Behöver ert företag hjälp med att implementera AI? Kontakta oss och få prisoffert här →
AI Skolan
januari 22, 2026

E-post till TheHive med Cortex: snabbare hottriage

Rickard Andersson Partner, Nodenordic.se

Din inkorg är inte problemet. Det är triageloopen. Ett misstänkt mejl kommer in, du öppnar det, du kopierar indikatorer till tre olika ställen, du kör några kontroller och sedan försöker du minnas vad du redan har verifierat.

Här tappar säkerhetsanalytiker fart, men IT-chefer och konsulter som kör slimmad SecOps känner av det också. Med TheHive Cortex-automatisering förvandlar du ett mejl till ett larm, ett ärende och konsekventa IOCs utan den röriga kopiera-klistra-rutinen.

Det här flödet tar in mejl, skapar poster i TheHive, kör Cortex-analys och skickar observables genom reputations- och hotkontroller. Du får se vad det löser, hur det fungerar och vad du behöver för att köra det stabilt.

Så fungerar den här automatiseringen

Se hur det här löser problemet:

n8n Workflow Template: E-post till TheHive med Cortex: snabbare hottriage

Utmaningen: mejltriage som blir ett kopiera-klistra-maraton

Mejlhot är sällan ”svåra” i teknisk bemärkelse. De är svåra för att de kommer hela tiden, de ser lite olika ut varje gång och du måste fatta snabba beslut med ofullständig information. En analytiker kontrollerar en länk i ett verktyg, en annan klistrar in avsändardomänen i ett kalkylark, någon annan öppnar TheHive och bygger manuellt upp kontexten igen. Senare, när du behöver svara på ”har vi sett den här IP:n tidigare?”, letar du i chattloggar, ticket-anteckningar och halvfärdiga ärenden. Det är dränerande och det är ärligt talat här bra team börjar göra onödiga misstag.

Det summeras snabbt. Här är var det brukar skapa fel i verkligheten.

  • Du slutar med att skriva in samma ämnesrad, avsändare och headers i TheHive, vilket är långsamt och förvånansvärt felkänsligt.
  • IOCs fångas inkonsekvent, så två liknande phishingmejl kan se orelaterade ut när du granskar ärenden senare.
  • Analys görs i separata verktyg, vilket betyder att ärendet aldrig speglar vad som faktiskt kontrollerades.
  • När volymen sticker iväg blir din ”triageprocess” den som råkar vara tillgänglig, som gör det den kommer ihåg.

Lösningen: konvertera automatiskt mejl till berikade TheHive-ärenden

Det här n8n-flödet gör ett inkommande mejl till en strukturerad utredningsspårning i TheHive. Det börjar med att hämta ett nytt meddelande från din brevlåda (IMAP) och skapar sedan ett TheHive-larm med den viktigaste kontexten som du normalt klistrar in manuellt. Därefter befordras larmet till ett ärende så att teamet kan spåra status, ägarskap och nästa steg på ett standardiserat sätt. Flödet kör sedan en analyzer via Cortex för att extrahera och berika observables, väntar kort på att analysen ska bli klar och hämtar tillbaka rapporten in i triageflödet. Slutligen letar det efter IOCs och skickar varje typ (domän, e-post, IP) till TheHive så att efterföljande reputationskontroller och hotkontroller körs mot samma konsekventa bevisunderlag.

Flödet startar när ett misstänkt mejl hämtas via IMAP. Cortex-analysen producerar en rapport som används för att avgöra vilka observables som ska läggas till, och TheHive blir det enda systemet som gäller. När observables väl finns körs domän- och IP-skanningar samt e-postreputationskontroller automatiskt, så att du kan fokusera på beslut, inte på att leta fram data.

Vad som ändras: före vs. efter

Effekt i praktiken

Säg att teamet får 10 misstänkta mejl en intensiv dag. Manuellt är det lätt att lägga cirka 10 minuter på att skapa TheHive-poster och ytterligare 20 minuter på att extrahera IOCs och köra grundkontroller, så du landar på ungefär 5 timmar analystid. Med det här flödet är ”människotiden” närmare en snabb granskning och ett beslut, kanske 5 minuter per mejl, medan Cortex och skanningar kör i bakgrunden. Det ger cirka 4 timmar tillbaka en dag när du behöver det som mest.

Krav

  • n8n-instans (prova n8n Cloud gratis)
  • Alternativ för egen drift om du föredrar det (Hostinger fungerar bra)
  • TheHive för att skapa larm, ärenden och observables.
  • Cortex för analyzers och berikningsrapporter.
  • Åtkomst till IMAP-brevlåda (använd din mejlproviders IMAP-uppgifter).

