INTÉGRATION THEHIVE n8n : AUTOMATISER THEHIVE AVEC N8N

Cette action modifie une tâche existante : changement de statut, réassignation, mise à jour de la description, etc.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Task (requis). Operation : Update (requis). Task ID : Identifiant de la tâche à modifier (requis). Update Fields : Sélection des champs à mettre à jour.

Cas d'usage : Marquer automatiquement une tâche comme complétée, réassigner une tâche en cas d'indisponibilité, mettre à jour la description avec les résultats d'analyse.

Cette action permet de rechercher des tâches selon des critères précis grâce à un système de filtres avancés.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Task (requis). Operation : Search (requis). Return All : Récupérer tous les résultats (optionnel). Limit : Nombre maximum de résultats (défaut : 100). Options : Propriétés de configuration supplémentaires. Filters : Critères de recherche (status, assignee, dates, etc.).

Cas d'usage : Trouver toutes les tâches assignées à un analyste spécifique, identifier les tâches bloquées depuis plus de X jours, rechercher des tâches par mots-clés.

Cette action récupère les détails d'une tâche spécifique via son identifiant. Permet de vérifier l'état d'avancement ou d'extraire des informations pour d'autres traitements.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Task (requis). Operation : Get (requis). Task ID : Identifiant unique de la tâche (requis).

Cas d'usage : Vérifier si une tâche est complétée avant de passer à l'étape suivante, récupérer les logs associés à une tâche pour analyse, alimenter un système de suivi externe.

Cette action récupère plusieurs tâches, avec possibilité de filtrer par case. Utile pour obtenir une vue d'ensemble des tâches en cours ou générer des rapports d'avancement.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Task (requis). Operation : Get Many (requis). Case ID : Filtrer par case spécifique (optionnel). Return All : Récupérer toutes les tâches (optionnel). Limit : Nombre maximum de résultats (défaut : 100). Options : Paramètres additionnels.

Cas d'usage : Lister les tâches non assignées pour répartition automatique, générer un rapport des tâches en retard, synchroniser l'état des tâches avec un outil de gestion de projet comme ClickUp.

Cette action exécute un responder Cortex directement sur une tâche. Permet de déclencher des actions de remédiation contextualisées au niveau tâche.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Task (requis). Operation : Execute Responder (requis). Task ID : Identifiant de la tâche cible (requis).

Cas d'usage : Exécuter un responder d'enrichissement sur une tâche d'analyse, déclencher des actions automatisées liées à une tâche spécifique.

Cette action crée une nouvelle tâche au sein d'un case TheHive. Les tâches structurent le travail d'investigation et permettent de répartir les actions entre analystes.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Task (requis). Operation : Create (requis). Case ID : Identifiant du case parent (optionnel). Title : Nom descriptif de la tâche. Status : État initial (Waiting, InProgress, Completed, Cancel). Flag : Marquer la tâche comme prioritaire. Options : Propriétés additionnelles (assignee, description, etc.).

Cas d'usage : Créer automatiquement les tâches d'un playbook de réponse, assigner des tâches de vérification suite à une alerte, générer des tâches de suivi post-incident.

Cette action modifie un observable existant : ajout de tags, changement de TLP, mise à jour du statut IOC, etc.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Update (requis). Observable ID : Identifiant de l'observable (requis). Update Fields : Sélection des champs à modifier.

Cas d'usage : Marquer un observable comme IOC après confirmation, mettre à jour le TLP suite à déclassification, ajouter des tags basés sur les résultats d'analyse.

Cette action recherche des observables selon des critères de filtrage avancés.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Search (requis). Return All : Récupérer tous les résultats (optionnel). Limit : Nombre maximum de résultats (défaut : 100). Options : Configuration supplémentaire. Filters : Critères de recherche.

Cas d'usage : Rechercher si un IOC existe déjà dans TheHive, identifier tous les observables d'un type spécifique, trouver des observables non analysés.

Cette action récupère les détails d'un observable spécifique via son identifiant.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Get (requis). Observable ID : Identifiant unique de l'observable (requis).

Cas d'usage : Récupérer les résultats d'analyse d'un observable, vérifier si un observable a déjà été traité, extraire les données pour enrichissement externe.

Cette action récupère plusieurs observables, avec possibilité de filtrer par case.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Get Many (requis). Case ID : Filtrer par case spécifique (optionnel). Return All : Récupérer tous les observables (optionnel). Limit : Nombre maximum de résultats (défaut : 100). Options : Paramètres additionnels.

Cas d'usage : Exporter tous les IOC d'un case pour blocage périmétrique, générer une liste d'observables pour rapport d'incident, alimenter un outil de threat intelligence externe.

Cette action exécute un responder Cortex sur un observable. Permet de déclencher des actions de remédiation liées à un IOC spécifique.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Execute Responder (requis). Observable ID : Identifiant de l'observable cible (requis).

Cas d'usage : Bloquer une IP malveillante sur le pare-feu, ajouter un domaine à une liste noire DNS, déclencher une action de quarantaine.

Cette action lance un analyseur Cortex sur un observable pour l'enrichir automatiquement. Les analyseurs interrogent des sources externes (VirusTotal, Shodan, PassiveTotal, etc.) pour collecter des informations sur l'observable.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Execute Analyzer (requis). Observable ID : Identifiant de l'observable à analyser (requis). Data Type Name or ID : Type de données pour l'analyseur.

Cas d'usage : Enrichir automatiquement chaque nouvel observable avec VirusTotal, lancer des analyses OSINT sur les domaines suspects, vérifier la réputation des IP dans plusieurs bases de données.

