Mobile Alarmierung per App, SMS und Anruf für TheHive
Warum SIGNL4
TheHive ist eine skalierbare, cloud- oder on-premise-basierte Plattform für die Reaktion auf Sicherheits-Vorfälle, die eng mit der MISP (Malware Information Sharing Platform) integriert ist. Sie erleichtert SOCs, CSIRTs, CERTs und Fachleuten für Informations-Sicherheit den Umgang mit Sicherheits-Vorfällen, die schnell untersucht werden müssen und auf die schnell reagiert werden muss.
SIGNL4 erweitert TheHive um app-basierte mobile Alarmierung und Störungsfall-Reaktion, einschließlich Push, SMS, Sprachanrufe, Eskalationen und Zusammenarbeit. Die integrierte Dienst-Planung hilft Dir, die Bereitschaftsdienste Deines Teams zu planen und zeigt Dir, wer zu welchem Zeitpunkt Dienst hat.
So funktioniert es
TheHive nutzt Webhooks, um Alarm-Informationen an SIGNL4 zu übermitteln. Du kannst die SIGNL4-Integration einfach konfigurieren, indem Du Deine SIGNL4-Webhook-URL einschließlich des Team-Geheimnisses eingibst. Im Einzelnen hilft Dir die Integration bei den folgenden Punkten.
- Mitarbeiter können kritische Ereignisse, die auftreten, quittieren und die Zuständigkeit festlegen
- Probleme aus TheHive werden per Push, SMS und Anruf übermittelt
- Alarme können mit weiteren Details angereichert werden
- Alarme werden eskaliert, wenn innerhalb einer konfigurierbaren Zeit keine Antwort erfolgt
- Integrierte Bereitschafts-Planung für automatisches Alarm-Routing an die richtigen Personen zur richtigen Zeit
Szenarien
- 24×7 SecOps mit diensthabendem Personal
- Kritische SecOps-Alarmierung
- 24/7 Service Hotline für Kunden
- Reaktion auf kritische Vorfälle an jedem Ort
- Bereitschafts-Planung für IT- / Netzwerk-Teams
Vorteile
- Deutlich kürzere Reaktionszeiten bei Sicherheits-Vorfällen und dadurch schnellere Behebung
- Sicherstellung der Aufmerksamkeit für kritische Alarme und Minimierung von Fehlalarmen
- Klare Verantwortlichkeiten und transparente Zuständigkeit für Sicherheits-Vorfälle
- Zusammenarbeit mit Team-Mitgliedern, wenn Hilfe benötigt wird
Alarme in TheHive werden per HTTP-Request an SIGNL4 übermittelt
Sichere Übermittelung, Kategorisierung und zielgenaues Routing.
Mobile, persistente Alarmierung von Bereitschafts- und Diensthabenden per Push, SMS und Anruf mit Nachverfolgung und Eskalation
UND SO FUNKTIONIERT ES
Logge Dich im TheHive Web-Portal als User ein, um die SIGNL4 Alarmierung zu konfigurieren.
Im Benutzer-Portal unter Organization -> Endpunkte kannst Du einen neuen Webhook-Endpunkt anlegen und die SIGNL4-Webhook-URL verwenden.
https://connect.signl4.com/webhook/{team-secret}
Hier ist {team-secret} dein SIGNL4-Team-Geheimnis.
Unter Organization -> Notifications kannst Du nun eine neue Benachrichtigung erstellen. Unter Notifier wählst Du Deinen SIGNL4-Webhook-Endpunkt und als Trigger wählst Du, was für Dein Szenario geeignet ist, z.B. „AnyEvent“ oder „AlertCreated“.
Das war es schon. Jetzt wird Dein SIGNL4-Team benachrichtigt, wenn es neue Events oder Alarme in TheHive gibt.
Wenn Du eine tiefere Integration wünschst, zum Beispiel eine Zwei-Wege-Integration oder bestimmte Formatierungen, kannst Du eine No-Code-Plattform wie n8n für die Integration von SIGNL4 mit TheHive verwenden. Einen Beispiel-Workflow findest Du hier.
ALARM-OPTIMIERUNG
SIGNL4 kann die Wahrnehmung, Reaktion und Bearbeitung von kritischen Alarmen entscheidend verbessern. Durch die Anpassung von Farbe, Symbol und Push-Ton wird die Zuordnung und Relevanz von Alarmen deutlich beschleunigt.
Alarmfarbe ändern, Titel + Text überschreiben
Dazu musst du entsprechend „Dienste und Systeme“-Kategorien erstellen, die auf bestimmte Schlüsselwörter ansprechen. Gehe dazu in der mobilen App in die Einstellungen und wähle „Dienste und Systeme“. Erstelle eine neue Kategorie oder bearbeite einfach eine bestehende.
Eine Kategorie wird immer angewendet, wenn einzelne Schlüsselwörter oder Kombinationen von Schlüsselwörtern im auslösenden Event gefunden werden.