INTEGRACIÓN THEHIVE n8n: AUTOMATIZAR THEHIVE CON N8N
INTEGRACIÓN THEHIVE N8N: AUTOMATIZAR THEHIVE CON N8N
¿Necesitas ayuda para automatizar Thehive con n8n?
Nuestro equipo te responde en minutos.
Why automate Thehive with n8n?
La integración TheHive n8n pone a tu disposición 1 trigger y 23 acciones para automatizar cada aspecto de tu gestión de incidentes de seguridad. Reactiva workflows instantáneos basados en eventos TheHive, manipula casos/tareas/observables/logs sin intervención manual, ejecuta analizadores y responders programáticamente, y conecta TheHive a tu stack tecnológico completo (SIEM, ticketing, mensajería, threat intelligence).
Ahorro de tiempo considerable: Ya no necesitas cambiar de plataforma para crear un caso desde un correo sospechoso, enriquecer un observable con APIs externas, o sincronizar el estado de tareas con tu sistema de tickets. Configura reglas inteligentes que detectan automáticamente una nueva alerta en TheHive, extraen los indicadores, los enriquecen vía VirusTotal/AbuseIPDB, crean un caso clasificado por severidad, asignan al analista SOC competente, y notifican en Slack/Discord. Todo en segundos, sin clic manual.
Mayor capacidad de respuesta: Activa acciones instantáneas en cuanto un evento se produce en TheHive. Alerta creada → Caso abierto automáticamente. Tarea actualizada → Notificación enviada al responsable. Observable añadido → Análisis lanzado inmediatamente. Cada cambio en TheHive desencadena instantáneamente la cadena de acciones apropiada, reduciendo drásticamente tu tiempo de detección y respuesta a incidentes (MTTR).
Cero olvidos: Los triggers monitorizan 24/7 tu instancia TheHive. Cada creación de alerta, cada modificación de caso, cada nuevo observable desencadena inmediatamente tu workflow. Ya no necesitas verificar manualmente tu panel de control: n8n monitoriza por ti y ejecuta automáticamente los procedimientos definidos. Las tareas críticas nunca se olvidan, los plazos de tratamiento se respetan sistemáticamente.
Integración fluida: Conecta TheHive a más de 400 aplicaciones en n8n. Enriquece tus observables con APIs de threat intelligence, crea tickets Jira desde tus casos TheHive, archiva automáticamente las pruebas en tu almacenamiento cloud, sincroniza los estados con ServiceNow, alimenta tu SIEM con los logs TheHive, desencadena playbooks en otras herramientas SOAR. Tu SOC se convierte en una máquina orquestada donde cada herramienta comunica automáticamente.
Ejemplos de workflows empresariales concretos:
- Triage automático de alertas: Webhook recibido → Alerta creada en TheHive → Enriquecimiento automático de IOCs vía APIs → Caso abierto con severidad calculada → Notificación Slack equipo SOC
- Gestión de tareas sincronizada: Tarea actualizada en TheHive → Estado sincronizado hacia Jira/ServiceNow → Notificación al responsable → Actualización automática de SLAs
- Enriquecimiento de observables: Observable creado → Análisis vía VirusTotal/AbuseIPDB → Resultados añadidos como tags → Score de amenaza calculado → Acciones de bloqueo automáticas si score elevado
- Archivado y reporting: Caso cerrado → Export automático hacia S3/Google Drive → Generación reporte PDF → Envío por email a las partes interesadas → Actualización dashboard métricas
Automatizar TheHive con n8n es transformar tu SOC reactivo en SOC proactivo, ganar horas cada semana, y garantizar que ningún incidente pase desapercibido.
How to connect Thehive to n8n?
! 1 stepHow to connect Thehive to n8n?
- 01
Add the node
Configuración básica:Generar tu API Key TheHive: Conéctate a tu instancia TheHive, accede a tu perfil de usuario, luego a la sección "API Keys". Genera una nueva clave API y cópiala inmediatamente (no será visible después).Crear las credenciales en n8n: En tu workflow n8n, añade un nodo TheHive, haz clic en "Credential to connect with" y luego "Create New". Selecciona "TheHive API" como tipo de credencial.Configurar los parámetros de conexión: Introduce la URL de tu instancia TheHive (ej: https://your-thehive-instance.com), luego pega tu API Key en el campo previsto. Verifica que la URL no contenga barra final.Probar la conexión: Haz clic en "Save" y luego prueba la conexión vía el botón de test. Si la conexión falla, verifica que tu API Key disponga de los permisos necesarios y que la URL sea correcta.
