkinleştirildiğinde, mevcut Kuruluşun kullanıcıları boş Vakalar oluşturamaz ve bir şablon kullanarak veya bir arşivden Vaka oluşturmak arasında seçim yapmak zorunda kalacakdır.

resim.png

Uyarıları Kapalı Vakalarla Birleştirin: varsayılan olarak devre dışıdır. Etkinleştirildiğinde, mevcut Kuruluştaki kullanıcıların Uyarıları birleştirmek için kapalı bir Vaka seçmelerine izin verilir.

Gösterge Tablolarında Yenileme Seçeneğine İzin Verme: varsayılan olarak devre dışıdır. Etkinleştirildiğinde, geçerli kuruluştaki kullanıcılar gösterge tablolarını yenileyemez. Bu, belirli sayıda kullanıcı ile kullanıcı arayüzünde performans sorunlarıyla karşılaşıldığında faydalı olabilir.

resim.png

Gösterge Tablolarında "Tümü" Dönem Seçeneğine İzin Verme: Varsayılan olarak devre dışıdır. Etkinleştirildiğinde, geçerli Kuruluştaki kullanıcılar gösterge tablolarında Tümü dönemini kullanamaz. Bu, kullanıcı arayüzünde performans sorunlarıyla karşılaşılması durumunda faydalı olabilir.

resim.png

Uyarı Vakası Benzerlik Panelinin Varsayılan Filtresini Seçin: Bir Uyarı görünümünde Benzer Vaka sekmesi için varsayılan filtre

resim.png

resim.png

Tarihleri Görüntülemek İçin Kullanılan Varsayılan Tarih Biçimini Tanımlama: Tarihlerin geçerli kuruluş içinde hangi formatta görüntülenmesini istediğinizi seçin

Organizasyon Yönetimi

Bildirimler ve Uç Noktalar

Giriş

Bir bildirim şu şekilde tanımlanır:

resim.png

Tetikleyiciler

Her bildirim yalnızca bir tetikleyiciyle ilişkilendirilir. TheHive, Vakalar, Uyarılar, Görevler, Gözlemlenebilirler ve İşler üzerinde birkaç önceden tanımlanmış tetikleyici ile birlikte gelir. Özel tetikleyiciler de Filtrelenmiş Olay ile tanımlanabilir.

Başka bir tetikleyici, HerhangiBirOlaylar seçildiğinde herhangi bir olayda bildirimleri çalıştırmanıza olanak tanır.

Vakalar için Tetikleyiciler:

  • VakaKapatıldı (CaseClosed): Bir Vaka kapatıldığında bir eylemi çalıştır
  • VakaOluşturuldu (CaseCreated): Bir Vaka oluşturulduğunda bir eylemi çalıştır
  • VakaPaylaşıldı (CaseShared): Bir Vaka paylaşıldığında bir eylemi çalıştır

Uyarılar için Tetikleyiciler:

  • UyarıOluşturuldu (AlertCreated): Bir Uyarı oluşturulduğunda bir eylemi çalıştır
  • UyarıAlındı (AlertImported): Bir Uyarı içe aktarıldığında (bir Uyarıdan bir Vaka oluşturulur veya bir Uyarı mevcut bir Vakaya eklenirken) bir eylemi çalıştır

İşler için Tetikleyiciler:

  • İşTamamlandı (JobFinished): Bir İş başarıyla veya başarısızlıkla sonuçlandığında bir eylemi çalıştır

Gözlemlenebilirler için Tetikleyiciler:

  • GözlemOluşturuldu (ObservableCreated): Bir Gözlem oluşturulduğunda bir eylemi çalıştır

Görevler için Tetikleyiciler:

  • GirişGörevim (LoginMyTask): Bir Görevin yeni bir Günlük aldığında bir eylemi çalıştır
  • GörevAtandı (TaskAssigned): Bir Görev atandığında veya atanmış kişi güncellendiğinde bir eylemi çalıştır
  • GörevKapatıldı (TaskClosed): Bir Görev kapatıldığında bir eylemi çalıştır

Filtrelenmiş Olay:

Filtrelenmiş Olay seçildiğinde, TheHive, yapılandırılmış bir JSON filtresi yazmanıza izin verir. Bu filtre, uygulamadaki belirli olayları eşleştirmeyi amaçlar ve bildiriciler tarafından tanımlanan bir veya daha fazla eylemi tetikler.


resim.png

Birbirinden Farklı Bildiriciler

EmailToUser: geçerli Organizasyondaki tüm kullanıcılara bir e-posta gönderir
EmailToAddr : belirli bir e-posta adresine e-posta gönderir
HTTP İsteği: seçilen bir HTTP uç noktasına veri gönderme
Mattermost: seçilen bir Mattermost uç noktasına veri gönderir
Slack: seçilen bir Slack uç noktasına veri gönderme
MS Teams: seçilen bir Microsoft Teams uç noktasına veri gönderme
Webhook: seçilen bir webhook uç noktasına veri gönderme
Kafka: seçilen bir Kafka kuyruğuna veri gönderme
Redis: seçilen bir Redis uç noktasına veri gönderme

Bunlardan ikisi Cortex Analizörleri ve Yanıtlayıcıları çalıştırmak için ayrılmıştır:

RunAnalyzer: seçili Analizörleri çalıştır
RunResponder: seçili Yanıtlayıcıları çalıştır

Bildirimci Yapılandırması

Mattermost Yapılandırması

Bir EnpointOluştur

Organizasyon menüsünü açarak ve Bildirimler sekmesini seçerek Bildirimler listesine erişebilirsiniz.

resim.png

Bildirim eklemek için "+" düğmesine tıklayın.

resim.png

Bir bildirim oluşturun:

Daha sonra bildirimi kaydetmek için "Onayla"ya tıklayın.

Bildirimler Üzerinde İşlemler


Bir Bildirimi Sil

Bildirim listesinde sil seçeneğine tıklayın:

resim.png

Bir Bildirimi Devre Dışı Bırakma

Bildirimler listesinde, devre dışı bırakmak istediğiniz bildirimi düzenleyin:

resim.png

Sonucu Bildirimler listesinde belirtin.

resim.png


Bildiriciler

Enpoint yapılandırması

Mattermost'u seçin ve gerekli bilgileri doldurun.

resim.png

Mattermost Uç Noktası Yapılandırması:

  • Ad: Uç noktaya benzersiz bir ad verin
  • URL: Mattermost örneğinize bağlanmak için URL'yi belirtin
  • Kullanıcı Adı: Veri göndermek için kullanılan varsayılan kullanıcı adı
  • Kanal: Veri göndermek için kullanılan varsayılan kanal
  • Kimlik Doğrulama Türü: Bu uç noktaya bağlanmak için Temel kimlik doğrulamasını kullanın veya Anahtar veya Taşıyıcı yöntemini kullanın
  • Proxy Ayarları: Bu uç noktaya bağlanmak için bir web proxy kullanmayı seçin
  • Sertifika Yetkilileri: Gerekirse özel Sertifika Yetkilileri ekleyin (PEM biçiminde)
  • SSL Ayarları: Sertifika Yetkilisi kontrolünü devre dışı bırakın ve/veya ana bilgisayar adlarında kontrolleri devre dışı bırakın

Daha sonra, uç noktayı oluşturmak için "Onayla"ya tıklayın.

Bildirim Yapılandırması

Bir Bildirim oluştururken Bildirimci olarak Mattermost'u seçin ve formu doldurun.

resim.png

Mattermost'u Seçin

TheHive, giriş verileriyle şablonları oluşturmanıza olanak tanımak için Handlebars kullanır, ve bu çoğu form alanında kullanılabilir:

  • Uç Nokta: Kullanılacak uç noktayı seçin
  • Kullanıcı Adı: Bir kullanıcı adı seçin. Giriş verilerinden bir bilgi kullanmak istiyorsanız, değişken eklemek için tıklayın. Bu, uç noktada yapılandırılmış varsayılan kullanıcı adını geçersiz kılacaktır.
  • Kanal: Verilerin gönderileceği Mattermost'taki hedef kanalı seçin. Giriş verilerinden bir bilgi kullanmak istiyorsanız, değişken eklemek için tıklayın. Bu, uç noktada yapılandırılmış varsayılan kanalı geçersiz kılacaktır.
  • Şablon:
    • Kullanılabilir formatlar: JSON, Markdown ve Düz metin
    • Şablona eklenecek bir değişken seçmek için Değişken Ekle'ye tıklayın

Daha sonra bu Bildiriciyi kaydetmek için "Onayla"ya tıklayın.

MS Teams Yapılandırması

Microsoft Teams'i Bildirimci olarak kullanmak için en az bir uç nokta oluşturmak gerekir. Bu uç nokta, TheHive'ın MS Teams'e nasıl bağlanacağını tanımlar.

