K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / connectors

K0-Connectors — warstwa importu dowodów ROADMAP

Konektory (§4.1) łączą Orchestrator ze źródłami dowodów: skanery podatności, DAST, SIEM, ticketing, threat-intel i platformy walidacji (BAS). Wynik zewnętrznego narzędzia staje się dowodem w warstwie Evidence — z hashem, źródłem i chain-of-custody. Konektor importuje ustalenia, nie uruchamia testu.

Status mieszany — część konektorów LIVE v1, część ROADMAP. Zgodnie z regułą §16: bez kodu + testu + endpointu = nie LIVE. Import skanerów/DAST/RE działa produkcyjnie (Burp/ZAP/Nessus/Qualys/generic/YARA → PostgreSQL, LIVE v1, patrz Status Matrix i Evidence Matrix). Konektory push/pull do SIEM/CTI/ticketing/BAS = ROADMAP. Granica działania: system nie wykonuje nieautoryzowanych testów, eksploitacji ani hack-back poza pisemnym RoE. Zero payloadów. Import wyniku ≠ wykonanie testu.
Import ustaleń, nie wykonanie testu.

Konektor przyjmuje plik lub odbiera webhook/API z narzędzia, które już wykonało skan lub symulację po stronie klienta. K0NSULT normalizuje ten wynik do wspólnego modelu dowodu — nie inicjuje skanu, nie wysyła pakietów do celu, nie posiada exploitów. Każde źródło dostaje status pewności i ślad pochodzenia.

ŚCIEŻKA: NARZĘDZIE KLIENTAEKSPORT / WEBHOOKKONEKTORNORMALIZEEVIDENCETRUTH ENGINE

Co jest LIVE dzisiaj

Zgodnie z §16 rozdzielamy to, co działa w kodzie, od projektu docelowego.

Import skanerów/DAST/RE → DB LIVE v1

Realny ingest do PostgreSQL: /api/ip3/v1/imports/{burp,zap,nessus,qualys,csv,generic,re} → incydent + evidence (sha256, chain-of-custody), normalizacja severity P0–P3, enrichment offline KEV/CVSS, mapowanie MITRE ATT&CK. Import = MEDIA_SIGNAL (sygnał, nie dowód naprawy). Dowód: integracja na żywej bazie (Evidence Matrix).

→ przykłady curl (/dev) · sample pack

Endpoint odczytu ip3 LIVE

Rodzina /api/ip3/* (read-only) obsługuje smoke test portalu. Zapis / właściwy ingest konektorów: ROADMAP.

→ /api/ip3/health

PoC auth-skeleton LIVE

Szkielet autoryzacji (klucz operatora / nagłówek) istnieje jako PoC. Pełny model per-konektor (OAuth, rotacja sekretów, scoping RoE): ROADMAP.

→ dokumentacja API

Konektory P0 — status wdrożenia

Minimalny zestaw pokrywający pętlę podatność → dowód → ticket. Statusy jawne w kolumnie „Status": import skanerów/DAST/RE = LIVE v1 (realny ingest do PostgreSQL, patrz Status Matrix); SIEM/CTI/ticketing/BAS = ROADMAP.

KonektorKlasaFormaty / transportKierunekPrioStatus
Nessus / TenableVuln scanCSV (text/csv)import plikuP0LIVE v1 /imports/nessus
Qualys VMDRVuln scanCSV / XMLimport plikuP0LIVE v1 /imports/qualys (Fala1); pull API = ROADMAP
Burp SuiteDASTXMLimport plikuP0LIVE v1 /imports/burp
OWASP ZAPDASTJSON / XMLimport plikuP0LIVE v1 /imports/zap
Reverse / malware (YARA/radare2)RE / malwareYARA JSON, generic RE JSONimport plikuP1LIVE v1 /imports/re
Generic CSV / JSONuniwersalnyCSV, JSONimport plikuP0LIVE v1 /imports/csv, /imports/generic
SplunkSIEMwebhook, APIpush webhook / pullP0ROADMAP
Microsoft SentinelSIEMLogic App, APIpush / pull APIP0ROADMAP
JiraTicketingRESTdwukierunkowoP0ROADMAP
ServiceNowTicketing / ITSMRESTdwukierunkowoP0ROADMAP
OpenAPI importGeneric APIOpenAPI 3.x (JSON/YAML)definicja źródłaP0ROADMAP
Generic CSV / JSONUniwersalnyCSV, JSON + kreator mapowania pólimport plikuP0demo LIVE

Konektory P1 — rozszerzenie ROADMAP

Threat-intel, BAS (Breach & Attack Simulation), automatyczna walidacja i integracja z pipeline dev. Wszystkie ROADMAP.