TIP💡 CONSEJO: Crea API Keys dedicadas con permisos mínimos (principio del menor privilegio) para cada tipo de automatización. Por ejemplo, una clave en solo lectura para workflows de monitorización, una clave con permisos completos para workflows de creación/modificación. Esto limita los riesgos de seguridad y facilita la auditoría de tus automatizaciones. Piensa también en definir una fecha de expiración para tus claves y renovarlas regularmente. Para solucionar problemas de conexión, consulta nuestra guía de depuración n8n.- 01
¿Necesitas ayuda para automatizar Thehive con n8n?
Nuestro equipo te responde en minutos.
Thehive triggers available in n8n
01 Trigger 01TheHive Webhook Trigger
Este trigger permite iniciar tus workflows n8n automáticamente basados en eventos específicos que ocurren en tu instancia TheHive. Actúa como un puente en tiempo real entre TheHive y n8n: en cuanto un evento configurado se produce (creación de alerta, actualización de tarea, adición de observable), TheHive envía una notificación webhook que desencadena instantáneamente tu automatización. Perfecto para construir workflows reactivos de respuesta a incidentes.
Configuración:
El trigger necesita dos etapas de configuración principales. Primero, debes configurar el webhook en TheHive. n8n genera automáticamente una URL webhook única cuando añades este trigger a tu workflow. Copia esta URL y añádela en los parámetros webhook de tu instancia TheHive (generalmente en "Admin" > "Webhooks" > "Add webhook"). Esta etapa es obligatoria y debe efectuarse antes de que el trigger pueda funcionar.
Events: Este parámetro obligatorio te permite seleccionar precisamente qué eventos TheHive activarán tu workflow. Se trata de un campo multi-selección vía menú desplegable. Puedes elegir uno o varios tipos de eventos entre:
Alert Created/Alert Updated/Alert Deleted: Desencadenamiento al crear, modificar o eliminar alertasCase Created/Case Updated/Case Deleted: Desencadenamiento al crear, modificar o eliminar casosTask Created/Task Updated: Desencadenamiento al crear o modificar tareasObservable Created/Observable Updated/Observable Deleted: Desencadenamiento al crear, modificar o eliminar observablesLog Created/Log Updated/Log Deleted: Desencadenamiento al crear, modificar o eliminar logs
Casos de uso típicos:
- Triage automático de alertas: Seleccionar únicamente
Alert Createdpara desencadenar un workflow de enriquecimiento automático (consultas VirusTotal, AbuseIPDB) en cuanto una nueva alerta llega a TheHive - Sincronización bidireccional tickets: Utilizar
Case CreatedyCase Updatedpara mantener una sincronización en tiempo real entre los casos TheHive y tu sistema de ticketing (Jira, ServiceNow) - Notificaciones tiempo real equipo SOC: Configurar varios eventos (
Alert Created,Case Updated,Task Updated) para enviar notificaciones Slack/Teams en cuanto una acción importante se produce - Auditoría y logging centralizado: Seleccionar todos los eventos disponibles para centralizar el historial completo de acciones TheHive en un sistema de SIEM o una base de datos externa
Cuándo usarlo:
Este trigger es el punto de entrada ideal para todos los workflows reactivos basados en eventos TheHive. Úsalo sistemáticamente cuando desees desencadenar acciones automáticas en respuesta a cambios en tu plataforma de gestión de incidentes, en lugar de programar verificaciones periódicas. Indispensable para construir un SOC automatizado y reactivo.
Thehive actions available in n8n
01 Acción 01Update Task
Esta acción permite modificar las propiedades de una tarea existente en TheHive. Úsala para actualizar el estado, la descripción, la asignación o cualquier otro campo de una tarea de manera programática.
