Network & Security

TheHive + MISP + Cortex 2026: คู่มือ Open-Source SOC/SOAR สำหรับ SME ไทย

รวมขั้นตอนสร้าง SOC/SOAR Open-Source ด้วย TheHive + MISP + Cortex สำหรับ SME ไทยปี 2026 ครอบคลุม Case Management, Threat Intelligence และ Automation พร้อม Use Case จริง

AF
ADS FIT Team
·8 นาที
Share:
🌐

# TheHive + MISP + Cortex 2026: คู่มือ Open-Source SOC/SOAR สำหรับ SME ไทย

ปี 2026 ภัยไซเบอร์ที่พุ่งเป้ามายัง SME ไทยมีปริมาณเพิ่มขึ้นอย่างน่ากังวล ไม่ว่าจะเป็น Ransomware, Phishing ที่ใช้ AI ปลอมเสียงผู้บริหาร หรือการขโมยข้อมูลลูกค้าผ่านช่องโหว่ของ Web Application ในขณะที่ Enterprise มีงบประมาณซื้อ SIEM/SOAR ระดับ Splunk หรือ IBM QRadar ราคาหลายล้านบาทต่อปี SME ส่วนใหญ่ยังคงพึ่งพาเพียง Antivirus กับ Firewall เท่านั้น

บทความนี้จะพาคุณรู้จักกับ "TheHive + MISP + Cortex" ซึ่งเป็นชุด Open-Source ที่ทำงานร่วมกันได้อย่างไร้รอยต่อ สามารถสร้าง Security Operations Center (SOC) แบบ Self-Hosted พร้อมความสามารถ SOAR (Security Orchestration, Automation and Response) ในงบประมาณที่ SME เอื้อมถึงได้ พร้อมตัวอย่างการติดตั้งและ Use Case จริงสำหรับองค์กรไทย

TheHive, MISP และ Cortex คืออะไร และทำงานร่วมกันอย่างไร

ทั้งสามเครื่องมือถูกพัฒนาขึ้นภายใต้ปรัชญาเดียวกัน คือ "Threat Intelligence + Incident Response ต้องเปิดให้ทุกองค์กรเข้าถึงได้" โดยแต่ละตัวมีบทบาทแยกกันชัดเจน

TheHive คือ Incident Response Platform แบบ Case Management ที่ให้ทีม SOC สร้าง "Case" สำหรับแต่ละเหตุการณ์ความปลอดภัย แบ่งงานเป็น Task ติดตามสถานะ และเก็บหลักฐานในรูป Observable (IP, Domain, Hash, Email)

MISP (Malware Information Sharing Platform) คือฐานข้อมูล Threat Intelligence ที่รวบรวม IOC (Indicator of Compromise) จากชุมชนทั่วโลก เช่น CIRCL, ThaiCERT รองรับการนำเข้าและส่งออกข้อมูลในรูปแบบ STIX/TAXII

Cortex คือเครื่องมือ Analyzer และ Responder ที่ทำงานเหมือนเชลฟ์เครื่องมือสืบสวน รับ Observable จาก TheHive แล้วเรียก Analyzer (เช่น VirusTotal, Shodan, AbuseIPDB) ให้ตรวจสอบโดยอัตโนมัติ และสามารถสั่ง Responder ให้ตอบโต้ เช่น บล็อก IP บน Firewall หรือ Disable User บน Active Directory

| คุณสมบัติ | TheHive | MISP | Cortex |

|---|---|---|---|

| บทบาทหลัก | Case Management | Threat Intelligence | Analyzer/Responder |

| รองรับ MITRE ATT&CK | ใช่ | ใช่ | ใช่ |

| API Integration | REST + Webhook | REST + STIX/TAXII | REST |

| License | AGPL v3 | AGPL v3 | AGPL v3 |

| ภาษา | Scala/Java | PHP | Python |

ทำไม SME ไทยควรเริ่มจาก TheHive Stack แทน SIEM ระดับ Enterprise

ปัจจัยสำคัญในการเลือก SOC Stack ของ SME คือ "ต้นทุนรวมต่อปี" และ "ระยะเวลาให้พนักงานเรียนรู้" ลองมาเปรียบเทียบทางเลือกที่มีในตลาด

