Kontrolowana, w pełni syntetyczna symulacja typowych scenariuszy incydentu (phishing, ransomware, data-breach, supply-chain, prompt-injection, agent-hijack), której celem jest przećwiczenie reakcji zespołu blue-team i wygenerowanie uporządkowanego pakietu dowodowego. Symulator opisuje wyłącznie przebieg zdarzenia od strony obrony — nie zawiera payloadów, narzędzi ani instrukcji przeprowadzenia ataku. Wszystkie dane są syntetyczne. Status: ROADMAP.
Symulator odtwarza oś czasu incydentu (co widzi obrona, w jakiej kolejności, jakie sygnały pojawiają się w logach) i na tej podstawie buduje pakiet dowodowy zgodny z resztą orchestratora: manifest, znaczniki czasu, hasz integralności i chain-of-custody. Efekt to materiał do ćwiczeń, tabletop i oceny gotowości zespołu — bez dotykania systemów produkcyjnych.
Każdy scenariusz opisuje perspektywę obrony: jakie sygnały się pojawiają i jakie decyzje powinien podjąć zespół. Kolumna Cel ćwiczenia = kompetencja blue-team, którą scenariusz sprawdza. Zero treści o charakterze napastniczym. Data weryfikacji: 2026-07-05.
| Scenariusz | Co symuluje (defensywnie) | Sygnały do wykrycia | Cel ćwiczenia |
|---|---|---|---|
| Phishing social | Zgłoszenie od pracownika o podejrzanej wiadomości i syntetyczny wpis w logu bramy pocztowej — bez treści samej wiadomości. | Sygnał z filtra poczty, zgłoszenie użytkownika, anomalia logowania na koncie syntetycznym. | Triage zgłoszenia, izolacja konta, komunikat do organizacji, próg eskalacji. |
| Ransomware availability | Nagły wzrost operacji na plikach i alert z EDR w środowisku testowym — opis skutku, nie mechanizmu szyfrowania. | Alert EDR, spadek dostępności usługi, anomalia I/O w metrykach syntetycznych. | Procedura odcięcia, decyzja o odtworzeniu z backupu, uruchomienie komunikacji kryzysowej. |
| Data-breach confidentiality | Sygnał o nietypowym wolumenie eksportu danych z konta serwisowego (dane syntetyczne) i pytanie o obowiązki notyfikacyjne. | Anomalia DLP, nietypowy transfer, dostęp poza godzinami do zbioru testowego. | Ocena zakresu, kwalifikacja obowiązku zgłoszenia (RODO / DORA — wsparcie decyzji), zabezpieczenie dowodów. |
| Supply-chain 3rd-party | Powiadomienie o podatności w zależności zewnętrznej i syntetyczny wpis w SBOM — bez kodu i bez sposobu wykorzystania. | Wpis w feedzie podatności, dopasowanie do SBOM, alert od dostawcy. | Ocena ekspozycji, priorytetyzacja łatania, komunikacja z dostawcą i interesariuszami. |
| Prompt-injection AI | Opis sytuacji, w której komponent AI otrzymuje treść próbującą zmienić jego zachowanie — opis kategorii ryzyka, nie treść wstrzyknięcia. | Odchylenie od oczekiwanego zachowania modelu, wpis w logu guardraili, sygnał moderacji. | Weryfikacja warstw ochronnych, procedura odcięcia komponentu AI, przegląd guardraili. |
| Agent-hijack AI-agent | Syntetyczny sygnał, że agent wykonuje działania poza zakładanym zakresem uprawnień — perspektywa nadzoru, nie metoda przejęcia. | Działanie poza politykami, wywołanie narzędzia poza whitelistą, anomalia w audit-logu agenta. | Kill-switch agenta, przegląd uprawnień i zakresu, wzmocnienie nadzoru human-in-the-loop. |
Uporządkowana sekwencja zdarzeń widzianych przez obronę, ze znacznikami czasu. Materiał do rekonstrukcji reakcji i pomiaru czasów (detekcja → triage → domknięcie).
Przykładowe wpisy logów, alerty i metadane — wszystkie oznaczone jako syntetyczne, bez odniesień do realnych systemów, kont czy adresów.
Manifest pakietu z haszem sha256 i chain-of-custody, spójny z resztą orchestratora. Ćwiczenie generuje weryfikowalny artefakt, nie luźne notatki.
Szablon podsumowania: co wykryto, co zadziałało, gdzie były luki procesowe, jakie kroki naprawcze. Wejście do playbooków i planu ćwiczeń.
sha256,
chain-of-custody) oraz weryfikacja na /verify działają dziś w
orchestratorze i mają dowody. Sam Synthetic Breach Simulator (F10) jest na etapie
ROADMAP — mamy specyfikację scenariuszy i model danych, ale nie ma
jeszcze dowodu w postaci kodu, testu i endpointu. Zgodnie z doktryną claim ≤ proof nie prezentujemy
tej funkcji jako gotowej.
Powiązane: gotowe scenariusze reakcji → /playbooks · zgłoszenie i rejestr zdarzeń AI → /ai-incident · weryfikacja pakietu dowodowego → /verify.