Parámetros clave:
- Task ID: Campo texto obligatorio conteniendo el identificador único de la tarea a modificar. Acepta valores fijos o expresiones para recuperar dinámicamente el ID desde etapas anteriores del workflow.
- Update Fields: Sección permitiendo añadir y configurar las propiedades específicas a modificar. Haz clic en "Add Field" para seleccionar los campos a actualizar (estado, título, descripción, asignado, flag, etc.) y definir sus nuevos valores.
Casos de uso:
- Actualizar automáticamente el estado de una tarea a "Completed" cuando una condición externa se cumple
- Reasignar una tarea a otro analista tras una escalada automática
- Añadir notas o modificar la descripción de una tarea con informaciones recopiladas por otros nodos del workflow
02 Acción 02TheHive Task Search
Esta acción efectúa una búsqueda de tareas en TheHive según criterios definidos. Permite encontrar tareas específicas para luego manipularlas o extraer informaciones.
Parámetros clave:
- Return All: Interruptor on/off opcional. Cuando activado, recupera todas las tareas correspondientes a los criterios, sin límite. Desactivado por defecto.
- Limit: Campo numérico opcional definiendo el número máximo de resultados a retornar (valor por defecto: 100). Ignorado si "Return All" está activado.
- Options: Botón "Add option" permitiendo añadir propiedades opcionales clave-valor para afinar la búsqueda.
- Filters: Botón "Add Filter" para definir criterios de filtrado específicos (por ejemplo, filtrar por estado, por asignado, por fecha de creación).
Casos de uso:
- Buscar todas las tareas abiertas asignadas a un analista específico para generar un reporte de carga de trabajo
- Identificar las tareas atrasadas (fecha límite superada) para enviar recordatorios automáticos
- Recuperar las tareas vinculadas a un caso particular para efectuar operaciones en masa
03 Acción 03Get Task
Esta acción recupera los detalles completos de una tarea específica en TheHive proporcionando su identificador único.
Parámetros clave:
- Task ID: Campo texto obligatorio conteniendo el identificador único de la tarea a recuperar. Puede ser configurado como valor fijo o expresión dinámica.
Casos de uso:
- Recuperar las informaciones de una tarea para mostrarlas en un dashboard externo
- Obtener el estado actual de una tarea antes de decidir una acción condicional en el workflow
- Extraer los detalles de una tarea para incluirlos en un reporte o una notificación
04 Acción 04Get Many Tasks
Esta acción recupera varias tareas desde TheHive, con posibilidad de filtrar por caso y de limitar el número de resultados.
Parámetros clave:
- Case ID: Campo texto opcional para filtrar las tareas pertenecientes a un caso específico. Si vacío, recupera las tareas de todos los casos.
- Return All: Interruptor on/off opcional. Activado, recupera todas las tareas sin límite. Desactivado por defecto.
- Limit: Campo numérico opcional definiendo el máximo de tareas a recuperar (por defecto: 100). Ignorado si "Return All" está activado.
- Options: Botón "Add option" para añadir parámetros suplementarios de configuración de la consulta.
Casos de uso:
- Listar todas las tareas de un caso para verificar su avance global
- Recuperar las últimas tareas creadas para un monitoreo en tiempo real
- Extraer el conjunto de tareas para alimentar un sistema de reporting o de métricas
05 Acción 05Execute Responder on Task
Esta acción ejecuta un responder (script de acción automatizado) sobre una tarea específica en TheHive. Los responders son herramientas permitiendo efectuar acciones sobre entidades TheHive (bloqueo IP, envío email, etc.).
Parámetros clave:
- Task ID: Campo texto obligatorio conteniendo el identificador único de la tarea sobre la cual ejecutar el responder.
Casos de uso:
- Desencadenar automáticamente un responder de notificación cuando una tarea crítica es creada
- Ejecutar un responder de bloqueo sobre una tarea vinculada a una amenaza confirmada
- Lanzar acciones de remediación automáticas tras la validación de una tarea de análisis
06 Acción 06Create Task
Esta acción crea una nueva tarea en un caso TheHive existente. Permite añadir programáticamente tareas con título, estado, y propiedades personalizadas.