Svårighetsgrad: Medel. Du kopplar konton, bekräftar behörigheter och mappar några fält så att rätt bevis hamnar på rätt ställe.

Behöver du hjälp att implementera detta? Prata med en automationsexpert (gratis 15-minuters konsultation).

Flödets gång

Mejlintag via IMAP. Flödet bevakar en inkorg och hämtar nya meddelanden som matchar dina triagekriterier (till exempel en ”rapportera phishing”-brevlåda eller en övervakad SOC-inkorg).

Ärendeskapande i TheHive. Ett TheHive-larm skapas utifrån mejlets kontext och befordras sedan till ett ärende så att det kan tilldelas, spåras och revideras som resten av dina incidenter.

Berikning med Cortex. Flödet kör en fil-/analyzer-kedja och hämtar sedan Cortex-rapporten när den är klar. En kort väntetid hjälper till att undvika att hämta resultat innan analysen är färdig.

IOC-routning och hotkontroller. Om indikatorer finns läggs domäner, e-postadresser och IP-adresser till som observables och relevanta kontroller körs (e-postreputation, IP-hotskanning, domänhotskanning) så att ditt ärende innehåller både bevisen och kontexten.

Du kan enkelt justera vilken brevlåda som triggar körningen och vilka observables som läggs till utifrån din miljö. Se hela implementationsguiden nedan för anpassningsalternativ.

Steg-för-steg-guide för implementering

Steg 1: Konfigurera triggern för hämtning av inkommande e-post

Konfigurera e-posttriggern så att arbetsflödet startar när ett nytt meddelande med bilagor tas emot.

  1. Lägg till och öppna Inbound Mail Fetch.
  2. Ställ in Formatresolved.
  3. Autentiseringsuppgifter krävs: Anslut era imap-autentiseringsuppgifter.
  4. Bekräfta att noden är ansluten till Create Hive Alert för att skicka vidare inkommande e-postdata.

Tips: Säkerställ att er inkorg har bilagor tillgängliga, eftersom efterföljande noder refererar till attachment_0.

Steg 2: Anslut flödet för skapande av TheHive-ärenden

Konfigurera noderna som skapar och promoverar alertar till TheHive-ärenden, och hämta sedan ärendet för analys.

  1. Öppna Create Hive Alert och ställ in TagsEmail, TypeEmail och SourceOutlook.
  2. Ställ in Title{{$node["Inbound Mail Fetch"].binary.attachment_0.fileName}}, Source Ref{{$node["Inbound Mail Fetch"].json["messageId"]}} och Description{{$node["Inbound Mail Fetch"].binary.attachment_0.fileName}}.
  3. I Create Hive Alert, mappa Artifact Values med Data Type file och Binary Property attachment_0.
  4. Öppna Promote to Case och ställ in ID{{$node["Create Hive Alert"].json["_id"]}} med Operation promote.
  5. Öppna Retrieve Case och ställ in Resourcecase, Operationget och ID{{$node["Promote to Case"].json["_id"]}}.
  6. Autentiseringsuppgifter krävs: Anslut era theHiveApi-autentiseringsuppgifter till alla TheHive-noder (11 noder för skapande av ärende, observables och körning av analyzer).

Steg 3: Sätt upp analys och IOC-detektering

Analysera e-postbilagan, hämta Cortex-rapporten och kontrollera efter IOCs innan ni förgrenar flödet.

  1. Öppna Delay Window och ställ in Unitseconds och Amount5 för att ge TheHive-ärendedata tid att propagera.
  2. Öppna List Observables och ställ in Case ID{{$node["Retrieve Case"].json["_id"]}}, med Resource observable och Return All aktiverat.
  3. Öppna Run File Analyzer och ställ in ID{{$node["List Observables"].json["_id"]}}, Data Typefile, och använd analyzern 24a64a086a410e1c7d7ace74003c4480::CORTEX.
  4. Öppna Fetch Cortex Report och ställ in Job ID{{$node["Run File Analyzer"].json["cortexJobId"]}}, med Resource job och Operation report.
  5. Öppna IOC Presence Check och verifiera att de tre talvillkoren använder uttrycken {{$node["Fetch Cortex Report"].json["report"]["full"]["iocs"]["domain"].length}}, {{$node["Fetch Cortex Report"].json["report"]["full"]["iocs"]["email"].length}} och {{$node["Fetch Cortex Report"].json["report"]["full"]["iocs"]["ip"].length}} med Combine Operation satt till any.
  6. Autentiseringsuppgifter krävs: Anslut era cortexApi-autentiseringsuppgifter i Fetch Cortex Report.

