TheHive の主要機能はセキュリティインシデントのケース管理です。 ケースは「ウィルス感染アラート」「IDS/IPSの検知アラート」等を起点に自動あるいは手動で作成します。
TheHive および Cortex は REST API を提供しており、外部プログラムから様々なデータを登録することができます。
両サービスともに API を使用するためには API キーが必要となります。 API キーはユーザ管理 (Users) の中で入手することができます。
TheHive の API ドキュメントは 2018-10-10 の時点では不完全です。
API ドキュメントに記載されていないものも実際には提供されています。
例えばケース (Case) の POST API に PAP フィールドを設定できるという記載はドキュメントにはありませんが、
実際には pap
という JSON フィールドを指定することで登録することができます。
TheHive は Webhook に対応しており、TheHive 内の様々なデータの変更に反応して処理を実行することができます。