Parámetros clave:
- Case ID: Campo texto opcional para asociar la tarea a un caso específico. Si proporcionado, la tarea será vinculada a este caso.
- Title: Campo texto opcional definiendo el título descriptivo de la tarea.
- Status: Menú desplegable opcional para definir el estado inicial de la tarea (por defecto: "Waiting"). Otras opciones posibles: "InProgress", "Completed", "Cancel".
- Flag: Interruptor on/off opcional para marcar la tarea con un flag (indicador de importancia).
- Options: Botón "Add option" permitiendo añadir propiedades personalizadas suplementarias (descripción, asignado, fecha límite, etc.).
Casos de uso:
- Crear automáticamente tareas de análisis cuando una nueva alerta es tratada
- Generar tareas de remediación tras la detección de una vulnerabilidad
- Añadir tareas de seguimiento programáticas basadas en workflows de gestión de incidentes
07 Acción 07Update Observable
Esta acción modifica las propiedades de un observable existente en TheHive (dirección IP, dominio, hash de archivo, etc.).
Parámetros clave:
- Observable ID: Campo texto obligatorio conteniendo el identificador único del observable a modificar. Soporta valores fijos y expresiones dinámicas.
- Update Fields: Sección permitiendo añadir vía botón "Select" los campos específicos a modificar y sus nuevos valores.
Casos de uso:
- Actualizar automáticamente el estado IOC (Indicator of Compromise) de un observable tras validación manual o automática
- Modificar el TLP (Traffic Light Protocol) de un observable tras una reclasificación de sensibilidad
- Añadir o modificar tags sobre un observable para enriquecer su contextualización
08 Acción 08Search Observable
Esta acción efectúa una búsqueda de observables en TheHive según criterios definidos, permitiendo encontrar IOCs o artefactos específicos.
Parámetros clave:
- Return All: Interruptor on/off opcional. Activado, recupera todos los resultados sin límite. Desactivado por defecto.
- Limit: Campo numérico opcional definiendo el máximo de observables a retornar (por defecto: 100).
- Options: Botón "Add option" para parámetros suplementarios de configuración de búsqueda.
- Filters: Botón "Add Filter" para definir criterios de filtrado (tipo de observable, valor, tags, IOC status, etc.).
Casos de uso:
- Buscar todos los observables de tipo "ip" para identificar direcciones sospechosas recurrentes
- Encontrar los observables marcados como IOC para export hacia un sistema de bloqueo (firewall, EDR)
- Identificar los observables con un TLP específico para controlar su difusión
09 Acción 09Get Observable
Esta acción recupera los detalles completos de un observable específico en TheHive vía su identificador único.
Parámetros clave:
- Observable ID: Campo texto obligatorio conteniendo el identificador único del observable a recuperar.
Casos de uso:
- Recuperar los detalles de un observable para enriquecerlo con datos externos (VirusTotal, AbuseIPDB)
- Obtener las metadatas de un observable antes de efectuar una acción condicional
- Extraer las informaciones de un IOC para generación de reportes o notificaciones
10 Acción 10Get Many Observables
Esta acción recupera varios observables desde TheHive, con posibilidad de filtrar por caso y de limitar los resultados.
Parámetros clave:
- Case ID: Campo texto opcional para filtrar los observables pertenecientes a un caso específico.
- Return All: Interruptor on/off opcional. Activado, recupera todos los observables sin límite.
- Limit: Campo numérico opcional definiendo el máximo de observables a recuperar (por defecto: 100).
- Options: Botón "Add option" para propiedades suplementarias de refinamiento de la consulta.
Casos de uso:
- Listar todos los observables de un caso para análisis global o export
- Recuperar los últimos observables creados para monitoreo en tiempo real
- Extraer el conjunto de IOCs para alimentar sistemas de threat intelligence
11 Acción 11Execute Responder on Observable
Esta acción ejecuta un responder (script de acción automatizado) sobre un observable específico en TheHive.
Parámetros clave:
- Observable ID: Campo texto obligatorio conteniendo el identificador único del observable sobre el cual ejecutar el responder.
