Retour aux guides CTI

Guide TheHive

Maîtrisez TheHive, la plateforme open source de gestion des incidents de sécurité, pour centraliser et automatiser le traitement des alertes et des incidents.

Fonctionnalités clés

Gestion d'incidents

Centralisation et suivi des incidents de sécurité

Collaboration équipe

Travail collaboratif avec assignation et suivi

Automatisation

Automatisation des processus et workflows

Intégrations

Connexion avec Cortex, MISP et autres outils

Alertes temps réel

Notification et alertes en temps réel

Reporting

Génération de rapports et métriques

Installation et configuration

1

Prérequis système

Configuration minimale requise

  • Docker et Docker Compose
  • 4 Go de RAM minimum
  • 20 Go d'espace disque
  • Ports 9000, 9200, 5432 disponibles
2

Installation Docker

Déploiement via conteneurs

# Cloner le dépôt
git clone https://github.com/TheHive-Project/TheHive4-docker.git
cd TheHive4-docker

# Configurer les variables d'environnement
cp .env.sample .env

# Lancer l'installation
docker-compose up -d
3

Configuration initiale

Paramétrage de base

  • Accéder à http://localhost:9000
  • Se connecter (admin@thehive.local / secret)
  • Changer le mot de passe administrateur
  • Configurer les paramètres de base

Connecteurs disponibles

Cortex

Analyse automatisée de menaces et observables

Analyse de fichiers
Enrichissement d'IOC
Automatisation

MISP

Partage d'informations sur les menaces

Import/Export d'événements
Synchronisation
Taxonomies

Email

Réception automatique d'alertes par email

Parsing automatique
Création de cas
Pièces jointes

SIEM

Intégration avec les systèmes SIEM

Connexion API
Alertes temps réel
Corrélation

Exemples d'utilisation API

Authentification

Connexion à l'API TheHive

curl -X POST \
     -H "Content-Type: application/json" \
     -d '{"username": "admin", "password": "secret"}' \
     http://localhost:9000/api/v1/login

Créer un cas

Création d'un nouveau cas

POST /api/v1/case
{
  "title": "Incident de sécurité",
  "description": "Description de l'incident",
  "severity": 2,
  "tags": ["malware", "phishing"]
}

Ajouter une tâche

Ajout d'une tâche à un cas

POST /api/v1/case/{caseId}/task
{
  "title": "Analyse initiale",
  "description": "Analyser les logs",
  "status": "Waiting"
}

Bonnes pratiques

Organisation des cas

Structure et classification efficace

  • Utiliser une taxonomie cohérente
  • Définir des templates de cas
  • Classifier par sévérité et type
  • Utiliser des tags pertinents

Collaboration équipe

Travail d'équipe optimisé

  • Assigner clairement les responsabilités
  • Documenter toutes les actions
  • Utiliser les notifications
  • Mettre à jour le statut régulièrement

Automatisation

Optimisation des processus

  • Configurer des workflows automatisés
  • Utiliser les responders Cortex
  • Créer des règles d'alertes
  • Automatiser les tâches répétitives

Démarrage rapide

1

Installation

Déployez TheHive avec Docker et configurez les services

2

Configuration

Configurez les connecteurs et les workflows

3

Premier cas

Créez votre premier cas et configurez les tâches

4

Automatisation

Exploitez l'API et les intégrations pour automatiser

Découvrir d'autres guides CTI