THE HIVE - CORTEX - MISP

 

🐝 Implementación del Stack de TheHive, Cortex y MISP con Docker y Conexión entre las Plataformas

En esta práctica desplegaremos un entorno completo de gestión de incidentes y análisis de inteligencia basado en TheHive, Cortex y MISP, utilizando un stack construido con Docker.
El objetivo principal es levantar las tres herramientas, configurarlas, conectarlas entre sí mediante sus APIs, crear los usuarios necesarios y dejar TheHive plenamente operativo como la plataforma central del sistema SOC.

Este stack permitirá disponer de un flujo realista de orquestación de incidentes, enriquecimiento automático y consumo de inteligencia de amenazas.

🧰 Tecnologías empleadas

TheHive

TheHive es una plataforma de gestión de incidentes (IRP) y colaboración SOC. Permite crear, asignar y seguir casos de seguridad, automatizar análisis y centralizar información proveniente de múltiples fuentes. Es una de las herramientas preferidas por analistas SOC y equipos CSIRT.

Cortex

Cortex es un motor de operaciones de análisis y enriquecimiento. Recibe indicadores, archivos o evidencias desde TheHive y ejecuta analizadores automáticos (hash reputation, OSINT, sandboxing, etc.). Devuelve resultados enriquecidos que se integran en los casos.

MISP

MISP es una plataforma de intercambio y gestión de inteligencia de amenazas (CTI). Permite almacenar IoCs, correlacionar eventos, consumir y compartir información entre comunidades. Puede integrarse con TheHive para generar casos automáticamente a partir de inteligencia nueva.

Docker / Docker Compose

Se utilizarán contenedores Docker para desplegar todo el stack de forma rápida, reproducible y modular. Este enfoque evita instalaciones complejas y permite levantar el entorno completo con un solo comando.

🎯 Objetivos de la práctica

  • Desplegar TheHive, Cortex y MISP utilizando Docker.

  • Configurar las conexiones entre las herramientas mediante sus APIs.

  • Crear usuarios y generar API Keys para integrar los servicios.

  • Conectar TheHive con Cortex para activar analizadores y enriquecimientos.

  • Integrar TheHive con MISP para consumir inteligencia de amenazas.

  • Validar el funcionamiento enviando indicadores desde TheHive hacia Cortex.

  • Confirmar que TheHive queda completamente operativo como consola SOC.

🧩 Aspectos clave de la práctica

🐝 Puesta en marcha del stack: TheHive, Cortex y MISP en Docker

Se levantará el entorno mediante un archivo Docker Compose que incluye:

  • Contenedores de TheHive

  • Contenedores de Cortex

  • Contenedores de MISP

  • Bases de datos necesarias

  • Configuración de red interna entre servicios

Este enfoque garantiza:

  • Despliegue limpio

  • Estandarización del entorno

  • Mantenimiento sencillo

  • Posibilidad de replicar el stack en cualquier sistema

🔑 Creación de usuarios y generación de API Keys

Cada herramienta requiere usuarios y API keys para permitir integraciones seguras:

  • TheHive: usuario administrador y claves API para conexiones externas.

  • Cortex: usuario con permisos para ejecución de analizadores.

  • MISP: usuario con acceso a los eventos y exportación de IoCs.

Estas claves permitirán que TheHive pueda comunicarse con Cortex y MISP sin necesidad de autenticación manual.

🔄 Integración de TheHive con Cortex

Se configurará TheHive para que utilice Cortex como motor de análisis.
Una vez enlazados:

  • TheHive podrá enviar IoCs (IPs, hashes, URLs, dominios, archivos, etc.) a Cortex.

  • Cortex ejecutará los analizadores correspondientes.

  • Los resultados volverán automáticamente a TheHive incorporándose al caso.

Esto convierte el flujo de trabajo en un ciclo de análisis automatizado.

🧠 Integración de TheHive con MISP

La conexión con MISP permitirá:

  • Importar inteligencia de amenazas directamente a TheHive.

  • Generar casos automáticamente en base a eventos o IoCs publicados.

  • Correlacionar incidentes con información de MISP.

  • Enriquecer investigaciones con datos de CTI.

Esto es fundamental para un entorno SOC profesional.

🧪 Validación del sistema SOC

Para comprobar que todo funciona correctamente, se realizará:

  1. Creación de un caso en TheHive.

  2. Inserción de un IoC (por ejemplo, un hash o una IP).

  3. Envío automático del IoC a Cortex mediante los analizadores configurados.

  4. Recepción del resultado enriquecido dentro del caso.

  5. Verificación de conexión con MISP y consulta de inteligencia existente.

De este modo se demuestra el ciclo completo: IRP → Análisis → CTI → Gestión del incidente.

🔍 ¿Por qué es importante esta práctica?

Esta práctica reproduce uno de los entornos más utilizados en equipos SOC, CSIRT y CERT profesionales. Permite aprender:

  • Cómo se orquestan herramientas clave en un entorno de respuesta a incidentes.

  • Cómo se automatiza el análisis de IoCs mediante Cortex.

  • Cómo la inteligencia de amenazas de MISP se integra en la gestión de casos.

  • Cómo crear un ecosistema SOC modular basado en contenedores.