Casos de uso:
- Desencadenar automáticamente un responder de enriquecimiento (VirusTotal, PassiveTotal) sobre un nuevo observable
- Ejecutar un responder de bloqueo sobre una IP/dominio identificado como malicioso
- Lanzar acciones de notificación o de tagging automáticas sobre observables críticos
12 Acción 12Execute Analyzer
Esta acción ejecuta un analyzer (herramienta de análisis automatizado) sobre un observable para enriquecerlo con datos externos o efectuar verificaciones.
Parámetros clave:
- Observable ID: Campo texto conteniendo el identificador del observable a analizar. Campo actualmente vacío en la captura.
- Data Type Name or ID: Campo texto para especificar el tipo de datos o el analyzer a utilizar. Nota: en la captura de pantalla, este campo muestra un error "Error fetching options from TheHive", indicando un problema de conexión o de configuración.
Casos de uso:
- Lanzar automáticamente un análisis VirusTotal sobre un hash de archivo en cuanto es creado en TheHive
- Ejecutar un analyzer de reputación sobre una dirección IP para determinar su peligrosidad
- Desencadenar análisis múltiples en paralelo sobre un observable para enriquecimiento completo
13 Acción 13Create Observable
Esta acción añade un nuevo observable (IOC, artefacto) a un caso TheHive con sus metadatas asociadas.
Parámetros clave:
- Case ID: Campo texto opcional para asociar el observable a un caso específico.
- Data Type Name or ID: Campo texto definiendo el tipo de observable (ip, domain, hash, url, etc.). Nota: en la captura, muestra "Error fetching options from TheHive".
- Data: Campo texto obligatorio conteniendo el valor real del observable (ej: "192.168.1.1", "malicious-domain.com", "abc123hash...").
- Message: Campo texto opcional para añadir un mensaje descriptivo o contextual.
- Start Date: Selector fecha/hora opcional para especificar la fecha de primera detección o pertinencia.
- TLP: Menú desplegable obligatorio definiendo el nivel de confidencialidad (actualmente: "Amber"). Opciones: White, Green, Amber, Red.
- IOC: Interruptor on/off opcional para marcar el observable como Indicator of Compromise (desactivado en la captura).
Casos de uso:
- Crear automáticamente observables a partir de emails de phishing analizados
- Añadir IOCs extraídos de un reporte de threat intelligence a un caso existente
- Generar observables programáticamente desde logs SIEM o EDR
14 Acción 14Get Log
Esta acción recupera los detalles de una entrada de log específica en TheHive vía su identificador.
Parámetros clave:
- Log ID: Campo texto opcional conteniendo el identificador único del log a recuperar. Si vacío, podría recuperar varios logs según otros filtros (no visibles).
Casos de uso:
- Recuperar un log específico para verificar su contenido o metadatas
- Obtener los detalles de un log antes de decidir una acción en el workflow
- Extraer las informaciones de un log para inclusión en un reporte
15 Acción 15Get Many Logs
Esta acción recupera varias entradas de logs desde TheHive, con opciones de filtrado por tarea y limitación de resultados.
Parámetros clave:
- Task ID: Campo texto opcional para filtrar los logs asociados a una tarea específica.
- Return All: Interruptor on/off opcional. Activado, recupera todos los logs disponibles.
- Limit: Campo numérico opcional definiendo el máximo de logs a recuperar (por defecto: 100).
Casos de uso:
- Listar todos los logs de una tarea para trazabilidad o auditoría
- Recuperar los últimos logs creados para monitoreo de actividades
- Extraer el conjunto de logs para alimentación de un sistema de SIEM o analytics como Elasticsearch
16 Acción 16Execute Responder on Log
Esta acción ejecuta un responder sobre una entrada de log específica en TheHive.
Parámetros clave:
- Log ID: Campo texto obligatorio conteniendo el identificador único del log sobre el cual ejecutar el responder. Acepta valor fijo o expresión dinámica.
Casos de uso:
- Desencadenar automáticamente un responder de notificación cuando un log crítico es añadido
- Ejecutar acciones automáticas basadas en el contenido o el tipo de log
- Lanzar workflows de validación o de escalada tras creación de logs específicos
17 Acción 17Create Log
Esta acción crea una nueva entrada de log en TheHive, asociada opcionalmente a una tarea, con mensaje y metadatas.