KonektorKlasaFormaty / transportRolaPrioStatus
MISPThreat intelSTIX, TAXIIIoC / feedyP1ROADMAP
OpenCTIThreat intelGraphQLkorelacja zagrożeńP1ROADMAP
SafeBreach / AttackIQ / PicusBASAPIwalidacja kontroliP1ROADMAP
Pentera / XM Cyber / NodeZeroAuto-pentestAPIekspozycja / ścieżki atakuP1ROADMAP
Dependency-TrackSCA / SBOMSBOM (CycloneDX)ryzyko komponentówP1ROADMAP
GitHub / GitLabSAST / DevSecOpsSARIFustalenia z CIP1ROADMAP

Formaty wymiany — standardy docelowe

SARIF SAST/DAST

Static Analysis Results Interchange Format (OASIS). Ustalenia z narzędzi CI (GitHub/GitLab, linters, skanery). Mapowanie result → finding → evidence.

STIX / TAXII intel

STIX — model obiektów zagrożeń (IoC, TTP). TAXII — transport feedów. Źródło korelacji dla incydentów w Truth Engine.

OpenAPI 3.x generic

Definicja dowolnego API-źródła. Kreator mapuje pola odpowiedzi na model dowodu bez pisania konektora ad-hoc.

Generic CSV / JSON demo

Uniwersalny fallback z kreatorem mapowania pól. Jedyna ścieżka z działającym demo dzisiaj.

Kreator mapowania pól (Generic) ROADMAP

Dla źródeł bez dedykowanego konektora: operator mapuje kolumny/pola wejścia na kanoniczny model dowodu. Poniżej szkielet przekształcenia (spec, nie kod produkcyjny).

WEJŚCIE (Generic JSON, przyklad demo)         MODEL DOWODU (kanoniczny)
{                                             {
  "host":     "10.20.0.14",         ──map──►    "asset":       "10.20.0.14",
  "plugin":   "CVE-2024-XXULT",     ──map──►    "finding_ref": "CVE-2024-XXULT",
  "risk":     "High",               ──map──►    "severity":    "high",
  "evidence": "banner grab...",     ──map──►    "proof_blob":  "<hash SHA-256>",
  "tool":     "nessus"              ──map──►    "source":      "nessus",
}                                               "confidence":  0..100,
                                                "chain":       [import, ts, operator]
                                              }
Krok 1 — Źródło. Wybór konektora lub upload pliku. RoE i zakres autoryzacji sprawdzane przed przyjęciem.
Krok 2 — Mapowanie. Pola wejścia → pola modelu dowodu. Kreator zapisuje profil mapowania do ponownego użycia.
Krok 3 — Normalize. Wynik trafia do warstwy Normalize: dedup, hash, severity, znacznik czasu, chain-of-custody.
Krok 4 — Evidence. Ustalenie zapisane jako dowód z poziomem pewności. Truth Engine decyduje o statusie incydentu.

Metryki warstwy SYMULACJA

Wartości demonstracyjne — ilustrują format panelu, nie stan realnej integracji.

10
Konektory P0 w planie
1 z działającym demo
6
Konektory P1 w planie
intel + BAS + SCA
4
Standardy wymiany
SARIF · STIX/TAXII · OpenAPI · Generic
1
Ścieżka LIVE dzisiaj
Generic JSON demo (read-path)
Zasada konektorów. Import ≠ wykonanie testu. K0NSULT nie posiada exploitów, nie wysyła pakietów do celu, nie inicjuje skanu ani symulacji ataku. Przyjmuje wyłącznie wyniki narzędzi uruchomionych przez klienta w jego środowisku i w ramach pisemnego RoE. Bez RoE — brak przyjęcia źródła.
Przypomnienie §16. Ta strona to specyfikacja referencyjna architektury docelowej. Statusy ROADMAP oznaczają brak produkcyjnej implementacji (brak kodu + testu + endpointu). Jedyne elementy LIVE: read-path /api/ip3/*, demo Generic JSON i PoC auth-skeleton. Nie interpretować listy konektorów jako gotowych integracji.