TheHive para PMEs: gestão de incidentes sem pagar licença
O problema: incidentes espalhados em planilhas
Quando um alerta de seguran\u00e7a dispara \u00e0s 3h da manh\u00e3, o analista abre um ticket no WhatsApp, anota o IP num bloco de notas e perde o rastro do caso em tr\u00eas dias. Parece exagero? N\u00e3o \u00e9. Na maioria das PMEs lus\u00f3fonas, a gest\u00e3o de incidentes segue exatamente esse caminho \u2014 ou pior, simplesmente n\u00e3o existe.
A Microsoft detectou 8,3 bilh\u00f5es de tentativas de phishing s\u00f3 no primeiro trimestre de 2026, um recorde hist\u00f3rico. O volume de ataques superou qualquer ano anterior. PMEs sem um processo organizado de resposta ficam \u00e0 merc\u00ea de cada incidente que atravessa a porta.
O que \u00e9 TheHive (em linguagem simples)
Pense no TheHive como um prontu\u00e1rio digital do SOC. Da mesma forma que um hospital organiza cada paciente com hist\u00f3rico, exames e tratamento, o TheHive organiza cada incidente de seguran\u00e7a da sua empresa \u2014 do primeiro alerta at\u00e9 o relat\u00f3rio final.
\u00c9 uma plataforma open-source de gest\u00e3o de casos de incidente, criada pela StrangeBee, usada por mais de 3.500 equipes de seguran\u00e7a em mais de 50 pa\u00edses. Funciona tanto on-premise (no seu servidor) quanto na nuvem, e cobre todo o ciclo de vida de um incidente:
- Triagem de alertas \u2014 recebe alertas do Wazuh, Velociraptor, e-mail e outras fontes
- Gest\u00e3o de casos \u2014 cada incidente vira um caso com tarefas, observa\u00e7\u00f5es e respons\u00e1veis
- Investiga\u00e7\u00e3o colaborativa \u2014 m\u00faltiplos analistas trabalham no mesmo caso sem atrapalhar um ao outro
- Integra\u00e7\u00e3o com Cortex \u2014 an\u00e1lise automatizada de URLs, IPs, hashes e arquivos
- Relat\u00f3rios \u2014 gera\u00e7\u00e3o de evid\u00eancias para auditoria e compliance
Por que PMEs precisam de gest\u00e3o de incidentes
A LGPD (Art. 46) exige que organiza\u00e7\u00f5es demonstrem medidas t\u00e9cnicas e administrativas para proteger dados pessoais. Quando um incidente ocorre, a ANPD quer saber: o que aconteceu, quando foi detectado, o que foi feito e quando foi comunicado.
Sem uma plataforma como o TheHive, responder a essa pergunta significa vasculhar e-mails, logs espalhados e mem\u00f3rias. Com o TheHive, o hist\u00f3rico do incidente est\u00e1 completo, audit\u00e1vel e acess\u00edvel.
Al\u00e9m do compliance, h\u00e1 um ganho operat\u00f3rio direto. Um SOC que usa planilhas gasta em m\u00e9dia 2,5 vezes mais tempo por incidente do que um que usa uma plataforma dedicada, segundo dados do relat\u00f3rio anual do SANS Institute.
Como funciona na pr\u00e1tica
Recebendo alertas
O TheHive conecta-se ao Wazuh por webhook. Quando o Wazuh detecta algo suspeito \u2014 um login an\u00f4malo, um arquivo malicioso, um comportamento de ransomware \u2014 o alerta chega automaticamente ao TheHive como um caso novo. Nenhum copia-e-cola, nenhuma a\u00e7\u00e3o manual.
Analisando automaticamente com Cortex
Ao receber um alerta contendo um IP, URL ou hash suspeito, o analista clica em \"Analisar\" e o Cortex dispara m\u00faltiplos analisadores em paralelo: consulta VirusTotal, verifica listas de amea\u00e7as, checa reputa\u00e7\u00e3o de dom\u00ednio. Em segundos, o analista tem um panorama do indicador de compromisso, sem abrir dezenas de abas no navegador.
Organizando o trabalho
Cada caso recebe um n\u00edvel de severidade, um respons\u00e1vel e uma lista de tarefas. A equipe sabe exatamente quem est\u00e1 fazendo o qu\u00ea, quando come\u00e7ou e quando terminou. Nada se perde entre turnos de trabalho ou aus\u00eancias.
Gerando evid\u00eancias
Ao fechar um caso, o TheHive exporta o relat\u00f3rio completo: timeline, a\u00e7\u00f5es tomadas, analisadores executados, resultados. Esse documento serve como evid\u00eancia para auditorias LGPD, relat\u00f3rios para a diretoria e, quando necess\u00e1rio, para as autoridades.
Conex\u00e3o com a LGPD e NIS2
Dois marcos regulat\u00f3rios tornam a gest\u00e3o de incidentes n\u00e3o opcional:
- LGPD Art. 48: o controlador deve comunicar \u00e0 ANPD e aos titulares incidentes que possam acarretar risco ou dano relevante. Sem registro organizado, essa comunica\u00e7\u00e3o \u00e9 imposs\u00edvel de realizar em prazo.
- NIS2 Diretiva: exigir\u00e1 que entidades essenciais e importantes da UE implementem processos de gest\u00e3o de incidentes, incluindo notifica\u00e7\u00e3o em at\u00e9 24 horas ap\u00f3s detec\u00e7\u00e3o. Empresas que operam na Europa \u2014 mesmo PMEs brasileiras e africanas com clientes europeus \u2014 precisam estar preparadas.
O TheHive garante que sua empresa tem o registro audit\u00e1vel que ambos os marcos exigem.
TheHive vs. alternativas pagas
| Recurso | TheHive (open-source) | ServiceNow SecOps | Splunk SOAR |
|---|---|---|---|
| Custo | R$ 0 (self-hosted) | US$ 100k+/ano | US$ 85k+/ano |
| Instala\u00e7\u00e3o | Pr\u00f3prio servidor | SaaS ou on-prem | SaaS |
| Integra\u00e7\u00f5es | 300+ | 500+ | 300+ |
| Foco | SOC/CSIRT/MSSP | TI gen\u00e9rico | An\u00e1lise de logs |
| Comunidade | Ativa, open-source | Corporativa | Corporativa |
Para PMEs, o custo zero de licen\u00e7a do TheHive \u00e9 decisivo. N\u00e3o h\u00e1 trial limitado nem feature gate. A vers\u00e3o comunit\u00e1ria \u00e9 completa.
FAQ
O TheHive funciona junto com o Wazuh?
Sim. \u00c9 uma das integra\u00e7\u00f5es mais comuns. O Wazuh gera os alertas de detec\u00e7\u00e3o, e o TheHive recebe e organiza esses alertas em casos para investiga\u00e7\u00e3o. A Atalaia implementa exatamente essa arquitetura.
Preciso de uma equipe grande para usar o TheHive?
N\u00e3o. O TheHive funciona bem com equipes de 1 a 3 pessoas. Na verdade, quanto menor a equipe, mais importante \u00e9 ter um sistema que centralize tudo \u2014 sem ele, um \u00fanico analista se afoga em incidentes.
Quanto custa para manter o TheHive em produ\u00e7\u00e3o?
Se voc\u00ea j\u00e1 tem um servidor Linux, o custo \u00e9 zero. O TheHive roda com Elasticsearch, Cassandra e um servidor de aplica\u00e7\u00e3o. Uma VM com 4 vCPUs e 8 GB de RAM atende PMEs com at\u00e9 500 endpoints monitorados.