Parámetros clave:
- Task ID: Campo texto opcional para asociar el log a una tarea específica.
- Message: Zona de texto opcional para el contenido descriptivo del log.
- Start Date: Selector fecha/hora opcional para especificar la fecha/hora del log.
- Status: Menú desplegable opcional para definir el estado del log (ej: Success, Failure, In Progress).
- Options: Botón "Add option" permitiendo añadir propiedades personalizadas suplementarias.
Casos de uso:
- Crear automáticamente logs de trazabilidad para cada acción importante del workflow
- Añadir logs de auditoría al ejecutar responders o analyzers
- Generar logs programáticos para documentar las etapas de investigación
18 Acción 18Update Case
Esta acción modifica las propiedades de un caso existente en TheHive.
Parámetros clave:
- Case ID: Campo texto obligatorio conteniendo el identificador único del caso a modificar.
- JSON Parameters: Interruptor on/off opcional. Activado (como en la captura), permite proporcionar los campos de actualización en formato JSON. Desactivado, los campos pueden añadirse individualmente.
- Update Fields: Sección permitiendo añadir vía botón "Add Field" las propiedades específicas a modificar (título, descripción, severidad, estado, TLP, etc.) y sus nuevos valores.
Casos de uso:
- Actualizar automáticamente el estado de un caso a "Resolved" cuando todas sus tareas están completadas
- Modificar la severidad de un caso tras una reevaluación automática de la amenaza
- Añadir informaciones o modificar la descripción de un caso con datos recopilados automáticamente
19 Acción 19Get Case
Esta acción recupera los detalles completos de un caso específico en TheHive vía su identificador único.
Parámetros clave:
- Case ID: Campo texto obligatorio conteniendo el identificador único del caso a recuperar.
Casos de uso:
- Recuperar las informaciones de un caso para mostrarlas en un dashboard o reporte externo
- Obtener el estado y las metadatas de un caso antes de efectuar una acción condicional
- Extraer los detalles de un caso para generación de notificaciones o de alertas
20 Acción 20Get Many Cases
Esta acción recupera varios casos desde TheHive con opciones de limitación y filtrado avanzado.
Parámetros clave:
- Return All: Interruptor on/off opcional. Activado, recupera todos los casos disponibles.
- Limit: Campo numérico opcional definiendo el máximo de casos a recuperar (por defecto: 100).
- Options: Botón "Add option" para parámetros suplementarios (ordenación, campos a incluir, etc.).
- Filters: Botón "Add a Filter" para definir criterios de filtrado (estado, severidad, fechas, asignados, etc.).
Casos de uso:
- Listar todos los casos abiertos para generación de reportes de carga de trabajo SOC
- Recuperar los casos con severidad crítica para monitoreo prioritario
- Extraer el conjunto de casos cerrados para análisis de métricas (MTTR, volumen, etc.)
21 Acción 21Execute Responder on Case
Esta acción ejecuta un responder (script de acción automatizado) sobre un caso específico en TheHive.
Parámetros clave:
- Case ID: Campo texto obligatorio conteniendo el identificador único del caso sobre el cual ejecutar el responder.
Casos de uso:
- Desencadenar automáticamente un responder de notificación cuando un caso crítico es creado
- Ejecutar un responder de bloqueo o de remediación sobre un caso validado como amenaza real
- Lanzar acciones de export o de archivado automáticas al cerrar un caso
22 Acción 22Create Case
Esta acción crea un nuevo caso en TheHive con sus metadatas y propiedades iniciales.
Parámetros clave:
- Title: Campo texto definiendo el nombre del caso. Soporta valores fijos o expresiones.
- Description: Zona de texto para descripción detallada del caso.
- Severity: Menú desplegable obligatorio para clasificar la urgencia/impacto (actualmente: "Medium"). Opciones: Low, Medium, High, Critical.
- Start Date: Selector fecha/hora para especificar la fecha de inicio del caso.
- Owner: Campo texto para asignar la responsabilidad del caso a un usuario específico.
- Flag: Interruptor on/off para marcar el caso con un flag de importancia.