Bir Enpoint oluşturun

Kuruluş yapılandırma görünümünde Uç Noktalar sekmesini açın. Ardından, şuna tıklayın
düğmesine basarak yeni bir Bildirici oluşturun.

resim.png

Enpoint yapılandırması

Takımları seçin ve gerekli bilgileri doldurun.

resim.png

Ad (Name:): uç noktaya benzersiz bir ad verin
URL: MS Teams'inize bağlanmak için URL'yi belirtin; Bu, Teams'de gelen web kancası oluşturulurken kopyalanan URL'dir
Kimlik Doğrulama Türü (Auth Type): Bu uç noktaya bağlanmak için Temel kimlik doğrulamayı kullanın veya Anahtar veya Taşıyıcı yöntemini kullanın
Proxy ayarları (Proxy settings): bu uç noktaya bağlanmak için bir web proxy kullanmayı seçin
Sertifika yetkilileri (Certificate authorities): Gerekirse özel Sertifika Yetkilileri ekleyin (PEM biçimi)
SSL ayarları (SSL settings): Sertifika Yetkilisi kontrolünü ve/veya ana bilgisayar adları kontrollerini devre dışı bırakın

Ardından, uç noktayı oluşturmak için onayla'ya tıklayın.

Bildirim yapılandırması

Bir Bildirim oluştururken Bildirimci olarak Teams/ENDPOINT (ENDPOINT oluşturulan uç noktanın adı olacak şekilde) öğesini seçin ve formu doldurun.

resim.png

TheHive, giriş verileriyle şablonlar oluşturmanıza izin vermek için Handlebars kullanır ve bunu formun çoğu alanında kullanabilirsiniz:

  • Uç Nokta (Endpoint): Kullanılacak uç noktayı seçin
  • Metin Şablonu (Text template:): Bu zorunludur, hatta bir uyarlanabilir kart şablonu doldurulmuş olsa bile. Bu, özet bölümünde, bildirimlerde kullanılır. Biçim düz metindir.
  • Uyarlanabilir Kart Şablonu (Adaptive card template:):
    • Mevcut formatlar: JSON, Markdown ve Düz metin
    • Şablon içine eklemek için bir değişken seçmek için "Değişken Ekle"ye tıklayın.

Example: template used to display notification when a new Case is created

{
"type": "AdaptiveCard",
"body": [
    {
    "type": "TextBlock",
    "size": "Medium",
    "weight": "Bolder",
    "text": "#{{object.number}}: {{object.title}}",
    "horizontalAlignment": "Left",
    "spacing": "None",
    "wrap": true
    },
    {
    "type": "ColumnSet",
    "columns": [
        {
        "type": "Column",
        "items": [
            {
            "type": "TextBlock",
            "weight": "Bolder",
            "text": "{{object._createdBy}}",
            "fontType": "Default",
            "color": "Accent",
            "spacing": "None"
            },
            {
            "type": "TextBlock",
            "spacing": "None",
            "text": "Created {{dateFormat object._createdAt "EEEE d MMMM, k:m Z" locale="en" tz="Europe/Paris"}}",
            "isSubtle": true,
            "wrap": true,
            "fontType": "Default",
            "weight": "Default",
            "size": "Default"
            }
        ]
        }
    ]
    },
    {
    "type": "FactSet",
    "facts": [
        {
        "title": "severity",
        "weight": "Bolder",
        "value": "{{ severityLabel object.severity}}"
        },
        {
        "title": "TLP",
        "weight": "Bolder",
        "value": "{{ tlpLabel object.tlp}}"
        }
    ]
    },
    {
    "type": "TextBlock",
    "weight": "Bolder",
    "text": "Description",
    "spacing": "Large",
    "wrap": true,
    "horizontalAlignment": "Left"
    },
    {
    "type": "TextBlock",
    "text": "{{object.description}}",
    "spacing": "None",
    "wrap": true,
    "horizontalAlignment": "Left",
    "maxLines": 3
    }
],
"actions": [
    {
    "type": "Action.OpenUrl",
    "title": "Open Case in TheHive",
    "iconUrl": "https://docs.strangebee.com/images/thehive.png",
    "url": "{{url}}",
    "style": "positive"
    }
],
"$schema": "http://adaptivecards.io/schemas/adaptive-card.json",
"version": "1.5"
}

Oluşturulan tetikleyici Case ile birlikte kullanıldığında, bu şablon Microsoft Teams'de buna benzer bir kart oluşturacaktır:

resim.png

İpuçları
MS Teams aktif Kartlarını yazın#

Uyarlanabilir kartınızı tasarlamak için başlangıç noktası olarak https://adaptivecards.io/designer/ adresini kullanın
Tarihleri biçimlendir#

TheHive, tarihleri okumak için işleyici çubukları dize yardımcılarını kullanır
Bildirimlerde tarih ve saati biçimlendirmek için özel Java kalıplarının kullanılması gerekir

TheHive#'dan diğer özel verileri biçimlendirme

TheHive'a özel birkaç veri, bildirimlerdeki nesne verileriyle birlikte özel dize işleyicileri kullanılarak düzgün bir şekilde görüntülenebilir:

TLP değerini görüntülemek için tlpLabel (örnek: {{tlpLabel object.tlp}})
PAP değerini görüntülemek için papLabel (örnek: {{papLabel object.pap}})
şiddet değerini görüntülemek için severityLabel (örnek: {{severityLabel object.severity}})

Slack kanallarına bildirim gönderme

Slack kanallarına bildirim göndermek için TheHive'da en az bir uç nokta oluşturmanız gerekmektedir. Bu uç nokta, TheHive'in Slack'e nasıl bağlanacağını tanımlar. Uç nokta oluşturun#

Organizasyon yapılandırma görünümünde, Uç Noktaları sekmesini açın. Ardından, yeni bir Bildirim Oluşturucu oluşturmak için "+" düğmesine tıklayın.

resim.png

Enpoint yapılandırması

Slack'i seçin ve gerekli bilgileri doldurun.

resim.png

Ardından, uç noktayı oluşturmak için onayla'ya tıklayın.

Bildirim yapılandırması

Bir Bildirim oluştururken Bildirimci olarak Slack'i seçin ve formu doldurun.

resim.png

Slack'i seçin

TheHive, girdi verileriyle şablonlar oluşturmanıza izin vermek için Handlebars'ı kullanır ve bu, çoğu form alanında kullanılabilir:

Ardından bu Bildiriciyi kaydetmek için onayla'ya tıklayın.

Gelişmiş ayarlar

Slack entegrasyonu ile birlikte çeşitli yapılandırma seçenekleri gelir.

resim.png

resim.png

Örnekler

Blok şablonu örneği: vaka oluşturma hakkında bildirim gönderme

[
  {
    "type": "section",
    "text": {
      "type": "mrkdwn",
      "text": "*New Case created: Case #{{object.number}}*"
    }
  },
  {
    "type": "divider"
  },
  {
    "type": "section",
    "text": {
      "type": "mrkdwn",
      "text": "<{{url}}|{{object.title}}> \n :bee: \n {{object.description}}"
    }
  },
  {
    "type": "section",
    "fields": [
      {
        "type": "mrkdwn",
        "text": "*Created by*\n{{object._createdBy}}\n*Assigned to*\n{{object.assignee}}"
      }
    ]
  }
]

Kafka'ya bildirim gönderme

Yapılandırma

resim.png

Daha sonra, diğer bildirimcileri eklemek için+ düğmesine tıklayın veya Bildirimi oluşturmak için onaylamak için Onayla'ya tıklayın.

resim.png

Organizasyon Yönetimi

Uç Noktalar

Endpoints, bir bilgisayar ağı üzerindeki iki cihaz arasında iletişim kurmalarını sağlayan ve veri alışverişi yapmalarını sağlayan belirli bir noktadır. Genellikle, ağda bulunan bilgisayarlar, sunucular, yazıcılar veya diğer cihazlar arasında iletişim sağlamak için kullanılırlar. Endpointler, bir ağdaki veri iletişiminin başladığı veya sona erdiği yerler olarak düşünülebilir. İletişim protokolleri (HTTP, FTP, SMTP gibi) kullanılarak belirli hizmetlere erişmek veya dosya alışverişi yapmak gibi çeşitli görevler için endpointler kullanılır.

Bir uç nokta, iki sistem birbirleriyle etkileşime geçtiğinde iletişim kanalındaki giriş noktasıdır.

Kullanıcı bir uç nokta oluşturabilir.

resim.png

Desteklenen Bağlayıcılar

  • Web kancası
  • Mattermost
  • Slack
  • HTTP

Uç noktaları ekle

Bir Uç Nokta Eklemek için "+" düğmesine tıklayın veya Yeni bir uç nokta ekle bağlantısına tıklayın.

resim.png

Yeni bir sayfa açılır.

Bağlayıcıyı seçin.
Kaydet düğmesine tıklayın.

resim.png

Organizasyon Yönetimi

Fonksiyonlar

Bu özellik, TheHive'in 5.1 ve daha yüksek sürümleriyle kullanılabilir.

Fonksiyonlar, harici uygulamaları doğrudan TheHive işlemlerine entegre etmenizi sağlar.

Bir Fonksiyon, TheHive içinde çalışan özel bir JavaScript kod parçasıdır. Fonksiyon, dışarıdan gelen girişleri alabilir, işleyebilir ve doğrudan TheHive API'lerini çağırabilir.