⚠️ Vanlig fallgrop: Om ärendet inte är helt skapat ännu kan List Observables returnera tomma resultat. Behåll Delay Window5 sekunder eller öka vid behov.

Steg 4: Konfigurera skapande av IOC och hot-skanningar

Skapa observables för upptäckta IOCs och kör ytterligare analyzer-skanningar parallellt.

  1. Konfigurera Add Domain IOC med Data satt till {{$node["Fetch Cortex Report"].json["report"]["full"]["iocs"]["domain"]}}, Case ID till {{$node["Retrieve Case"].json["_id"]}}, Status till Ok, Message till {{$node["Fetch Cortex Report"].json["analyzerName"]}} och Data Type till domain.
  2. Konfigurera Add Email IOC med Data satt till {{$node["Fetch Cortex Report"].json["report"]["full"]["iocs"]["email"]}}, Case ID till {{$node["Retrieve Case"].json["_id"]}}, Status till Ok, Message till {{$node["Fetch Cortex Report"].json["analyzerName"]}} och Data Type till mail.
  3. Konfigurera Add IP IOC med Data satt till {{$node["Fetch Cortex Report"].json["report"]["full"]["iocs"]["ip"]}}, Case ID till {{$node["Retrieve Case"].json["_id"]}}, Status till Ok, Message till {{$node["Fetch Cortex Report"].json["analyzerName"]}} och Data Type till ip.
  4. IOC Presence Check skickar utdata till både Add Domain IOC och Add Email IOC och Add IP IOC parallellt.
  5. Konfigurera Domain Threat Scan för att köra analyzern b084bf78d1aea92966b6ef6a4f6193a5::CORTEX med ID satt till {{$node["Add Domain IOC"].json["id"]}} och Data Type domain.
  6. Konfigurera Check Email Reputation för att köra analyzern 9902b4e5c58015184b177de13f2151c7::CORTEX med ID satt till {{$node["Add Email IOC"].json["id"]}} och Data Type mail.
  7. Konfigurera IP Threat Scan för att köra analyzern b084bf78d1aea92966b6ef6a4f6193a5::CORTEX med ID satt till {{$node["Add IP IOC"].json["id"]}} och Data Type ip.

Steg 5: Testa och aktivera ert arbetsflöde

Kör ett manuellt test för att validera analysen end-to-end och aktivera sedan arbetsflödet för användning i produktion.

  1. Klicka på Execute Workflow och skicka ett testmejl med en bilaga till den övervakade inkorgen.
  2. Verifiera att Create Hive Alert skapar en alert med titel {{$node["Inbound Mail Fetch"].binary.attachment_0.fileName}} och att Promote to Case returnerar ett ärende-id.
  3. Bekräfta att Run File Analyzer returnerar ett cortexJobId och att Fetch Cortex Report innehåller IOC-data i report.full.iocs.
  4. Kontrollera att IOC-noderna skapar observables och att varje analyzer-nod (Domain Threat Scan, Check Email Reputation, IP Threat Scan) körs utan fel.
  5. Växla arbetsflödet till Active för att aktivera kontinuerlig övervakning.
🔒

Lås upp fullständig steg-för-steg-guide

Få den kompletta implementeringsguiden + nedladdningsbar mall

Saker att se upp med

  • TheHive-credentials kan löpa ut eller kräva specifika behörigheter. Om det skapar fel, kontrollera din TheHive API-nyckel och användarrollens behörigheter i TheHive först.
  • Om du använder Wait-noder eller extern rendering varierar processtiderna. Öka väntetiden om efterföljande noder fallerar på tomma svar.
  • Standardprompter i AI-noder är generiska. Lägg in din tonalitet tidigt, annars kommer du att redigera output för alltid.

Liknande automatiseringar

Om teamet också vill korta ner loopen ”någon postade ett misstänkt mejl i chatten”, passar Slack + Sublime Security: snabbare triage av mejlhot bra genom att göra teamrapporter till åtgärdsbara signaler innan de hamnar i din utredningskö.

För organisationer som lever i tickets (och behöver bevis bifogade varje gång) är Gmail till Jira, phishingrapporter registrerade med bevis ett bra komplement för att hålla ditt ITSM-flöde strukturerat medan TheHive hanterar utredningsdetaljer.

När du redan har en Jira-driven intakeprocess och bara vill att det ska gå snabbare med färre saknade fält hjälper Gmail + Jira: phishingrapporter fångas och registreras snabbt dig att standardisera front door innan ärenden berikas längre ned i kedjan.

