K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / cti

CTI / Threat Intel Connectors — szkielet wymiany (spec / MVP)

Specyfikacja i szkielet wymiany Cyber Threat Intelligence dla ipIII: import wskaźników (IoC) i feedów oraz eksport incydentu jako STIX bundle. Docelowe standardy: MISP, OpenCTI, STIX 2.1, TAXII 2.1. To dokument projektowy — konektory są na etapie ROADMAP, a warstwa mapowania jako MVP/PoC. Nic tu nie jest oznaczone jako LIVE, dopóki nie ma dowodu (kod + test + endpoint).

Status uczciwy. Ta strona opisuje zamierzoną integrację CTI, nie działający konektor. Standardy (STIX/TAXII) i platformy (MISP/OpenCTI) są dojrzałe i publiczne — natomiast wpięcie ich do ipIII jest szkieletem na etapie ROADMAP. Wymiana danych opisana poniżej to decision support dla zespołu blue/GRC, wyłącznie na danych syntetycznych i po ustaleniu Rules of Engagement. Zgodnie z doktryną claim ≤ proof: co nie ma dowodu, jest ROADMAP, nie funkcją.
Import IoC/feed → normalizacja → incydent → export STIX bundle.

Cel: aby ipIII przyjmował wskaźniki kompromitacji z zewnętrznych źródeł CTI (feed/kolekcja TAXII, eksport MISP), znormalizował je do wewnętrznego modelu i — po zamknięciu analizy — potrafił wyeksportować incydent z powrotem jako STIX 2.1 bundle do współdzielenia z partnerami. Wszystko wyłącznie defensywnie: to wymiana wiedzy o zagrożeniach dla obrony (blue/GRC), bez elementów ataku.

PRZEPŁYW (docelowy): źródło CTI (MISP / TAXII feed)import IoCnormalizacjaincydent ipIIIevidence-packageexport STIX bundle

Zakres i standardy

MISP ROADMAP

Malware Information Sharing Platform. Import atrybutów/eventów (IoC) oraz publikacja obserwacji. Wymiana przez PyMISP / REST API lub feed w formacie MISP JSON. Docelowo mapowanie MISP event → incydent ipIII.

OpenCTI ROADMAP

Platforma korelacji CTI oparta o model STIX. Wymiana przez GraphQL API / konektory STIX. Docelowo: pobranie obiektów (indicator, malware, threat-actor) i wzbogacenie kontekstu incydentu.

STIX 2.1 MVP mapping

Structured Threat Information Expression. Format serializacji obiektów CTI (indicator, observed-data, relationship). Warstwa mapowania incydent ↔ STIX jako PoC — patrz przykład bundle poniżej.

TAXII 2.1 ROADMAP

Trusted Automated eXchange of Intelligence Information. Protokół transportu STIX (API Root, Collections, poll/push). Docelowo klient TAXII do subskrypcji kolekcji i publikacji własnych obserwacji.

Kierunki wymiany

KierunekCoStandard / kanałZastosowanieStatus
Import (in) IoC: adresy IP, domeny, hashe plików, URL; feed / kolekcja MISP JSON / TAXII 2.1 poll / STIX 2.1 bundle Wzbogacenie incydentu o kontekst zagrożenia, korelacja findingów z wskaźnikami ROADMAP
Export (out) Incydent ipIII jako STIX bundle (indicator + observed-data + relationship) STIX 2.1 bundle / TAXII 2.1 push Współdzielenie obserwacji z partnerami / sektorowym CSIRT (po RoE) MVP mapping / PoC
Normalizacja Mapowanie pól źródłowych → wewnętrzny model IoC ipIII schemat wewnętrzny + walidacja Jednolity model niezależnie od źródła (MISP vs OpenCTI vs surowy STIX) ROADMAP

Legenda: ROADMAP = zaplanowane, brak działającego konektora · MVP mapping / PoC = szkielet mapowania na danych syntetycznych, bez integracji produkcyjnej.

Przykład: syntetyczny STIX 2.1 bundle (export incydentu)

Poniżej syntetyczny przykład tego, jak incydent ipIII mógłby zostać wyeksportowany jako STIX 2.1 bundle. Wartości (IP, hash, id) są zmyślone i służą wyłącznie ilustracji struktury. To nie są realne wskaźniki i nie opisują żadnego rzeczywistego zdarzenia.