Bu örneğin, verileri dönüştüren bir Python yapıştırma servisi olmadan TheHive içinde bildirimler oluşturmak için kullanılabilir.

Fonksiyon Oluştur

Sisteminizde bir olay meydana geldiğinde TheHive'da bir uyarı oluşturmak istediğinizi varsayalım. Harici sisteminiz için olaylar için kendi şemasına sahipsiniz, şöyle bir şey:

{
    "eventId": "d9ec98b1-410f-40eb-8634-cfe189749da6",
    "date": "2021-06-05T12:45:36.698Z",
    "title": "An intrusion was detected",
    "details": "An intrusion was detected on the server 10.10.43.2",
    "data": [
        {"kind": "ip", "value": "10.10.43.2", "name": "server-ip" },
        {"kind": "name", "value": "root", "name": "login" },
        {"kind": "ip", "value": "92.43.123.1", "name": "origin" }
    ]
}

Bu format, TheHive ile aynı değil, bu yüzden verileri TheHive uygun uyarı formatına dönüştürmeniz gerekiyor.

Bir org-admin olarak, bu girdiyi alabilir, TheHive formatına dönüştürebilir ve bundan bir uyarı oluşturabilirsiniz.

Fonksiyonun kodu şöyle olabilir:

function handle(input, context) {
    const theHiveAlert = {
        "type": "event",
        "source": "my-system",
        "sourceRef": input.eventId,
        "title": input.title,
        "description": input.details,
        "date": (new Date(input.date)).getTime(),
        "observables": input.data.map(data => {
            // map event data kind to TheHive Observable type
            const dataType = data.kind === "ip" ? "ip": "other";
            return {
                "dataType": dataType,
                "data": data.value,
                "tags": [`name:${data.name}`] // use a tag for the data name
            }
        })
    };
    // call TheHive APIs, here alert creation
    return context.alert.create(theHiveAlert);
}

resim.png

Bir fonksiyon, üç moddan birinde olabilir:

  • Etkin: Çağrıldığında fonksiyon çalıştırılacaktır.
  • Devre Dışı: Çağrıldığında fonksiyon çalıştırılmayacaktır.
  • Kuru Çalıştırma: Fonksiyon çalıştırılacak ancak TheHive'ta hiçbir varlık oluşturulmayacak veya değiştirilmeyecek. Varlık oluşturma işlemleri null dönecektir. Bu, entegrasyonunuzu canlıya almadan önce test etmeniz için faydalı olabilir.

Oluşturma sayfası, fonksiyonunuzu test etmenize ve uygulandığında ne döndüreceğinizi görmek için olanak sağlar. Kuru çalıştırma modunda, fonksiyon çalıştırılacak ancak hiçbir kaynak oluşturma veya değiştirme işlemi gerçekleştirilmeyecektir.

resim.png

Fonksiyon Çağırma

Fonksiyon kaydedildikten sonra sisteminizden bir http çağrısı ile çağrılabilir:

curl -X POST -H 'Authorization: Bearer $API_KEY' https://<thehive_url>/api/v1/function/<function_name> -H 'Content-Type: application/json' --data '
{
    "eventId": "d9ec98b1-410f-40eb-8634-cfe189749da6",
    "date": "2021-06-05T12:45:36.698Z",
    "title": "An intrusion was detected",
    "details": "An intrusion was detected on the server 10.10.43.2",
    "data": [
        {"kind": "ip", "value": "10.10.43.2", "name": "server-ip" },
        {"kind": "name", "value": "root", "name": "login" },
        {"kind": "ip", "value": "92.43.123.1", "name": "origin" }
    ]
}
'

TheHive, girdinizi (HTTP çağrısının gövdesi), fonksiyonunuzun tanımını alacak ve girdiyle birlikte fonksiyonu çalıştıracaktır. HTTP çağrısına, fonksiyon tarafından döndürülen verilerle yanıt verecektir.

Örnek: Bir Splunk uyarısından bir alarm oluşturma

Bir Splunk uyarısı oluştururken, bir eylem olarak bir webhook tanımlayabilirsiniz. Bu nedenle uyarı tetiklendiğinde webhook, bir yük ile çağrılır. Ancak yük, Splunk tarafından tanımlanmış ve değiştirilemez.

Yük biraz böyle görünmelidir:

{
"sid": "rt_scheduler__admin__search__RMD582e21fd1bdd5c96f_at_1659705853_1.1",
"search_name": "My Alert",
"app": "search",
"owner": "admin",
"results_link": "http://8afeb4633464:8000/app/search/search?q=%7Cloadjob%20rt_scheduler__admin__search__RMD582e21fd1bdd5c96f_at_1659705853_1.1%20%7C%20head%201%20%7C%20tail%201&earliest=0&latest=now",
"result": {
    "_time": "1659705859.827088",
    "host": "8afeb4633464",
    "source": "audittrail",
    "sourcetype": "audittrail",
    "action": "edit_search_schedule_priority",
    "info": "granted",
    "user": "admin",
    "is_searches": "0",
    "is_not_searches": "1",
    "is_modify": "0",
    "is_not_modify": "1",
    "_confstr": "source::audittrail|host::8afeb4633464|audittrail",
    "_indextime": "1659705859",
    "_kv": "1",
    "_raw": "Audit:[timestamp=08-05-2022 13:24:19.827, user=admin, action=edit_search_schedule_priority, info=granted ]",
    "_serial": "1",
    "_si": [
    "8afeb4633464",
    "_audit"
    ],
    "_sourcetype": "audittrail",
    "_subsecond": ".827088"
}
}

Bu splunk uyarısını bir TheHive uyarısına dönüştürmek için aşağıdaki gibi bir işlev kullanılabilir:

function handle(input, context) {
    const theHiveAlert = {
        "type": "splunk",
        "source": input.search_name,
        "sourceRef": input.result._serial,
        "title": `Splunk Alert triggered: ${input.search_name} by ${input.result.sourcetype}`,
        "description": `Alert created by splunk search '${input.search_name}:\n${input.result._raw}'`,
        "date": (new Date(parseFloat(input.result._time)*1000)).getTime(),
        "observables": [
            {"dataType": "hostname", "data": input.result.host},
            {"dataType": "other", "data": input.result.action, "message": "action"},
            {"dataType": "other", "data": input.result._raw, "message": "raw"}
        ]
    };
    return context.alert.create(theHiveAlert);
}

Splunk'ta, web kancası url'sini TheHive işlev url'sine ayarlamanız gerekecektir.

Örnek: Soğuk dava otomasyonu

Çağrıldığında, bu işlev şunları yapacaktır:

New veya  InProgress olan ve son bir ay içinde güncellenmemiş tüm vakaları bulun.
Bu vakaların her birine bir cold-case etiketi ekleyin.

function handle(input, context) {
    const now = new Date();
    const lastMonth = new Date();
    lastMonth.setMonth(now.getMonth() - 1);
    const filters = [
        {
            _name: "filter",
            _and: [
                {
                    _or: [{ _field: "stage", _value: "New" }, { _field: "stage", _value: "InProgress" },]
                },
                {
                    _lt: { _field: "_updatedAt", _value: lastMonth.getTime() }
                }
            ]
        }
    ];
    const list = context.caze.find(filters);
    const authorizedCases = list
        .filter(caze => caze.userPermissions.indexOf("manageCase/update") > 0);
    console.log(authorizedCases.map(c => c.number));
    console.log(`Will update ${authorizedCases.length} cases`);

    authorizedCases.forEach(caze => {
        context.caze.update(caze._id, { addTags: ["cold-case"] })
    });
}

Context API

Bilgi: Bağlam API'sindeki nesneler v1 Http Api'sinde kullanılanlarla aynıdır. Her nesnenin beklenen alanları hakkında daha fazla bilgi için lütfen Http Api Dokümantasyonuna bakın

Kullanıcı
userId: string : fonksiyonu çalıştıran kullanıcının kullanıcı adı
userName: string: fonksiyonu çalıştıran kullanıcının adı

Http isteği

request.queryString() : Record<string, string[]>: Harita olarak biçimlendirilmiş istek sorgu dizesini içeren sözlük
request.getQueryString(key: string): string | null: Sorgu dizesinden bir değer alın
request.getHeader(name: string): string | null: İstekten bir başlığın değerini alır
request.headers(): Record<string, string>: İstek başlıklarını alır
request.contentType: string: Content-Type istek başlığının değeri
request.remoteAddress(): Arayanın ip adresini alın

Sorgu(query))

query.execute(query: any[]): Veritabanı üzerinde bir sorgu çalıştırır (bkz. Api dokümanları => query)

Uyarı(Alert)

alert.create(input: InputCreateAlert): OutputAlert
alert.get(id: string): OutputAlert
alert.update(InputUpdateAlert): OutputAlert
alert.delete(alertId: string): void
alert.createCase(alert: InputCreateAlert): OutputCase
alert.bulkDelete(input: {ids: string[]}): void
alert.mergeWithCase(alertId: string, caseId: string): OutputCase
alert.bulkMergeWithCase( {caseId: string, alertIds: string[]} ): OutputCase
alert.followAlert(alertId: string): OutputAlert
alert.unfollowAlert(alertId: string): OutputAlert
alert.importInCase(alertId: string, caseId: string): OutputAlert
alert.bulkUpdate(input: {ids: string[]} & InputUpdateAlert): void
alert.find(query: any[]): OutputAlert[]