  • ค่าใช้จ่ายรายปีของ Splunk Enterprise Security เริ่มต้นที่ประมาณ 6 แสนบาทต่อ 100 GB/วัน ขณะที่ TheHive Stack ใช้เพียงเซิร์ฟเวอร์ภายในและไม่มีค่า License
  • ระบบ Cloud SIEM (Sentinel, Chronicle) คิดค่าใช้จ่ายตามปริมาณ Log ซึ่งมักทะลุงบประมาณ SME ในเดือนที่มีการสแกนอัตโนมัติจำนวนมาก
  • TheHive รองรับ Multi-Tenant ทำให้ MSP สามารถเปิดบริการ SOC-as-a-Service ขายต่อให้ลูกค้าได้
  • เอกสารและคอมมูนิตี้ภาษาอังกฤษมีจำนวนมาก หาบทความ How-To และ Docker Compose ตัวอย่างได้ง่าย

    • ขั้นตอนติดตั้ง TheHive + MISP + Cortex บน Docker (Step-by-Step)

    แนวทางที่แนะนำสำหรับ SME คือใช้ Docker Compose บนเซิร์ฟเวอร์ Ubuntu 22.04 LTS หรือใหม่กว่า โดยควรใช้สเปก CPU 4 Cores, RAM 16 GB, SSD 200 GB เป็นอย่างน้อย

    ขั้นตอนที่ 1: เตรียมเซิร์ฟเวอร์และติดตั้ง Docker Engine พร้อม Docker Compose Plugin จากนั้นสร้าง Directory Structure แยกตาม Service เช่น `/opt/soc/thehive`, `/opt/soc/misp`, `/opt/soc/cortex`

    ขั้นตอนที่ 2: Clone Repository `StrangeBeeCorp/docker` ของ StrangeBee ซึ่งเป็น Official Compose สำหรับ TheHive 5 พร้อม Cassandra, Elasticsearch, MinIO ที่ถูก Tune มาแล้ว

    ขั้นตอนที่ 3: ติดตั้ง MISP โดยใช้ Image `coolacid/misp-docker` พร้อมตั้ง MySQL Password และ Base URL ให้ตรงกับ Domain ที่จะใช้ภายในองค์กร

    ขั้นตอนที่ 4: ติดตั้ง Cortex โดยใช้ Image `thehiveproject/cortex` แล้ว Mount Volume สำหรับเก็บ Job Cache และ Configuration ของแต่ละ Analyzer

    ขั้นตอนที่ 5: ตั้งค่า Reverse Proxy ด้วย Nginx หรือ Traefik ให้รองรับ HTTPS ผ่าน Let's Encrypt และเปิดเฉพาะ Port ที่จำเป็นออกอินเทอร์เน็ต

    ขั้นตอนที่ 6: เชื่อม TheHive เข้ากับ Cortex ผ่าน API Key ที่สร้างจากหน้า Admin ของ Cortex และเชื่อม TheHive เข้ากับ MISP เพื่อ Sync IOC แบบ Real-Time ทุก 1 ชั่วโมง

    ขั้นตอนที่ 7: Import Analyzer ที่ใช้บ่อย เช่น VirusTotal, Shodan, AbuseIPDB, MaxMind GeoIP, MISP Search รวมถึง Custom Responder สำหรับเรียก API ของ Firewall เช่น FortiGate, pfSense, OPNsense

    ตัวอย่าง Use Case จริงในองค์กรไทย

    ลองพิจารณาเหตุการณ์จริงของบริษัทอีคอมเมิร์ซขนาด 50 คนที่ติดตั้ง TheHive Stack มา 6 เดือน

    กรณีที่ 1 — แจ้งเตือน Phishing Email ระบบ Mail Gateway ส่ง Webhook ไปที่ TheHive อัตโนมัติทันทีที่พบ Email น่าสงสัย TheHive สร้าง Case พร้อม Observable เป็น Sender Domain และ URL Link จากนั้น Cortex รัน Analyzer ตรวจกับ MISP, VirusTotal, URLscan.io ภายใน 30 วินาที หาก IOC ตรงกับฐานข้อมูล Phishing ระบบจะปิด Case อัตโนมัติพร้อม Tag "Confirmed Phishing"

    กรณีที่ 2 — ตรวจจับ Brute Force SSH Wazuh Agent ส่ง Alert ไปที่ TheHive ผ่าน Webhook เมื่อมี Failed Login มากกว่า 50 ครั้งใน 5 นาที Responder ของ Cortex สั่ง pfSense เพิ่ม IP Source เข้า Block List ทันทีโดยไม่ต้องมีคนกดอนุมัติ