{
  "type": "bundle",
  "id": "bundle--00000000-0000-4000-8000-000000000001",
  "objects": [
    {
      "type": "identity",
      "spec_version": "2.1",
      "id": "identity--00000000-0000-4000-8000-0000000000a1",
      "created": "2026-07-05T00:00:00.000Z",
      "modified": "2026-07-05T00:00:00.000Z",
      "name": "K0NSULT ipIII (syntetyczny nadawca)",
      "identity_class": "organization"
    },
    {
      "type": "indicator",
      "spec_version": "2.1",
      "id": "indicator--00000000-0000-4000-8000-0000000000b2",
      "created": "2026-07-05T00:00:00.000Z",
      "modified": "2026-07-05T00:00:00.000Z",
      "name": "Syntetyczny IoC: adres C2 (przyklad)",
      "description": "Dane syntetyczne — wylacznie ilustracja struktury STIX.",
      "indicator_types": ["malicious-activity"],
      "pattern": "[ipv4-addr:value = '203.0.113.10']",
      "pattern_type": "stix",
      "valid_from": "2026-07-05T00:00:00.000Z"
    },
    {
      "type": "observed-data",
      "spec_version": "2.1",
      "id": "observed-data--00000000-0000-4000-8000-0000000000c3",
      "created": "2026-07-05T00:00:00.000Z",
      "modified": "2026-07-05T00:00:00.000Z",
      "first_observed": "2026-07-05T00:00:00.000Z",
      "last_observed": "2026-07-05T00:00:00.000Z",
      "number_observed": 1,
      "object_refs": ["file--00000000-0000-4000-8000-0000000000d4"]
    },
    {
      "type": "file",
      "spec_version": "2.1",
      "id": "file--00000000-0000-4000-8000-0000000000d4",
      "hashes": {
        "SHA-256": "0000000000000000000000000000000000000000000000000000000000000000"
      },
      "name": "sample-artifact.bin (syntetyczny)"
    },
    {
      "type": "relationship",
      "spec_version": "2.1",
      "id": "relationship--00000000-0000-4000-8000-0000000000e5",
      "created": "2026-07-05T00:00:00.000Z",
      "modified": "2026-07-05T00:00:00.000Z",
      "relationship_type": "based-on",
      "source_ref": "indicator--00000000-0000-4000-8000-0000000000b2",
      "target_ref": "observed-data--00000000-0000-4000-8000-0000000000c3"
    }
  ]
}
Dlaczego bundle, a nie payload. Eksport dotyczy wiedzy o zagrożeniu (wskaźniki, obserwacje, relacje), a nie kodu ataku. Zgodnie z zasadą defensywną ipIII nie generuje ani nie dystrybuuje payloadów, exploitów ani instrukcji ataku — STIX bundle opisuje co zaobserwowano, żeby obrońca mógł wykryć i zablokować.

Import IoC / feed — model docelowy

1. Źródło. Kolekcja TAXII 2.1, feed MISP JSON lub ręczny upload STIX 2.1 bundle. Uwierzytelnianie i zakres per źródło.
2. Import. Pobranie obiektów (indicator, observed-data, file, relationship) i walidacja względem schematu STIX 2.1.
3. Normalizacja. Mapowanie do wewnętrznego modelu IoC ipIII (typ, wartość, źródło, ważność, TLP).
4. Korelacja. Dopasowanie do istniejących findingów / incydentów jako wsparcie decyzji analityka.
5. Export. Po zamknięciu analizy — złożenie incydentu z powrotem w STIX bundle do współdzielenia (po RoE).

Wszystkie kroki na etapie ROADMAP; dziś istnieje jedynie szkielet mapowania (przykład powyżej) jako PoC.

Podsumowanie statusu

4
Standardy w zakresie
MISP · OpenCTI · STIX 2.1 · TAXII 2.1
1
MVP mapping / PoC
export incydent → STIX bundle (syntetyczny)
0
Konektory LIVE
import/export produkcyjny = ROADMAP
100%
Dane syntetyczne
zero realnych IoC na tej stronie
Granica etyczna i prawna. CTI w ipIII służy wyłącznie obronie i zgodności (GRC/blue): wymiana wiedzy o zagrożeniach, wykrywanie i blokowanie. Bez payloadów, exploitacji i hack-back. Wszystkie przykłady są syntetyczne; jakiekolwiek działania o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement. Mapowania obowiązków / terminów to decision support, nie porada prawna.

Powiązane: rejestr konektorów → /connectors · warstwa threat intel → /threat-intel · znane ograniczenia (uczciwie) → /known-limitations.