Case

case java'da ayrılmış bir anahtardır, bu nedenle bunun yerine caze kullanılır.

caze.create(input: InputCreateCase): OutputCase
caze.get(idOrNumber: string): OutputCase
caze.update(idOrNumber: string, update: InputUpdateCase): void
caze.merge(ids: string[]): OutputCase
caze.delete(idOrNumber: string): void
caze.changeCaseOwnership(idOrNumber: string, update: InputChangeCaseOwnership): void
caze.unlinkAlert(caseId: string, alertId: string): void
caze.mergeSimilarObservables(caseId: string): void
caze.bulkUpdate(update: {ids: string[]} & InputUpdateCase): void
caze.bulkApplyCaseTemplate(update: {ids: string[]} & InputApplyCaseTemplate): void
caze.find(query: any[]): OutputCase[]

Görevler(Task)

task.get(id: string): OutputTask
task.update(idOrName: string, update: Partial<OutputTask>): void
task.delete(id: string): void
task.find(query: any[]): OutputTask[]
task.setActionRequired(taskId: string, orgId: string): void
task.setActionDone(taskId: string, orgId: string): void
task.isActionRequired(taskId: string): Kayıt<string, bool>
task.createInCase(caseId: string, task: InputTask): OutputTask
task.bulkUpdate(update: {ids: string[]} & Partial<OutputTask>): void

Log

log.create(taskId: string, log: InputCreateLog): OutputLog
log.update(logId: string, update: InputUpdateLog): void
log.delete(logId: string): void
log.deleteAttachment(logId: string, attachmentId: string): void
log.find(query: any[]): OutputLog[]

Gözlemlenebilir (Observable Type)

observable.createInCase(caseId: string, observable: InputObservable): OutputObservable
observable.createInAlert(alertId: string, observable: InputObservable): OutputObservable)
observable.bulkUpdate(update: {ids: string[]} & Partial<OutputObservable>)
observable.get(idOrName: string): OutputObservable
observable.update(id: string, update: Partial<OutputObservable>): void
observable.delete(id: string): void
observable.find(query: any[]): OutputObservable[]
observable.updateAllTypes(fromType: string, toType: String): void

Gözlemlenebilir Tip

observableType.get(id: string): OutputObservableType
observableType.delete(id: string): void
observableType.create(ot: InputObservableType)
observableType.find(query: any[]): OutputObservableType[]

CustomField

customField.list(): OutputCustomField[]
customField.update(idOrName: string, update: Partial<OutputCustomField>): void
customField.delete(idOrName: string): void
customField.create(cf: InputCustomField): OutputCustomField
customField.find(query: any[]): OutputCustomField[]

Vaka Şablonu(Case Template)

caseTemplate.get(idOrName: string): OutputCaseTemplate
caseTemplate.update(idOrName: string, update: Partial<InputCaseTemplate>): void
caseTemplate.delete(idOrName: string): void
caseTemplate.create(template: InputCaseTemplate): OutputCaseTemplate
caseTemplate.find(query: any[]): OutputCaseTemplate[]

Prosedür(Procedure)

procedure.bulkCreateInCase(caseId: string, input: {procedures: InputProcedure[]}): OutputProcedure[]
procedure.bulkCreateInAlert(alertId: string, input: {procedures: InputProcedure[]}): OutputProcedure[]
procedure.createInCase(caseId: string, procedure: InputProcedure): OutputProcedure
procedure.createInAlert(alertId: string, procedure: InputProcedure): OutputProcedure
procedure.update(id: string, procedure: Partial<OutputProcedure>): void
procedure.delete(id: string): void
procedure.find(query: any[])

Vaka Durumu(Case Status) 

caseStatus.create(input: InputCreateCaseStatus): OutputCaseStatus
caseStatus.update(idOrName: string, update: InputUpdateCaseStatus): void
caseStatus.delete(idOrName: string): void
caseStatus.find(query: any[]): OutputCaseStatus[]

Uyarı Durumu (Alert Status)

alertStatus.create(input: InputCreateAlertStatus): OutputAlerttatus
alertStatus.update(idOrName: string, update: InputUpdateAlertStatus): void
alertStatus.delete(idOrName: string): void
alertStatus.find(query: any[]): OutputAlerttatus[]

Yorum(Comment)

comment.createInCase(caseId: string, comment: InputCreateComment): ÇıktıYorum
comment.createInAlert(alertId:: string, comment: InputCreateComment): ÇıktıYorum
comment.update(id: string, update: InputUpdateComment): void
comment.delete(id: string): void
comment.find(query: any[]): OutputComment[]

Paylaş(Share)

share.setCaseShares(caseId: string, input: InputCreateShares): OutputShare[]
share.removeSharesFromCase(caseId: string, input: InputRemoveShares): void
share.removeShare(shareId: string): void
share.removeShares(input: {ids: string[]} ): void
share.removeTaskShares(taskId: string, input: InputRemoveShares): void
share.removeObservableShares(observableId: string, input: InputRemoveShares): void
share.listShareCases(caseId: string): OutputShare[]
share.listShareTasks(taskId: string): OutputShare[]
share.listShareObservables(observableId: string): OutputShare[]
share.shareCase(caseId: string, input: InputCreateShare): OutputShare
share.shareTask(taskId: string, input: InputCreateShare): OutputShare
share.shareObservable(observableId: string, input: InputCreateShare): OutputShare
share.updateShare(shareId: string, update: InputUpdateShare): void

Organizasyon (Organisation)

organisation.get(orgIdOrName: string): OutputOrganisation
organisation.create(org: InputCreateOrganisation): OutputOrganisation
organisation.update(orgIdOrName: string, update: InputUpdateOrganisation): void
organisation.bulkLink(orgIdOrName: string, links: InputOrganisationBulkLink): void
organisation.listLinks(orgIdOrName: string): OutputOrganisationLink[]
organisation.listSharingProfiles(): OutputSharingProfile[]
organisation.link(orgA: string, orgB: string, link: InputOrganisationLink | null): void
organisation.unlink(orgA: string, orgB: string): void
organisation.find(query: any[]): OutputOrganisation[]

Profil(Profile)

profile.get(idOrName: string): OutputProfile
profile.update(profileIdOrName: string, update: InputUpdateProfile): void
profile.delete(profileIdOrName: string): void
profile.create(profile: InputCreateProfile): ÇıktıProfili
profile.find(query: any[]): OutputProfile[]

Özel Etkinlik (Custom Event)

customEvent.createInCase(caseId: string, input: InputCreateCustomEvent): OutputCustomEvent
customEvent.update(id: string, update: InputUpdateCustomEvent): void
customEvent.delete(id: string): void
customEvent.find(query: any[]): OutputCustomEvent[]

Fonksiyon (Function)

function.create(function: InputCreateFunction): OutputFunction
function.update(functionIdOrName: string, update: InputUpdateFunction): void
function.delete(functionIdOrName: string): void
function.find(query: any[]): OutputFunction



Analist Köşesi

Analist Köşesi

Uyarılar (Alerts)

Bu bölümde Uyarılar hakkında bilgi bulabilirsiniz.

Uyarılar, mevcut güvenlik sorunları, zafiyetler ve saldırılar hakkında zamanında bilgi sağlar.

Uyarı Ayrıntılarını Görüntüleme

Uyarı ayrıntılarını görüntülemek için:

Listede herhangi bir uyarıya tıklayabilirsiniz.

Uyarılar sayfası, uyarılar hakkında daha fazla ayrıntıya sahip olan çeşitli sekmeleri içerir; genel sekme, gözlemlenebilirler, TTP'ler, benzer vakalar, benzer uyarılar, yanıtlayıcılar sekmesi.

resim.png

Görünümleri yönetin

Bu bölümde, görünümleri yönetme hakkında bilgi bulabilirsiniz.

Görünümleri yönetmek için:

Varsayılan(default) düğmesine tıklayın.
Listeden Görünümleri Yönet(Manage Views) üzerine tıklayın.

resim.png

Yeni bir sayfa açılır. Görünümün Adı (Name of the view) ve ilgili Eylemler (Actions) yer alır. 

Silmek istediğiniz görünümün adına karşılık gelen üç noktaya (...) tıklayın.
Sil (Delete) öğesine tıklayın.

resim.png

Uyarıları Yönet

Uyarılara başvurmak için çeşitli seçenekler mevcuttur.

resim.png

Hızlı Filtreler

Hızlı filtre uygulamak için:

Hızlı Filtre (Quick Filter) seçeneğine tıklayın.
Liste, aralarından seçim yapabileceğiniz seçenekleri görüntüler.

resim.png

Otomatik Yenileme

Otomatik yenileme seçeneği, bir sayfayı otomatik olarak yenilemenizi sağlar.