- TLP: Menú desplegable para definir el nivel de confidencialidad (actualmente: "Amber"). Opciones: White, Green, Amber, Red.
Casos de uso:
- Crear automáticamente un caso desde una alerta TheHive con severidad calculada según reglas de negocio
- Generar casos programáticamente desde tickets de otros sistemas (Jira, ServiceNow)
- Abrir casos automáticamente tras detección de incidentes por herramientas de monitoreo (SIEM, EDR)
Construye tu primer workflow con nuestro equipo
Deja tu email y te enviamos el catálogo de automatizaciones listo para enviar hoy.
- Escenarios n8n & Make gratis para importar
- Docs de configuración paso a paso
- Cohorte en vivo + soporte de la comunidad
Preguntas frecuentes
¿La integración TheHive n8n es gratuita?
La integración TheHive n8n es totalmente gratuita del lado de n8n, que es una herramienta open-source. Puedes utilizarla sin límite con n8n auto-alojado (self-hosted) en tu propia infraestructura, sin gastos de licencia para la integración. Si optas por n8n Cloud (versión alojada por n8n), las tarifas dependen de tu volumen de ejecuciones mensuales (planes gratuitos hasta 2500 ejecuciones/mes, luego de pago según uso). Del lado TheHive, el uso de la API para la integración está incluido en todas las versiones (Community y Enterprise), pero las funcionalidades disponibles (número de usuarios, responders/analyzers premium, soporte) varían según tu edición TheHive. La integración en sí misma no tiene ningún sobrecoste, solo pagas por el alojamiento n8n (si Cloud) y tu licencia TheHive según tus necesidades.¿Qué datos puedo sincronizar entre TheHive y n8n?
La integración TheHive n8n permite sincronizar la totalidad de entidades y datos de tu plataforma SOAR. Concretamente, puedes manipular: los Cases (casos de incidentes con todos sus campos: título, descripción, severidad, estado, TLP, fechas, asignados, tags personalizados), las Alerts (alertas entrantes con sus metadatos, fuentes, plantillas), las Tasks (tareas con estado, asignación, descripción, logs asociados), los Observables (IOCs de todos los tipos: IP, dominios, hashes, URLs, emails, con sus atributos: datos, tipo, TLP, estado IOC, tags, fechas), y los Logs (entradas de auditoría y trazabilidad con mensajes, fechas, estados). También puedes ejecutar Responders y Analyzers sobre estas entidades para desencadenar acciones automatizadas o enriquecimientos. El webhook trigger te permite reaccionar en tiempo real a 14 tipos de eventos diferentes (creación/modificación/eliminación de alertas, casos, tareas, observables, logs). Todas las metadatas, campos personalizados y relaciones entre entidades son accesibles vía la integración, ofreciéndote una flexibilidad total para orquestar tus workflows SOC. Puedes también conectar con herramientas como Cortex para análisis avanzados.¿Cuánto tiempo lleva configurar la integración TheHive n8n?
La configuración básica de la integración TheHive n8n es muy rápida: cuenta 5-10 minutos para conectar las dos herramientas. Basta con generar una API Key en TheHive (2 minutos), crear las credenciales en n8n (2 minutos), y probar la conexión (1 minuto). Para un workflow simple (ej: crear un caso desde un webhook externo), prevé 15-30 minutos en total incluyendo la configuración y las pruebas. Los workflows más complejos requieren más tiempo: un workflow de enriquecimiento automático de observables con varias APIs externas puede necesitar 1-2 horas de desarrollo y pruebas. La configuración del webhook trigger requiere una etapa suplementaria en TheHive (añadir la URL webhook), cuenta 5 minutos más. El tiempo real depende sobre todo de la complejidad de tu lógica de negocio: las 23 acciones disponibles ofrecen una gran flexibilidad, pero necesitan comprender bien las entidades TheHive y sus relaciones. n8n proporciona una interfaz visual no-code muy intuitiva que acelera considerablemente el desarrollo comparado con scripting puro. Para un SOC que empieza con la automatización, prevé un día para dominar los conceptos básicos y crear tus 3-5 primeros workflows críticos. También puedes consultar la documentación oficial de n8n para TheHive para más detalles técnicos.
