Konektory (§4.1) łączą Orchestrator ze źródłami dowodów: skanery podatności, DAST, SIEM, ticketing, threat-intel i platformy walidacji (BAS). Wynik zewnętrznego narzędzia staje się dowodem w warstwie Evidence — z hashem, źródłem i chain-of-custody. Konektor importuje ustalenia, nie uruchamia testu.
Konektor przyjmuje plik lub odbiera webhook/API z narzędzia, które już wykonało skan lub symulację po stronie klienta. K0NSULT normalizuje ten wynik do wspólnego modelu dowodu — nie inicjuje skanu, nie wysyła pakietów do celu, nie posiada exploitów. Każde źródło dostaje status pewności i ślad pochodzenia.
Zgodnie z §16 rozdzielamy to, co działa w kodzie, od projektu docelowego.
Realny ingest do PostgreSQL: /api/ip3/v1/imports/{burp,zap,nessus,qualys,csv,generic,re} → incydent + evidence (sha256, chain-of-custody), normalizacja severity P0–P3, enrichment offline KEV/CVSS, mapowanie MITRE ATT&CK. Import = MEDIA_SIGNAL (sygnał, nie dowód naprawy). Dowód: integracja na żywej bazie (Evidence Matrix).
Rodzina /api/ip3/* (read-only) obsługuje smoke test portalu. Zapis / właściwy ingest konektorów: ROADMAP.
Szkielet autoryzacji (klucz operatora / nagłówek) istnieje jako PoC. Pełny model per-konektor (OAuth, rotacja sekretów, scoping RoE): ROADMAP.
Minimalny zestaw pokrywający pętlę podatność → dowód → ticket. Statusy jawne w kolumnie „Status": import skanerów/DAST/RE = LIVE v1 (realny ingest do PostgreSQL, patrz Status Matrix); SIEM/CTI/ticketing/BAS = ROADMAP.
| Konektor | Klasa | Formaty / transport | Kierunek | Prio | Status |
|---|---|---|---|---|---|
| Nessus / Tenable | Vuln scan | CSV (text/csv) | import pliku | P0 | LIVE v1 /imports/nessus |
| Qualys VMDR | Vuln scan | CSV / XML | import pliku | P0 | LIVE v1 /imports/qualys (Fala1); pull API = ROADMAP |
| Burp Suite | DAST | XML | import pliku | P0 | LIVE v1 /imports/burp |
| OWASP ZAP | DAST | JSON / XML | import pliku | P0 | LIVE v1 /imports/zap |
| Reverse / malware (YARA/radare2) | RE / malware | YARA JSON, generic RE JSON | import pliku | P1 | LIVE v1 /imports/re |
| Generic CSV / JSON | uniwersalny | CSV, JSON | import pliku | P0 | LIVE v1 /imports/csv, /imports/generic |
| Splunk | SIEM | webhook, API | push webhook / pull | P0 | ROADMAP |
| Microsoft Sentinel | SIEM | Logic App, API | push / pull API | P0 | ROADMAP |
| Jira | Ticketing | REST | dwukierunkowo | P0 | ROADMAP |
| ServiceNow | Ticketing / ITSM | REST | dwukierunkowo | P0 | ROADMAP |
| OpenAPI import | Generic API | OpenAPI 3.x (JSON/YAML) | definicja źródła | P0 | ROADMAP |
| Generic CSV / JSON | Uniwersalny | CSV, JSON + kreator mapowania pól | import pliku | P0 | demo LIVE |
Threat-intel, BAS (Breach & Attack Simulation), automatyczna walidacja i integracja z pipeline dev. Wszystkie ROADMAP.
| Konektor | Klasa | Formaty / transport | Rola | Prio | Status |
|---|---|---|---|---|---|
| MISP | Threat intel | STIX, TAXII | IoC / feedy | P1 | ROADMAP |
| OpenCTI | Threat intel | GraphQL | korelacja zagrożeń | P1 | ROADMAP |
| SafeBreach / AttackIQ / Picus | BAS | API | walidacja kontroli | P1 | ROADMAP |
| Pentera / XM Cyber / NodeZero | Auto-pentest | API | ekspozycja / ścieżki ataku | P1 | ROADMAP |
| Dependency-Track | SCA / SBOM | SBOM (CycloneDX) | ryzyko komponentów | P1 | ROADMAP |
| GitHub / GitLab | SAST / DevSecOps | SARIF | ustalenia z CI | P1 | ROADMAP |
Static Analysis Results Interchange Format (OASIS). Ustalenia z narzędzi CI (GitHub/GitLab, linters, skanery). Mapowanie result → finding → evidence.
STIX — model obiektów zagrożeń (IoC, TTP). TAXII — transport feedów. Źródło korelacji dla incydentów w Truth Engine.
Definicja dowolnego API-źródła. Kreator mapuje pola odpowiedzi na model dowodu bez pisania konektora ad-hoc.
Uniwersalny fallback z kreatorem mapowania pól. Jedyna ścieżka z działającym demo dzisiaj.
Dla źródeł bez dedykowanego konektora: operator mapuje kolumny/pola wejścia na kanoniczny model dowodu. Poniżej szkielet przekształcenia (spec, nie kod produkcyjny).
WEJŚCIE (Generic JSON, przyklad demo) MODEL DOWODU (kanoniczny)
{ {
"host": "10.20.0.14", ──map──► "asset": "10.20.0.14",
"plugin": "CVE-2024-XXULT", ──map──► "finding_ref": "CVE-2024-XXULT",
"risk": "High", ──map──► "severity": "high",
"evidence": "banner grab...", ──map──► "proof_blob": "<hash SHA-256>",
"tool": "nessus" ──map──► "source": "nessus",
} "confidence": 0..100,
"chain": [import, ts, operator]
}
Wartości demonstracyjne — ilustrują format panelu, nie stan realnej integracji.