Behöver du snabb validering innan du ens öppnar ett ärende? Gmail + Slack: förenklade kontroller av phishing-headers är användbart för lättviktiga header-kontroller som minskar brus, särskilt när samma kampanjer fortsätter dyka upp.

Slutligen, om din prioritet är rapportering snarare än incidenthantering, hjälper SendGrid till Airtable, veckovisa mejlinsikter klara dig att automatisera mätningen så att säkerhetsarbete inte slukar din operativa takt.


Snabbreferens:

Vanliga frågor

Hur snabbt kan jag implementera den här TheHive Cortex-automatiseringen?

Vanligtvis inom en timme när TheHive och Cortex går att nå.

Kan icke-tekniska team implementera den här TheHive Cortex-automatiseringen?

Ja, men någon behöver fortfarande hantera API-nycklar och åtkomst till brevlådan. Om du kan koppla verktyg i n8n och testa några exempelmejl kan du köra det.

Är n8n gratis att använda för det här TheHive Cortex-automationsflödet?

Ja. n8n har ett gratis alternativ för egen drift och en gratis provperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volym. Du behöver också räkna in hosting för Cortex/TheHive och eventuella kostnader för analyzers som du aktiverar.

Var kan jag hosta n8n för att köra den här automatiseringen?

Två alternativ: n8n Cloud (hanterat, enklast setup) eller egen drift på en VPS. För egen drift är Hostinger VPS prisvärt och hanterar n8n bra. Egen drift ger obegränsat antal körningar men kräver grundläggande serverhantering.

Hur anpassar jag den här TheHive Cortex-automationslösningen till mina specifika utmaningar?

Du kan justera IMAP-triggern så att den bara hämtar från en mapp för ”phish reports” och sedan ändra vad som skrivs in i TheHive i noderna för ärendeskapande och observables. Om du vill berika annan bevisning byter du analyzer som används i delen ”Run File Analyzer” och behåller resten av flödet oförändrat. Vanliga anpassningar är att lägga till en severity-regel baserad på avsändardomän, ändra vilka observable-typer du lagrar och lägga till en Slack- eller Jira-notis efter ”Promote to Case”.

Varför misslyckas min TheHive-anslutning i det här flödet?

Oftast är det ett API-nyckelproblem eller en URL-missmatch (HTTP vs HTTPS). Skapa en ny TheHive API-nyckel, uppdatera den i n8n och bekräfta sedan att användaren har behörighet att skapa larm, ärenden och observables. Om det bara fallerar vid skanningar kan du sakna en analyzer-konfiguration eller använda ett servicekonto som kan skapa ärenden men inte kan köra analyzers.

Vilken kapacitet har den här TheHive Cortex-automationslösningen?

Om du kör n8n i egen drift finns ingen körningsgräns och kapaciteten beror mest på din server och hur tunga dina Cortex analyzers är. På n8n Cloud begränsar din plan antalet körningar per månad, vilket oftast räcker för små och medelstora SOC-volymer. I praktiken skalar det här flödet bra för batchar av mejl, men Cortex-analystid är den verkliga flaskhalsen eftersom rapporter kan ta tid när köerna är fulla. Om du väntar bursts, öka väntetiden och överväg att köra n8n med högre concurrency. Håll också koll på polling av brevlådan, eftersom aggressiv polling kan trigga throttling hos leverantören.

Är den här TheHive Cortex-automatiseringen bättre än att använda Zapier eller Make?

För det här use caset, ja. Du behöver grenlogik (lägg bara till IOCs när de finns), du behöver vänta in analys och du vill ha tajt kontroll över hur bevis skrivs in i TheHive. Zapier och Make klarar enkla mejl-till-ticket-flöden, men blir klumpiga när du lägger till berikningsloopar och ärendekontext. n8n ger dig också möjlighet till egen drift för obegränsade körningar, vilket spelar roll när du processar mycket brus. Om du är osäker, prata med en automationsexpert och dubbelkolla bästa vägvalet för ditt team.

När detta väl är igång landar varje misstänkt mejl som en riktig utredning, inte en halvt ihågkommen checklista. Flödet gör det repetitiva triagejobbet så att du kan lägga tiden på inneslutning och beslut.

Kontakta oss

Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.

Våra tjänster Om Node Nordic
×

Använd mall

Få direkt tillgång till denna n8n-arbetsflödes JSON-fil

Kopiera och importera JSON-arbetsflödet i ditt n8n-arbetsflöde