Otomatik yenileme gerçekleştirmek için:

resim.png

İstatistikler

İstatistikleri görüntülemek için:

resim.png

Filtreler

Filtre uygulamak için:

Uyarılar sayfasında, Filtreler geçiş düğmesini açın.
Filtre ekle'ye tıklayın.

resim.png

Sıralama

Sıralama herhangi bir alan değeri üzerinde gerçekleştirilebilir.

Sıralamak için:

resim.png

Önizleme Uyarıları

Bu bölümde uyarıları ve ilgili ayrıntıları önizleme hakkında bilgi bulabilirsiniz.

Uyarı ayrıntılarını önizlemek için:

Uyarılar listesi sayfasında, belirli uyarı adına karşılık gelen bir Önizleme düğmesi vardır.

Önizleme (Preview) seçeneğine tıklayın.

resim.png

Uyarı ayrıntıları önizleme penceresi açılır.

resim.png

Uyarının kimliği, oluşturulma tarihi, son gözden geçirme tarihi, içe aktarma tarihi, TLP, PAP ve önem derecesi ayrıntıları, başlığı, etiketleri, açıklaması, durumu ve özeti gibi ayrıntıları görebilirsiniz.

Özel alanlar (Bkz. Özel alanlar ekleme), iş birimi ve konum ayrıntıları ekleyin.

resim.png

Uyarı Detayları

Uyarı hakkında daha fazla ayrıntı görüntülemek için Ayrıntılara git (Go to details) düğmesine tıklayın.

resim.png

Uyarı Ayrıntıları Menüsü

Uyarı hakkında daha fazla ayrıntı görüntülemek için Ayrıntılara git düğmesine tıklayın.

Sayfanın üst kısmında, başlatma, kapatma, yeni güncellemeleri izleme/görmezden gelme, uyarıların bağlantısını kaldırma ve yanıtlayıcıları çalıştırma gibi birçok görev seçeneği mevcuttur.

resim.png

Eylemler

Mevcut eylemlerden herhangi birini kullanabilirsiniz.

resim.png

Başlangıç

Bir uyarı başlatmak için Başlat (Start option) seçeneğine tıklayın.

resim.png

Kapatma

Bir görevi kaldırmak için Kapat seçeneğine tıklayın.

Yeni bir pencere açılır.

  1. Listeden Durum(Status) öğesini seçin.
  2. Özeti (Summary) Değiştirin
  3. Görevleri ve vakayı kapat düğmesine (Close tasks and case) tıklayın.

resim.png

Yeni Güncellemeleri İzle/Görmezden Gel

  1. Bir uyarıyı izlemek için Yeni Güncellemeleri İzle (Track New Updates) seçeneğine tıklayın.
  2. Bir başarı mesajı görüntülenir.

resim.png

  1. Bir uyarıyı yok saymak için Yeni Güncellemeleri Yoksay seçeneğine tıklayın.
  2. Bir başarı mesajı görüntülenir.

resim.png

Bağlantı Kaldırma

  1. Bir uyarının bağlantısını kaldırmak için Bağlantıyı Kaldır seçeneğine tıklayın.
  2. Tamam düğmesine tıklayın.

resim.png

Uyarıları Birleştir

Tüm uyarıların listelendiği ana sayfada çeşitli uyarılar bulunmaktadır. Bazıları yeni, bazıları içe aktarılmış. Uyarıları birleştir / seçimi vakaya birleştir seçeneği yalnızca listedeki Yeni uyarılar için kullanılabilir.

Uyarıları birleştirmek için:

  1. Uyarı ayrıntıları sayfasına gidin.
  2. Verileri birleştirmek için uyarıyı seçin
  3. Uyarıları birleştir'e tıklayın.

resim.png

İki vakayı birleştirmek, kaynak vakaları kaldırır ve birleştirilen tüm verilerle yeni bir vaka oluşturur.

Seçimden Yeni Vaka

Bu bölümde seçimden yeni bir vaka oluşturma hakkında bilgi bulabilirsiniz.

Tüm uyarıların listelendiği ana sayfada çeşitli uyarılar bulunmaktadır. Bazıları yeni, bazıları içe aktarılmış. Seçimden yeni vaka seçeneği sadece listedeki yeni ihbarlar için kullanılabilir.

resim.png

Seçimden yeni bir vaka eklemek için:

  1. Uyarı ayrıntıları sayfasına gidin.
  2. Yeni vaka eklemek istediğiniz uyarıyı seçin.
  3. Seçim seçeneğinden Yeni Vaka'ya tıklayın.

Yeni bir pencere açılır.

resim.png

Genel

Genel sayfadaki bilgiler şablonlardan gelir ve otomatik olarak doldurulur. Pencerenin sol bölmesinde oluşturulan kişi, oluşturulan tarih, TLP, PAP, önem derecesi ayrıntıları, uyarının durumu, başlangıç tarihi ve görev tamamlama ayrıntıları gibi ayrıntıları görebilirsiniz.

Pencerenin sol bölmesinde PAP, TLP ve Önem derecesini yapılandırabilirsiniz. Daha fazla ayrıntı için Uyarı Ayrıntılarını Yapılandırma bölümüne bakın

Pencerenin sağ bölmesinde, varsa Yorumları (Comments) girin.
Yorum (Comment) düğmesine tıklayın.
Etiketler ekleyin. ( Vakalar bölümünde Etiket eklemeye bakın).
Açıklamayı girin.
Özel alanlar (Custom fields) ekleyin. 

İlgili iş birimi ve konum ayrıntılarını girmek için Ekle'ye tıklayın.

resim.png

resim.png

Yanıtlayanlar

Yanıt verenleri çalıştırın

Yanıtlayanlar seçeneğine tıklayın.

Yeni bir pencere görünür.

Arama kutusunda belirli bir yanıtlayıcıyı arayın.

resim.png

Yanıtlayanları Görüntüle

Responder, ağların altyapısı üzerinde yapılan güvenlik sızma testlerinde kullanılabilecek bir araçtır.

resim.png

Benzer Uyarıları görüntüleyin

Bu bölümde, aşağıda listelenen tüm benzer uyarılar hakkında bilgi bulabilirsiniz.

resim.png

Benzer vakaları görüntüleyin

Bu bölümde, aşağıda listelenen tüm benzer vakalar hakkında bilgi bulabilirsiniz.

resim.png

TTPS'yi Görüntüleyin

Taktikler, teknikler ve prosedürler (TTP'ler), belirli bir tehdit aktörü veya tehdit aktörleri grubuyla ilişkili faaliyet kalıpları veya yöntemlerdir.

resim.png

Gözlemlenebilirleri Görüntüle

Bu bölümde gözlemlenebilirleri görüntüleme hakkında bilgi bulabilirsiniz.

TheHive uygulamasını yüklediğinizde, IP ve e-posta adresleri, URL'ler, alan adları, dosyalar veya karmalar gibi önceden tanımlanmış bir dizi gözlemlenebilirle birlikte gelir.

resim.png

Kendi gözlemlenebilir tipinizi tanımlayabilirsiniz. Tüm Gözlemlenebilir Türlerin listesini görebilirsiniz.

Analist Köşesi

Vakalar (Cases)

Bir vaka, ortamdaki şüpheli faaliyetlere ilişkin bilgi sağlar. Güvenlik olayları, gözlemlenebilirler, uyarılar ve etkilenen kullanıcılar hakkında bilgi sağlar. Güvenlik analistleri, tehdit olasılıklarını değerlendirmek için vakalara dayalı belirli analizler yapabilirler.

Vakalar çeşitli kaynaklardan oluşturulabilir. Her güvenlik vakası, bir başlık, etiketler, görev kuralları, gözlem kuralları, vakaya ilişkin ayrıntıların açıklaması ve belirli tehditleri tanımlama ve ele alma konusunda bir argüman oluşturmaya yardımcı olan tüm detayları içerir.

Görünümleri Yönet

Bu bölümde, görünümleri yönetme hakkında bilgi bulabilirsiniz.

Görünümleri yönetmek için:

  1. Varsayılan düğmesine tıklayın.
  2. Listeden Manage Views (Görünümleri Yönet) üzerine tıklayın.

resim.png

Yeni bir sayfa açılır. Görünümün Adı ve ilgili Eylemler yer alır.

Silmek istediğiniz görünümün adına karşılık gelen üç noktaya (...) tıklayın.
Sil öğesine tıklayın.

resim.png

Vakaları Yönet

Vakalara başvurmak için çeşitli seçenekler mevcuttur.

resim.png

Hızlı Filtreler

Hızlı filtre uygulamak için:

Hızlı Filtre seçeneğine tıklayın.
Liste, aralarından seçim yapabileceğiniz seçenekleri görüntüler.

resim.png

Otomatik Yenileme

Otomatik yenileme seçeneği bir sayfayı otomatik olarak yenilemenizi sağlar.

Otomatik yenileme gerçekleştirmek için:

Vaka listesi sayfasında, Otomatik yenileme düğmesini açın.

resim.png

İstatistikler

İstatistikleri görüntülemek için:

Vaka listesi sayfasında, İstatistikler geçiş düğmesini açtığınızda istatistikler görüntülenecektir.

resim.png

Filtreler

Filtre uygulamak için:

Sayfada, sekmede Filtreler geçiş düğmesini açın.

