Poniższy scenariusz jest w całości fikcyjny. Zespół SOC, alert, sygnatura zdarzenia i wszystkie metryki czasowe nie istnieją i nie odnoszą się do żadnego rzeczywistego podmiotu ani zdarzenia. Case study ilustruje wyłącznie przepływ pracy w ipIII — od przyjęcia alertu z konektora skanera, przez zebranie evidence i śledzenie remediacji, po retest i domknięcie z dowodem (closed-with-evidence). To nie jest referencja klienta ani opis realnego incydentu.
SOC „Zespół Wachta-3" — wymyślona nazwa zespołu operacyjnego, w scenariuszu monitoruje syntetyczne środowisko testowe. Skaner DAST (fikcyjny wynik) zgłasza alert klasy „ujawnienie nagłówka autoryzacyjnego" na testowym endpoincie API. Analityk pierwszej linii importuje wynik skanera do ipIII przez konektor — patrz Dla SOC. Alert zostaje przekształcony w incydent z przypisanym identyfikatorem, priorytetem i wstępną klasyfikacją ryzyka, widoczny na Response board.
| Krok | Co ilustruje ten krok | Artefakt dowodowy (przykładowy) | Status w ipIII |
|---|---|---|---|
| 1. Alert i import | Fikcyjny wynik skanera DAST trafia do parsera i zostaje znormalizowany do wspólnego formatu incydentu — patrz Dla SOC. | Rekord incydentu z ID, timestamp, źródło | LIVE (parser + import) |
| 2. Zebranie evidence | Wszystkie artefakty (surowy wynik skanera, kontekst endpointu, notatka analityka) są pakowane w evidence-package z sumą kontrolną i chain-of-custody. | package_sha256 + manifest |
LIVE |
| 3. Przypisanie remediacji | Incydent jest przypisany do właściciela systemu z priorytetem i orientacyjnym terminem naprawy — śledzone jako zadanie, nie jako automatyczna naprawa. Patrz Remediacja. | Ticket remediacji ze statusem i właścicielem | LIVE (śledzenie statusu) |
| 4. Widoczność na tablicy | Status incydentu — od „nowy" po „w remediacji" — jest widoczny dla całego zespołu SOC i przełożonych na jednej tablicy. Patrz Response board. | Wpis na tablicy statusów z historią zmian | LIVE |
| 5. Retest | Po zgłoszeniu naprawy przez właściciela systemu, wynik ponownego skanu (lub potwierdzenie pentestera) jest importowany jako retest tego samego incydentu. | Powiązany rekord retestu + porównanie ze stanem wyjściowym | LIVE (retest linkage) |
| 6. Closed-with-evidence | Incydent zostaje zamknięty tylko wtedy, gdy retest potwierdza naprawę — z pełnym śladem dowodowym od alertu do zamknięcia. Wkład w zagregowany wskaźnik pokrycia — patrz Coverage score. | Status „closed" + kompletny łańcuch dowodowy | LIVE |
Poniższe liczby ilustrują wyłącznie kolejność i względne proporcje kroków w demonstracyjnym scenariuszu. Nie pochodzą z żadnego wdrożenia produkcyjnego i nie stanowią obietnicy czasu reakcji ani SLA.
Powiązane: strona wejściowa dla zespołów SOC → /landing-soc · śledzenie remediacji → /remediation · zagregowany wskaźnik pokrycia dowodowego → /coverage-score · tablica statusów incydentów → /response-board.