    กรณีที่ 3 — Threat Hunting จาก MISP Feed ทีม Security ตั้ง Rule ใน MISP ให้ Subscribe Feed ของ ThaiCERT และ CIRCL ทุก IOC ใหม่จะถูก Sync ไปที่ TheHive อัตโนมัติ ทีมงานสามารถค้นหา IOC ดังกล่าวบน Endpoint ผ่าน Osquery หรือ Velociraptor ได้ภายใน Dashboard เดียว

    ตารางเปรียบเทียบ TheHive Stack กับทางเลือกอื่น

    | มิติเปรียบเทียบ | TheHive Stack | Wazuh + ELK | Splunk ES | Microsoft Sentinel |

    |---|---|---|---|---|

    | ค่าใช้จ่ายเริ่มต้นต่อปี | ฮาร์ดแวร์เท่านั้น | ฮาร์ดแวร์เท่านั้น | สูงมาก | จ่ายตาม GB/วัน |

    | Case Management | Built-in | ไม่มี | มีแบบจำกัด | มี (Incidents) |

    | Threat Intelligence | MISP Sync | Manual Import | TIP เพิ่มเงิน | TI Connector |

    | SOAR Automation | Cortex Built-in | ต้องเพิ่ม Shuffle | Phantom (จ่ายเพิ่ม) | Logic Apps |

    | ความยากในการดูแล | ปานกลาง | ปานกลาง | สูง | ต่ำ (SaaS) |

    | รองรับ PDPA Audit Log | ใช่ | ใช่ | ใช่ | ใช่ |

    Best Practices สำหรับการดูแล SOC Stack ระยะยาว

    การมีเครื่องมือดีอย่างเดียวไม่เพียงพอ ทีมงานต้องวางกระบวนการให้สอดคล้องกับ NIST Incident Response Lifecycle ที่ประกอบด้วย Preparation, Detection & Analysis, Containment, Eradication, Recovery และ Post-Incident Activity

    ควรกำหนด Severity Level อย่างน้อย 4 ระดับและจับคู่กับ SLA ของแต่ละระดับให้ชัดเจน เช่น Critical ตอบกลับภายใน 15 นาที, High ภายใน 1 ชั่วโมง พร้อม Backup ข้อมูล TheHive และ MISP ทุกวันบน MinIO หรือ S3-Compatible Storage

    ติดตั้ง MFA สำหรับทุก User ของ TheHive และ MISP โดยใช้ TOTP จาก Authelia หรือ Authentik รวมถึง Limit IP ที่เข้าหน้า Admin ผ่าน Reverse Proxy เพื่อลดความเสี่ยงการ Compromise SOC ของตัวเอง

    สรุปและขั้นตอนถัดไป

    TheHive + MISP + Cortex เป็นทางเลือกที่ทรงพลังและคุ้มค่ามากสำหรับ SME ไทยที่ต้องการสร้าง SOC ของตนเองโดยไม่พึ่งพา Vendor Lock-In โดยเฉพาะอย่างยิ่งในยุคที่ภัยไซเบอร์เปลี่ยนรูปแบบรวดเร็วและกฎหมาย PDPA บังคับให้ทุกองค์กรต้องมีระบบรับมือเหตุการณ์ละเมิดข้อมูลที่พิสูจน์ได้

    ขั้นตอนถัดไปที่แนะนำคือ ทดสอบ Stack บน Lab Environment ก่อน 2 สัปดาห์ จากนั้นกำหนด Playbook สำหรับเหตุการณ์ที่พบบ่อยที่สุด 5 ประเภทขององค์กร แล้วค่อย Onboard ทีละ Source เช่น Firewall, AD, Web Server เพื่อไม่ให้ทีมงานท่วมท้นด้วย Alert

    หากคุณต้องการคำปรึกษาเรื่องการออกแบบสถาปัตยกรรม SOC, การเขียน Playbook ตาม MITRE ATT&CK หรือการเชื่อมต่อกับระบบ ERP/CRM ของคุณ ทีม ADS FIT พร้อมให้คำปรึกษาฟรีในการประเมินความพร้อม สามารถติดต่อทีมงานหรืออ่านบทความ Open-Source Security อื่น ๆ ของเราเพิ่มเติมได้

    Tags

    #TheHive#MISP#Cortex#SOC SOAR#Open-Source Security#Threat Intelligence#SME Cybersecurity

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที