TheHive 连接器和操作
编辑TheHive 连接器和操作
编辑TheHive 连接器使用 TheHive (v1) REST API 来创建案例和告警。 [8.16.0] 在 8.16.0 中添加。
如果您将此连接器与案例一起使用,则 Kibana 和 TheHive 中的状态值会有所不同。更新案例时,状态值不会同步。
在 Kibana 中创建连接器
编辑您可以在堆栈管理 > 连接器中创建连接器,或者在创建规则时根据需要创建。例如
连接器配置
编辑TheHive 连接器具有以下配置属性
- 名称
- 连接器的名称。
- 组织
- TheHive 中将包含案例或告警的组织。
- URL
- TheHive 中的实例 URL。
- API 密钥
- 用于 TheHive 中身份验证的 API 密钥。
测试连接器
编辑您可以使用运行连接器 API,或者在 Kibana 中创建或编辑连接器时,测试创建案例或告警的连接器。例如
TheHive 操作具有以下配置属性。
- 事件操作
- 将在 TheHive 中执行的操作:创建案例或告警。
- 标题
- 事件的标题。
- 描述
- 事件的详细信息。
- 严重程度
- 事件的严重程度:
LOW、MEDIUM、HIGH或CRITICAL。 - TLP
- 事件的流量灯协议指定:
CLEAR、GREEN、AMBER、AMBER+STRICT或RED。 - 标签
- 事件的关键字或标签。
- 附加评论
- 有关事件的附加信息。
- 类型
- 告警的类型。
- 来源
- 告警的来源。
- 来源参考
- 告警的来源参考。
连接器网络配置
编辑使用操作配置设置来自定义连接器网络配置,例如代理、证书或 TLS 设置。您可以设置适用于所有连接器的配置,或者使用 xpack.actions.customHostSettings 设置每个主机的配置。
配置 TheHive
编辑在 TheHive 中生成 API 密钥
- 登录到您的 TheHive 实例。
- 打开个人资料选项卡并选择设置。
- 转到API 密钥。
- 如果以前没有创建 API 密钥,请单击创建;否则,您可以通过单击显示来查看 API 密钥。
- 复制API 密钥值以在 Kibana 中配置连接器。