  • Cómo establecer flujos de trabajo reales de investigación y remediación.

Es una práctica esencial para comprender cómo funciona un SOC moderno basado en tecnologías open source.

✅ Resultados esperados

  • Stack completo levantado con Docker (TheHive + Cortex + MISP).

  • Usuarios creados y APIs configuradas correctamente.

  • Conexión activa entre TheHive y Cortex.

  • Conexión activa entre TheHive y MISP.

  • Ejecución exitosa de analizadores desde TheHive.

  • Consulta y correlación de inteligencia desde MISP.

  • TheHive plenamente operativo como centro de gestión de incidentes.

🔗 Enlaces de interés



🐝 Deploying TheHive, Cortex, and MISP Stack with Docker and Integrating the Platforms

In this practice, we will deploy a complete incident response and threat intelligence stack composed of TheHive, Cortex, and MISP, using Docker for a clean, reproducible, and modular setup.
The goal is to bring up the three platforms, configure them, connect them using their APIs, create the necessary users and API keys, and leave TheHive fully operational as the central SOC management console.

This stack will allow you to build a realistic workflow for incident orchestration, automated enrichment, and intelligence consumption.

🧰 Technologies Used

TheHive

TheHive is an Incident Response Platform (IRP) designed for SOC and CSIRT teams. It allows analysts to manage cases, collaborate, automate workflows, and centralize information from different sources. It is widely used in modern security operations environments.

Cortex

Cortex is an analysis and enrichment engine used to process indicators, files, or evidence. It executes analyzers automatically—such as reputation checks, OSINT lookups, sandboxing, and more. TheHive sends observables to Cortex and receives enriched results for investigations.

MISP

MISP is a platform for threat intelligence sharing (CTI). It stores and correlates IoCs, allows organizations to share data, and provides structured information about threats. When integrated with TheHive, it can automatically generate cases or provide intelligence for investigations.

Docker / Docker Compose

Docker enables deploying the entire stack quickly, reliably, and consistently. Using Docker Compose, we can orchestrate multiple services—databases, components, and applications—ensuring fast setup and easy maintenance.

🎯 Objectives of the Practice

  • Deploy TheHive, Cortex, and MISP using Docker.

  • Configure the API connections between all tools.

  • Create users and generate API Keys for secure communication.

  • Connect TheHive with Cortex to activate enrichment workflows.

  • Integrate TheHive with MISP to consume and correlate threat intelligence.

  • Validate the system by performing real enrichment tests from TheHive.

  • Ensure TheHive is fully functional as the incident response console.

🧩 Key Aspects of the Practice

🐝 Deploying the Stack: TheHive, Cortex, and MISP with Docker

The environment will be launched using a Docker Compose configuration that includes:

  • TheHive containers

  • Cortex containers

  • MISP containers

  • Required databases

  • Internal networks for service communication

This approach ensures:

  • A clean deployment process

  • Full reproducibility

  • Simplified updates and maintenance

  • Ability to replicate the environment anywhere

🔑 Creating Users and API Keys

For secure integration, each platform requires dedicated users and API tokens:

  • TheHive: Admin account and API key for external interactions

  • Cortex: User with privileges to run analyzers

  • MISP: User with access to events and IoC exports

These API keys allow TheHive to communicate automatically with Cortex and MISP without manual intervention.

🔄 Integrating TheHive with Cortex

TheHive will be configured to use Cortex as its analysis backend.
Once connected:

  • TheHive can send IoCs (IPs, hashes, domains, URLs, files…) to Cortex

  • Cortex will run analyzers automatically

  • The results will be returned to TheHive and added to the case

This creates an automated enrichment loop inside the incident workflow.

🧠 Integrating TheHive with MISP

The connection between TheHive and MISP enables:

  • Importing threat intelligence directly into TheHive

  • Automatically generating cases based on MISP events

  • Correlating incidents with MISP IoCs

  • Enhancing investigations with CTI context

This integration is core for a professional SOC workflow.

🧪 Validating the Full SOC Workflow

To verify that everything works properly, we will:

  1. Create a case in TheHive

  2. Add an observable (e.g., a hash or IP)

  3. Send the observable to Cortex

  4. Receive enriched results back into the case

  5. Query MISP for related intelligence

  6. Confirm TheHive updates and correlates properly

This validates the entire end-to-end workflow:
Incident → Analysis → Threat Intelligence → Case Management

🔍 Why This Practice Is Important

This practice recreates one of the most common open-source stacks used by SOC, CSIRT, and CERT teams worldwide. It enables understanding of:

  • How incident response platforms integrate with enrichment engines

  • How threat intelligence is consumed and used within cases

  • How automation accelerates investigations

  • How a SOC architecture can be built using open-source technologies

  • How to orchestrate complex ecosystems using containers

It is a key exercise for learning how a real SOC environment operates.

✅ Expected Results

  • Full stack deployed (TheHive + Cortex + MISP) using Docker

  • All users created and APIs configured correctly

  • Working connection between TheHive and Cortex

  • Working connection between TheHive and MISP

  • Successful execution of analyzers from TheHive

  • Threat intelligence successfully retrieved from MISP

  • TheHive running smoothly as the main incident response platform

Enviar entrada por correo electrónico

Comentarios

Publicar un comentario

Entradas populares