📋 Contenido
⚡ Veredicto rápido
**TheHive es la opción open source más madura para case management de seguridad**, combinada con Cortex (analyzers) cubre el 80% de SOAR sin coste de licencia. La transición a v5 con licencia comercial limitada (Community vs Gold/Platinum) generó controversia en la comunidad, pero el producto sigue siendo sólido. Para flujos avanzados de automatización low-code, combínalo con Shuffle o Tines.
✓ Puntos fuertes
- Case management completo y maduro (10 años de desarrollo)
- Integración nativa con MISP — pipeline TI → Caso es trivial
- Cortex: 200+ analyzers (VT, AbuseIPDB, Shodan, etc.) con RBAC
- Templates de caso para incidentes recurrentes (phishing, ransomware)
- Webhooks bidireccionales para integrar con SIEM/EDR/Slack
✗ Puntos débiles
- v5 reduce funcionalidad gratuita vs v4 (límite de usuarios y orgs)
- UI mejorable comparada con SaaS modernos (Tines, Torq)
- Sin workflow visual nativo — playbooks requieren Cortex + scripting
- Documentación oficial dispersa entre StrangeBee y el repo legacy
Puntuación SecOpsIA: ★★★★☆ 4.3/5
Qué es TheHive
TheHive es la plataforma de case management de incidentes de seguridad más adoptada del ecosistema open source. Nació en 2016 dentro del CERT del Banque de France y rápidamente se convirtió en estándar en SOCs medianos por su integración con MISP (threat intel) y Cortex (analyzers automáticos).
En 2022 los creadores fundaron StrangeBee, empresa comercial que ahora mantiene el producto. Con la versión 5 introdujeron un modelo Community + Gold + Platinum con limitaciones en la edición gratuita (número de usuarios, organizaciones, retención) — decisión que generó debate en la comunidad pero que mantiene el producto sostenible.
Ficha técnica
| Categoría | Case Management / SOAR |
|---|---|
| Licencia | AGPL v3 (Community) + comercial |
| Desarrollador | StrangeBee + comunidad |
| Lanzamiento | 2016 (CERT-Banque-France origen) |
| Versión actual | 5.x |
| Stack | Scala + Cassandra/Elasticsearch + Akka |
| Integraciones nativas | MISP, Cortex, Wazuh, ElastAlert, Splunk, Suricata, Slack, MS Teams |
| API | REST + Python client (thehive4py) |
| Despliegue | Docker Compose / Helm / paquetes Debian-RPM |
| Web oficial | strangebee.com/thehive/ |
Qué es case management en seguridad
Un caso representa un incidente investigado por el SOC. Agrupa:
- Observables — IOCs asociados (hashes, IPs, dominios, URLs, email, archivos).
- Tareas — pasos de investigación asignables (containment, eradication, lessons learned).
- TTPs — técnicas MITRE ATT&CK mapeadas.
- Métricas — TLP/PAP (compartición), severidad, scoring.
- Logs — historial completo de cambios, comentarios y observables.
A diferencia de un SIEM (que correlaciona logs) o un EDR (que ve endpoints), el case management agrupa todo el contexto de un incidente para que múltiples analistas colaboren y dejen trazabilidad para auditoría / mejora del SOC.
Cortex: analyzers automatizados
Cortex es el componente hermano de TheHive que ejecuta analyzers sobre observables. Catálogo de 200+ analyzers cubre:
- Reputación: VirusTotal, AbuseIPDB, OTX, ThreatFox, MalwareBazaar.
- OSINT: Shodan, Censys, GreyNoise, WHOIS, urlscan.io.
- Sandbox: Joe Sandbox, Any.run, Hybrid Analysis, Cuckoo, FAME.
- Internos: ejecución de scripts custom Python con RBAC.
Flujo típico: al añadir un hash a un caso, Cortex ejecuta VT + Hybrid Analysis + MISP lookup en paralelo y devuelve un veredicto consolidado en ~30s.
Cortex también soporta responders — acciones automatizadas (bloquear IP en firewall, aislar endpoint vía EDR, eliminar email de mailboxes).
Pipeline típico SOC con TheHive
Un SOC abierto suele combinar:
+------------------+
logs ───────▶│ Wazuh (SIEM) │── alertas ─┐
+------------------+ │
▼
+------------------+ +-------------+
IOCs ─────▶│ MISP (TIP) │─────▶│ TheHive │
+------------------+ | (cases) │
+------+------+
│
┌──────┴──────┐
▼ ▼
+-------------+ +-------------+
| Cortex | | Shuffle |
| analyzers | | workflows |
+-------------+ +-------------+
Wazuh dispara una alerta → script crea evento en TheHive → Cortex enriquece observables → analista decide → si hay que bloquear, Shuffle ejecuta el playbook (firewall, EDR, ticketing).
Instalación con Docker Compose
El método más rápido para laboratorio:
# docker-compose.yml — TheHive + Cortex + Cassandra + Elasticsearch
services:
cassandra:
image: cassandra:4
environment:
- CASSANDRA_CLUSTER_NAME=thp
elasticsearch:
image: elasticsearch:7.17
environment:
- discovery.type=single-node
- xpack.security.enabled=false
thehive:
image: strangebee/thehive:5
depends_on: [cassandra, elasticsearch]
ports: ["9000:9000"]
command: --no-config --cluster-name=thp
cortex:
image: thehiveproject/cortex:3
depends_on: [elasticsearch]
ports: ["9001:9001"]
Producción: mínimo 8 vCPU + 16 GB RAM, Cassandra cluster (3 nodos) y Elasticsearch dedicado. StrangeBee publica Helm charts oficiales para Kubernetes.
Precios y modelo de negocio
| Precio | Incluye | |
|---|---|---|
| Community | Gratis (AGPL v3) | Funcionalidad core, limitaciones de usuarios y orgs según versión |
| Gold | Bajo demanda | Multi-tenant ampliado, soporte StrangeBee, SLA |
| Platinum | Bajo demanda | Todo Gold + features enterprise + soporte premium |
Integraciones clave
Preguntas frecuentes
¿TheHive Community sigue siendo gratuito?
Sí, AGPL v3, sin límite de tiempo. La v5 introdujo límites en número de usuarios/orgs activos vs v4. Para SOCs pequeños suele bastar; para deployments grandes, Gold/Platinum tiene sentido.
¿Diferencia entre TheHive y un SOAR comercial tipo XSOAR?
XSOAR es plataforma low-code todo-en-uno con catálogo grande de integrations comerciales. TheHive se centra en case management y delega workflows a Shuffle/Cortex. Mas modular pero requiere más ensamblaje.
¿TheHive 5 es retrocompatible con v4?
No del todo. Hay scripts de migración, pero APIs y modelos de datos cambiaron. Comunidad mantiene forks v4 (StrangeBee no), evalúa si tu deployment puede migrar.
¿Se puede usar TheHive sin Cortex?
Sí, pero pierdes mucha automatización. Cortex añade el motor de analyzers que enriquece observables. La instalación recomendada incluye ambos.