Filtre ekle'ye tıklayın.

Gerekli alana Filtre Uygula.

resim.png

  1. Listeden filtreleri seçin.
  2. Filtreleri uygula öğesine tıklayın.
  3. (İsteğe bağlı) Uygulanan tüm filtreleri temizlemek için Filtreleri temizle öğesine tıklayın.

Sıralama

Sıralama herhangi bir alan değeri üzerinde gerçekleştirilebilir.

Sıralamak için:

Dosya listesi sayfasında, belirli bir dosya adına göre sıralama yapmak için yukarı/aşağı bakan küçük oka tıklayın.

resim.png

Önizleme Kılıfları

Vaka ayrıntılarını önizlemek için:

Vaka ayrıntıları listesi sayfasında, belirli vaka adına karşılık gelen bir Önizleme düğmesi vardır.

resim.png

Vaka ayrıntıları önizleme penceresi açılır.

resim.png

Kimlik, oluşturan, oluşturulma tarihi, güncellenme tarihi, TLP, PAP ve önem derecesi ayrıntıları, başlık, durum, etiketler ve açıklama ayrıntıları gibi ayrıntıları görebilirsiniz.

Pencerenin sağ bölmesinde, Aşağıdakileri Ekle seçeneği bulunmaktadır:

  1. Görev Ekle.
  2. Gözlenebilir Ekle.
  3. TTP ekleyin.

Pencerenin alt kısmında Aşağıdakileri Ekle seçeneği bulunmaktadır:

  1. Özel alanlar ekleyin.
  2. İş birimi ve konum ayrıntılarını ekleyin.
  3. İş birimi, tespit kaynağı ve konum ayrıntılarını yazmak için Ekle'ye tıklayın.

resim.png

Eylemler

resim.png

İşaretlemek/bayrağı kaldırmak, kapatmak veya Yanıtlayıcıları Çalıştırmak için Eylemler Düğmesine tıklayabilirsiniz.

ve Analizörü Çalıştır.

Vaka Detayları

Ayrıntılara git düğmesine tıklayın.

Vakanın daha fazla detayını görüntüleyebilirsiniz 

resim.png

Vaka Ayrıntıları Menüsü

Menüye giderek vakayla ilgili daha fazla ayrıntı görüntüleyebilirsiniz.

Sayfanın üst kısmında işaretleme/etiket kaldırma, birleştirme, dışa aktarma, kapatma silme ve yanıtlayıcıları çalıştırma gibi birçok vaka seçeneği mevcuttur.

resim.png

Eylemler

Mevcut eylemlerden herhangi birini kullanabilirsiniz.

resim.png

İşaretle/İşareti Kaldır

Bir vakayı işaretlemek ya da işaretini kaldırmak için İşaretle/İşareti Kaldır seçeneğine tıklayın.

Bir açılır mesaj görüntülenir

resim.png

Kapat

Bir vakayı kaldırmak için Kapat seçeneğine tıklayın

Yeni bir pencere açılır.

  1. Listeden Durum öğesini seçin.
  2. Özeti Değiştirin
  3. Görevleri ve vakayı kapat düğmesine tıklayın.

resim.png

Şablonları Kullanarak Yeni Vakalar Oluşturma

Bir Kullanıcı şablonları kullanarak yeni vakalar oluşturabilir.

Başlıktaki Vaka Oluştur + seçeneğine tıklayın

resim.png

Yeni bir ekran açılır. Bir kullanıcı aşağıdaki seçeneklerden herhangi birini seçerek vaka oluşturabilir:

Her bir yeni vaka türünü oluşturmak için aşağıdaki bağlantılara tıklayın.

resim.png

Boş Bir Vaka Oluşturun

Boş bir vakadan yeni bir vaka oluşturun.

  1. Başlık kısmına vaka başlığını girin.
  2. Tarih kısmından tarihi seçin.
  3. Önem derecesini seçin, (Düşük/Orta/Yüksek/Kritik).
  4. TLP'yi seçin, (Beyaz/Yeşil/Kehribar/Kırmızı).
  5. PAP'ı seçin, (Beyaz/Yeşil/Kehribar/Kırmızı).
  6. Etiketler eklemek için + düğmesine tıklayın. (Etiket ekleme bölümüne bakın).
  7. Açıklama kısmına vaka açıklamasını girin.
  8. Listeden bir Görev kuralı seçin, (manuel/mevcutSadece/gelenSadece/hepsi).
  9. Listeden bir Gözlemlenebilir kuralı seçin, (manuel/mevcutSadece/yukarıdan gelenSadece/hepsi).
  10. Görevler Ekleyin. (Görev ekle bölümüne bakın).
  11. Özel Alanlar Ekleyin. (Özel alan değerleri ekleme bölümüne bakın).
  12. Vaka oluşturmayı onayla düğmesine tıklayın.

resim.png

Arşivden Vaka Oluşturma

Arşivden yeni bir vaka oluşturun.

  1. Dosyayı Ek Olarak Yükleyin.
  2. Şifreyi Girin.
  3. Vaka oluşturmayı onayla düğmesine tıklayın.

resim.png

MISP'den Vaka Oluşturma

MISP'den yeni bir vaka oluşturun.

  1. Dosyayı Ek Olarak Yükleyin (MISP'den içe aktarın).
  2. Görevler Ekleyin. (Görev ekle bölümüne bakın).
  3. Özel Alanlar Ekleyin. (Özel alan değerleri ekleme bölümüne bakın).
  4. Vaka oluşturmayı onayla düğmesine tıklayın.

resim.png

Şablondan Vaka Oluşturma

EDR şablonundan yeni bir vaka oluşturun.

  1. Başlık kısmına vaka başlığını girin.
  2. Tarih kısmından tarihi seçin.
  3. Önem derecesini seçin, (Düşük/Orta/Yüksek/Kritik).
  4. TLP'yi seçin, (Beyaz/Yeşil/Kehribar/Kırmızı).
  5. PAP'ı seçin, (Beyaz/Yeşil/Kehribar/Kırmızı).
  6. Etiketler eklemek için + düğmesine tıklayın. 
  7. Açıklama kısmına vaka açıklamasını girin.
  8. Listeden bir Görev kuralı seçin, (manual/existingOnly/upcommingOnly/all).
  9. Listeden bir Gözlemlenebilir kuralı seçin, (manual/existingOnly/upcommingOnly/all).
  10. Görevler Ekleyin.
  11. Özel Alanlar Ekleme
  12. Sayfa Ekle
  13. Paylaşım 
  14. Vaka oluşturmayı onayla düğmesine tıklayın.

resim.png

 Phishing şablonundan yeni bir vaka oluşturun.

  1. Başlık kısmına vaka başlığını girin.
  2. Tarih kısmından tarihi seçin.
  3. Önem derecesini seçin, (Düşük/Orta/Yüksek/Kritik).
  4. TLP'yi seçin, (Beyaz/Yeşil/Kehribar/Kırmızı).
  5. PAP'ı seçin, (Beyaz/Yeşil/Kehribar/Kırmızı).
  6. Etiketler eklemek için + düğmesine tıklayın. (Etiket ekleme bölümüne bakın.)
  7. Açıklama kısmına vaka açıklamasını girin.
  8. Listeden bir Görev kuralı seçin, (manual/existingOnly/upcommingOnly/all).
  9. Listeden bir Gözlemlenebilir kuralı seçin, (manual/existingOnly/upcommingOnly/all).
  10. Görevler Ekleyin.
  11. Özel Alanlar Ekleme
  12. Sayfa Ekle
  13. Paylaşım 
  14. Vaka oluşturmayı onayla düğmesine tıklayın.

resim.png

Etiket ekle

Taksonomiden etiketleri seçin. Seçilen etiket Seçilen Etiketler kutusunda görünecektir
Seçilen etiketleri ekle düğmesine tıklayın.

resim.png

Görev ekle

  1. Görev Başlığını girin.
  2. Açıklama bölümüne görev açıklamasını girin.
  3. Son tarihi seçin.
  4. Onayla'ya tıklayın.
  5. Başka bir görev eklemek için Kaydet ve başka ekle'ye tıklayın.

resim.png

Özel alan değerleri ekleyin

Verilen listeden özel alan değerini seçin. (konum/iş-birimi/tespit-kaynağı/test).
Özel alan değeri oluşturmayı onayla'ya tıklayın.

resim.png

Sayfa ekle

Yeni sayfa oluştur'u seçerek

  1. Sayfa Başlığını girin.
  2. Kategoriyi girin veya seçin.
  3. Sayfa içeriğini içeriğe girin.
  4. Onayla'ya tıklayın.
  5. Başka bir görev eklemek için Kaydet ve başka ekle'ye tıklayın.

resim.png

Mevcut bir sayfa şablonunu kullan seçeneğini belirleyerek

  1. Mevcut şablonlar listesinden şablon(lar) seçin
  2. Onayla'ya tıklayın.
  3. Başka bir görev eklemek için Kaydet ve başka ekle'ye tıklayın.

resim.png

Görevleri düzenle

Düzenle bağlantısına tıklayın.

resim.png

Yeni bir pencere açılır.