Cette action ajoute un nouvel observable (IOC) à un case TheHive. Les observables représentent les indicateurs de compromission : IP, domaines, hash, emails, etc.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Observable (requis). Operation : Create (requis). Case ID : Case auquel rattacher l'observable (optionnel). Data Type Name or ID : Type d'observable (ip, domain, hash, etc.). Data : Valeur de l'observable (requis). Message : Description contextuelle. Start Date : Date de première détection. TLP : Niveau de confidentialité (requis, défaut : Amber). IOC : Marquer comme indicateur de compromission (optionnel).

Cas d'usage : Ajouter automatiquement les IOC extraits d'un email de phishing, importer des indicateurs depuis un feed de threat intelligence, créer des observables à partir de logs SIEM.

Cette action récupère les détails d'une entrée de log spécifique.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Log (requis). Operation : Get (requis). Log ID : Identifiant du log (optionnel).

Cas d'usage : Récupérer le contenu d'un log pour analyse, vérifier le statut d'une entrée de log.

Cette action récupère plusieurs logs, avec possibilité de filtrer par tâche.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Log (requis). Operation : Get Many (requis). Task ID : Filtrer par tâche spécifique (optionnel). Return All : Récupérer tous les logs (optionnel). Limit : Nombre maximum de résultats (défaut : 100).

Cas d'usage : Exporter l'historique complet d'une tâche, générer un rapport d'activité, auditer les actions réalisées sur un case.

Cette action exécute un responder Cortex sur une entrée de log spécifique.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Log (requis). Operation : Execute Responder (requis). Log ID : Identifiant du log cible (requis).

Cas d'usage : Déclencher des actions basées sur le contenu d'un log, automatiser des réponses à des événements documentés.

Cette action crée une entrée de log dans une tâche TheHive. Les logs documentent les actions réalisées et les découvertes faites pendant l'investigation.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Log (requis). Operation : Create (requis). Task ID : Tâche parente du log (optionnel). Message : Contenu du log. Start Date : Horodatage de l'entrée. Status : État (Success, Failure, InProgress). Options : Propriétés additionnelles.

Cas d'usage : Documenter automatiquement les résultats d'analyse, ajouter des logs de traçabilité pour les actions automatisées, créer des entrées de log à partir de résultats d'outils externes.

Cette action modifie un case existant dans TheHive. Elle permet de mettre à jour n'importe quel champ du case : statut, sévérité, description, tags, etc.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Case (requis). Operation : Update (requis). Case ID : Identifiant du case à modifier (requis). JSON Parameters : Interrupteur pour utiliser le format JSON. Update Fields : Sélection des champs et nouvelles valeurs.

Cas d'usage : Escalader automatiquement la sévérité selon des critères externes, mettre à jour le statut après validation d'un playbook, ajouter des tags basés sur les résultats d'analyse.

Cette action récupère les informations détaillées d'un case spécifique à partir de son identifiant unique. Utile pour enrichir vos workflows avec les données d'un case existant avant d'exécuter des actions conditionnelles.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Case (requis). Operation : Get (requis). Case ID : Identifiant unique du case à récupérer (requis).

Cas d'usage : Vérifier le statut d'un case avant d'envoyer une notification, récupérer les détails d'un case pour les inclure dans un rapport, alimenter un dashboard externe avec les données TheHive.

Cette action récupère plusieurs cases simultanément, avec la possibilité de filtrer et limiter les résultats. Idéale pour les tableaux de bord, rapports ou traitements par lots.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Case (requis). Operation : Get Many (requis). Return All : Interrupteur pour récupérer tous les cases (optionnel). Limit : Nombre maximum de résultats (défaut : 100). Options : Propriétés supplémentaires pour affiner la requête. Filters : Critères de filtrage pour cibler des cases spécifiques.

Cas d'usage : Générer un rapport quotidien des cases ouverts, synchroniser les cases vers un outil de BI externe comme Metabase, identifier les cases non assignés pour répartition automatique.

Cette action exécute un responder Cortex sur un case spécifique. Les responders permettent d'effectuer des actions de remédiation comme bloquer une IP, désactiver un compte ou isoler une machine.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Case (requis). Operation : Execute Responder (requis). Case ID : Identifiant du case cible (requis).

Cas d'usage : Déclencher un responder de blocage IP après confirmation d'intrusion, lancer une action de remédiation automatique selon le type de case, orchestrer plusieurs responders en séquence.

Cette action vous permet de créer un nouveau case directement dans TheHive depuis votre workflow n8n. C'est l'action fondamentale pour automatiser l'ouverture d'investigations à partir de sources externes comme vos SIEM, outils de détection ou feeds de threat intelligence.

Paramètres clés : Credential to connect with : Sélection de vos identifiants TheHive (requis). Resource : Case (requis). Operation : Create (requis). Title : Nom du case, accepte des valeurs fixes ou des expressions dynamiques. Description : Zone de texte pour les détails complets du case. Severity : Menu déroulant (Low, Medium, High, Critical). Start Date : Sélecteur date/heure pour horodater le début de l'incident. Owner : Champ texte pour assigner un responsable. Flag : Interrupteur on/off pour marquer le case. TLP : Niveau de confidentialité (White, Green, Amber, Red).

Cas d'usage : Créer automatiquement un case à partir d'une alerte Splunk ou Elastic SIEM, ouvrir une investigation suite à la détection d'un email de phishing, générer un case depuis un formulaire de signalement interne.