  1. Gerekli değerleri düzenleyin
  2. Baskıyı onayla düğmesine tıklayın.

resim.png

Özel alan değerlerini düzenleme

Düzenle bağlantısına tıklayın.

Yeni bir pencere açılır.

  1. Gerekli özel alan değerlerini düzenleme
  2. Özel alan değeri baskısını onayla düğmesine tıklayın.

resim.png

Yeni bir pencere açılır.

Gerekli özel alan değerlerini düzenleme
Özel alan değeri baskısını onayla düğmesine tıklayın.

resim.png

Görevleri sil

Silinmesi gereken değerin yanındaki silme bağlantısına tıklayın.

resim.png

Özel alan değerlerini sil

Silinmesi gereken özel alan değerinin yanındaki sil bağlantısına tıklayın

resim.png

Sayfaları sil

Silinmesi gereken değerin yanındaki silme bağlantısına tıklayın.

resim.png


Bir Vaka Görüntüleyin

Bu sayfadaki bilgiler şablonlardan gelir ve otomatik olarak doldurulur. Pencerenin sol bölümünde, oluşturan kişi, oluşturma tarihi, TLP, PAP ve ciddiyet detayları gibi bilgiler görüntülenir. Alarmın durumu, başlangıç tarihi ve görev tamamlama detayları görülebilir.

Pencerenin sol bölümünde, vakaya ait PAP, TLP ve Ciddiyet ayarlarını yapılandırabilirsiniz. Daha fazla bilgi için Vaka Detaylarını Yapılandırma bölümüne başvurun.

resim.png

resim.png

Bir Vakaya Ekleme (Etiketler/Görevler/Özel alan değerleri)

Etiket Ekle

  1. Etiketleri Sözlükten Seçin. Seçilen etiketler, Seçilen Etiketler kutusunda görünecektir.
  2. Seçilen etiketleri eklemek için Ekle düğmesine tıklayın.

resim.png

Görev Ekle

Görev Grubu varsayılan olarak ayarlanmıştır.

  1. Görev Başlığını girin.
  2. Açıklama bölümüne görev açıklamasını girin.
  3. Bu görevi işaretlemek için anahtarı açın.
  4. Bitiş tarihini seçin.
  5. Başka bir görev eklemek için Kaydet ve başka ekle'ye tıklayın.
  6. Onaylamak için Onayla'ya tıklayın.

resim.png

Özel alan değerleri ekleyin

  1. Verilen listeden özel alan değerini seçin. (konum/iş-birimi/tespit-kaynağı/test).
  2. Özel alan değeri oluşturmayı onayla'ya tıklayın.

resim.png

Gözlemlenebilirleri Görüntüle

Gözlemlenebilirler, bilgisayarların ve ağların işleyişiyle ilgili olan durumsal özellikleri (örneğin, bir dosyanın MD5 karması veya bir kayıt defteri anahtarının değeri) veya ölçülebilir olayları (örneğin, bir kayıt defteri anahtarının oluşturulması veya bir dosyanın silinmesi) temsil eder.

resim.png

Gözlemlenebilirler ekleyin

  1. Bir gözlemlenebilir eklemek için + işaretine tıklayın.
  2. Türü yazın.
  3. Değeri yazın.
  4. Seçeneklerden TLP, (Beyaz/Yeşil/Amber/Kırmızı) öğesini seçin.
  5. Seçeneklerden PAP, (Beyaz/Yeşil/Kehribar/Kırmızı) öğesini seçin.
  6. Is IOC için açık düğmesini değiştirin. (IoC deposu nesneler içerir ve nesnelerin her biri belirli bir bilgi parçası içerir).
  7. Görüldü düğmesini açın.
  8. Benzerliği Yoksay düğmesini açın.
  9. Etiket Ekle. (Etiket ekle bölümüne bakın).
  10. Açıklamayı yazın.
  11. Kaydet ve başka ekle düğmesine tıklayın.
  12. Onayla düğmesine tıklayın. 

resim.png

Gözlenebilirler Eylemler

Mevcut eylemlerden herhangi birini kullanabilirsiniz.

resim.png

Sil

Bir gözlemlenebiliri kaldırmak için Sil seçeneğine tıklayın.

Bir mesaj açılır

Tamam düğmesine tıklayın.

resim.png

Analizörleri Çalıştır

Analizörleri Çalıştır seçeneğine tıklayın.

Yeni bir pencere açılır.

  1. Listeden bir veya daha fazla Analizör seçin.
  2. Analizörleri Çalıştır düğmesine tıklayın.

resim.png

Yanıtlayanlar

Yanıtlayanlar seçeneğine tıklayın.

resim.png

Sabitle/Açma

Gözlemlenebilirleri sabitlemek veya açmak için Sabitle/Açma seçeneğine tıklayın.

Dışa Aktar

Gözlemlenebilir ayrıntılar dosyasını dışa aktarmak için:

  1. Dışa Aktar seçeneğine tıklayın.
  2. Dışa aktarılabilen/gönderilebilen bir dosya indirilir.

Veriyi Kopyala

Verileri kopyala seçeneğine tıklayın.

resim.png

TTP'leri Görüntüle

Ağ saldırganlarının saldırıları gerçekleştirmek için kullandıkları taktikler, teknikler ve prosedürleri tanımlar. TTP'ler, saldırganların bir sistem veya ağa nasıl sızdıklarını, ne tür araçlar kullandıklarını ve hangi yöntemleri tercih ettiklerini anlamak için analiz edilir. Bu bilgi, savunma ve güvenlik önlemlerinin geliştirilmesi ve güçlendirilmesi için önemlidir.

Bu bölümde TTP'ler hakkında bilgi bulacaksınız.

resim.png

TTP Ekle

TTP eklemek için:

+ seçeneğine tıkladıktan sonra. Yeni bir pencere açılır.

Kataloğu listeden seçin.

Oluşma tarihini belirleyin. 

Prosedür eklemek için Ekle anahtarını tıklayın.

Başka bir tane eklemek için Kaydet ve başka ekle veya Onayla düğmesine tıklayın.

resim.png

TTP'yi silin

  1. Silinecek TTP'ye karşılık gelen üç noktaya (...) tıklayın.
  2. Silme seçeneğine tıklayın.

resim.png

Ek Dosyaları Görüntüleme

Ek Dosya Ekle

Yeni bir ek eklemek için:

Vakalar listesi sayfasında, ekler sekmesinde, vakalar alt sekmesinde, yeni bir ek eklemek için + işaretine tıklayın.

resim.png

Yeni bir pencere açılır.

Dosya bırak veya ekteki seçeneğine tıklayın.
Onayla düğmesine tıklayın.

Bir kullanıcı aynı anda bir veya daha fazla dosya ekleyebilir.


URL'yi kopyala

  1. Vaka listesi sayfasında, ekler sekmesinde, Görevler alt sekmesinde, kopyalanacak url'ye karşılık gelen üç noktaya (...) tıklayın.
  2. URL'yi kopyala'ya tıklayın

resim.png

İndir

  1. Vakalar listesi sayfasında, ekler sekmesinde, Görevler alt sekmesinde, indirme seçeneğine karşılık gelen üç noktaya (...) tıklayın.
  2. İndir seçeneğine tıklayın.

resim.png

resim.png

Zaman Çizelgesini Yapılandır

Özel bir etkinlik ekleyin (Özel Bir Etkinlik Ekle'ye bakınız), JSON olarak dışa aktarın, Uzaklaştır, Yakınlaştır, Zaman Çizelgesini Ortala, Grafik Görünümü, Liste Görünümü. Özel etkinliklerin listesini görüntülemek için bir seçenek bulunmaktadır. (özel etkinliklerin altında, yani en son simge altında - zaman çizelgesine dahil edilecek özel etkinliği seçebilir veya seçmeyebilirsiniz).

resim.png

Sayfaları Görüntüle

Bu bölümde öğrenilen derslerle ilgili bilgiler bulacaksınız.

resim.png

Sayfa Ekle/Düzenle

Bir kullanıcı yeni bir sayfa ekleyebilir.

Pencerenin sağ bölmesinde, +

Yeni bir pencere açılır.

  1. Bir Başlık Ekleyin.
  2. Bir Kategori Ekleyin.
  3. Onayla düğmesine tıklayın.

resim.png

Bir kullanıcı kalem simgesine tıklayarak sayfaları düzenleyebilir. Değişiklikleri yapın ve kaydet simgesine tıklayın.

Başlığa Göre Sayfa Arama

Bir kullanıcı arama kutusuna başlığı yazarak bir sayfada arama yapabilir.

Vakaya Müdahale Edenleri Çalıştırın

Yanıtlayıcılar

Yanıtlayanlar seçeneğine tıklayın.

Yeni bir pencere görünür.

Arama kutusunda belirli bir yanıtlayıcıyı arayın.

resim.png

Analist Köşesi

Görev Yönetimi (Tasks Management)

Görev detayları, kullanıcılarından işlem gerektirir. Görev detayları sayfası bir görev listesini gösterir. Görev listesi arasında gezinirken, hangi Görevin bir işlem gerektirdiğini kolayca görebilir ve belirleyebilirsiniz. Görev ayrıntılarını görüntülemek için#

Daha fazla ayrıntı görmek için listedeki herhangi bir göreve tıklayabilirsiniz.

resim.png

Ayrıntılar görüntülenir

resim.png

Pencerenin sol bölmesinde PAP, TLP ve Önem derecesini yapılandırabilirsiniz. Daha fazla ayrıntı için 'Uyarı Ayrıntılarını Yapılandırma' bölümüne bakın.

Görünümü Yönet

Görünümleri yönetmek için:

  1. Varsayılan düğmesine tıklayın.
  2. Listeden Görünümleri Yönet'e tıklayın.

resim.png

Yeni bir sayfa açılır.

Görünümün Adını ve ilgili Eylemleri içerir.

  1. Silmek istediğiniz görünümün adına karşılık gelen üç noktaya (...) tıklayın.
  2. Sil öğesine tıklayın.

resim.png

 

Görevleri Önizleme

Görev ayrıntılarını önizlemek için:

Görevlerin listesinde, belirli bir görev adına karşılık gelen Bir Önizleme düğmesi bulunmaktadır.

  1. Önizleme seçeneğine tıklayın.

resim.png

Görev ayrıntıları önizleme penceresi açılır.

resim.png

Görevin detaylarını, kim tarafından oluşturulduğu, oluşturulma tarihi, güncelleme tarihi, başlık, işaretleme durumu, durumu, grup, atanmış kişi, başlangıç tarihi, bitiş tarihi, açıklama, etkinlik, yanıtlayıcı raporları gibi detaylarını görebilirsiniz.

Görevleri başlatmak, silmek, sabitlemek/açmak, işaretlemek/işaretsiz bırakmak veya Yanıtlayıcıları Çalıştırmak için Eylemler Düğmesine tıklayabilirsiniz.

resim.png

üzerine tıklayarak faaliyet/görev günlükleri ekleyebilirsiniz. Görev günlüğü oluşturma bölümüne bakın.

Görev Detayları

Görevle ilgili daha fazla ayrıntı görüntülemek için Ayrıntılara git düğmesine tıklayın.

resim.png

Görev ayrıntıları menüsü

Görevle ilgili daha fazla ayrıntı görüntülemek için Ayrıntılara git düğmesine tıklayın.

Sayfanın üst kısmında işaretleme, birleştirme, dışa aktarma, kapatma, silme, yanıtlayanlar gibi birçok görev seçeneği mevcuttur. 

resim.png

 

Görevler Üzerindeki Eylemler

Eylemler

Mevcut eylemlerden herhangi birini kullanabilirsiniz.

resim.png

Başla

Bir görevi başlatmak için Başlat seçeneğine tıklayın.

resim.png

Sil

Bir görevi kaldırmak için Sil seçeneğine tıklayın.

resim.png

Bir mesaj açılır

Tamam düğmesine tıklayın.

resim.png

İşaretleme Durumu Değiştir

Bir görevi işaretlemek veya işaretsiz bırakmak için İşaretleme Durumu Değiştir seçeneğine tıklayın.

resim.png

Sabitlenmemiş/Açılmış Olarak İşaretle

Bir görevi sabitlemek veya sabitlenmemiş olarak işaretmek için Sabitleme/Açma seçeneğine tıklayın.

resim.png

Yanıtlayıcıları Görevden Çalıştır

Koşu Yanıtlayıcıları
Yanıtlayanlar

Yanıtlayanlar seçeneğine tıklayın.

Yeni bir pencere görünür.

Arama kutusunda belirli bir yanıtlayıcıyı arayın.

resim.png

 

Analist Köşesi

Kontrol Paneli Kullanımı (Dashboard Usage)

Bir kontrol paneli, verileri görsel olarak hızlı bir şekilde sağlamak için kullanılan bir görüntülemedir. Kontrol paneli yapılandırılabilir olup, hangi verileri görmek istediğinizi ve sayıları görselleştirmek için grafik veya tabloları dahil etmek isteyip istemediğinizi seçmenize olanak tanır.

Kontrol paneli, durum, ad, sürüm numarası, bileşen, oluşturan kişi, oluşturma tarihleri ve verilerin güncellendiği tarih gibi vakaların tüm ayrıntılarını listeler. Bir kullanıcı, kontrol panelinde filtreler uygulayabilir, alanlara göre sıralayabilir ve görünümleri yönetebilir.

resim.png

Kontrol Panelini Yönet

Bu bölümde, kontrol panellerini yönetme hakkında bilgi bulabilirsiniz.

Kontrol paneli ekle

Kontrol paneli eklemek için:

Kontrol paneli eklemek için + işaretine tıklayın.

resim.png

Yeni bir pencere açılır.

  1. Başlığı girin.
  2. Açıklamayı girin.
  3. Görünürlük seçeneğini seçin. (Özel veya Paylaşılan)
  4. Onayla düğmesine tıklayın.

resim.png

Kontrol panelini düzenleyin

Kontrol panelini düzenlemek için:

Listeden Düzenle seçeneğine tıklayın.

resim.png

Yeni bir pencere açılır.

Gerekli alanları düzenleyin.
Onayla düğmesine tıklayın.

Kontrol panelini silme

Kontrol panelini silmek için: 

Listeden Sil seçeneğine tıklayın.

resim.png

Yeni bir mesaj açılır.

Gösterge panosunu listeden silmek için Tamam'a tıklayın.

Kontrol panelinin içe aktarın

Kontrol panelini içe aktarmak için:

Kontrol panelini içe aktar seçeneğine tıklayın.

resim.png

Yeni bir pencere açılır.

Dosya bırak veya ekteki seçeneğine tıklayın.

Dosya geçerli bir JSON dosyası olmalıdır. Dışa aktarılan gösterge tablosunu doğrudanHive platformundan kullanabilirsiniz.

resim.png

Kontrol panelini dışa aktar

Kontrol panelini Dışa Aktarmak için:

Dışa Aktar seçeneğine tıklayın.
Dışa aktarılabilen/gönderilebilen bir dosya indirilir.

resim.png

Analist Köşesi

Arama (Search)

Vakalara Göre Ara

Vakalara göre arama yapmak için:

Eğer vakalara göre arama yapmak istiyorsanız

resim.png

Uyarılara Göre Ara

Eğer bir kullanıcı alertlara göre arama yapmak istiyorsa:

Arama sonuçları sayfanın sağ tarafında görüntülenir.

resim.png

Gözlemlenebilirlere Göre Ara

Gözlemlenebilirlere göre arama yapmak isterseniz:

  • Sol tarafta, "Gözlemlenebilirler"e tıklayın.
  • Uygulanan filtreleri kaldırmak için "Tümünü Temizle" seçeneğini kullanarak arama kriterlerini belirleyebilirsiniz.
  • "Yeni Filtreler Ekle" düğmesine tıklayarak yeni filtreler ekleyin.
  • Listeden gerekli filtreleri seçin.
  • Alt kısımdaki "Arama" düğmesine tıklayın.

Arama sonuçları sayfanın sağ tarafında görüntülenir.

resim.png

İşlere Göre Arama

  • Sol tarafta, "İşler"e tıklayın.
  • Uygulanan filtreleri kaldırmak için "Tümünü Temizle" seçeneğini kullanarak arama kriterlerini belirleyebilirsiniz.
  • "Yeni Filtreler Ekle" düğmesine tıklayarak yeni filtreler ekleyin.
  • Listeden gerekli filtreleri seçin.
  • Alt kısımdaki "Arama" düğmesine tıklayın.

Arama sonuçları sayfanın sağ tarafında görüntülenir.

Görevlere Göre Arama

Görevlere göre arama yapmak için:

  • Sol tarafta, "Görevler"e tıklayın.
  • Uygulanan filtreleri kaldırmak için "Tümünü Temizle" seçeneğini kullanarak arama kriterlerini belirleyebilirsiniz.
  • "Yeni Filtreler Ekle" düğmesine tıklayarak yeni filtreler ekleyin.
  • Listeden gerekli filtreleri seçin.
  • Alt kısımdaki "Arama" düğmesine tıklayın.

Arama sonuçları sayfanın sağ tarafında görüntülenir.

resim.png

Görev Günlüklerine Göre Arama

Görev günlüklerine göre arama yapmak için:

  • Sol tarafta, "Görev Günlükleri"ne tıklayın.
  • Uygulanan filtreleri kaldırmak için "Tümünü Temizle" seçeneğini kullanarak arama kriterlerini belirleyebilirsiniz.
  • "Yeni Filtreler Ekle" düğmesine tıklayarak yeni filtreler ekleyin.
  • Listeden gerekli filtreleri seçin.
  • Alt kısımdaki "Arama" düğmesine tıklayın.

Arama sonuçları sayfanın sağ tarafında görüntülenir.

resim.png