K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / demo-scenariusze

Scenariusze demo — skrypty pokazu orchestratora

Cztery gotowe skrypty prowadzenia pokazu Evidence & Resilience Orchestrator: od 5-minutowego „hello, hash" po 5-dniowy pilot. Każdy skrypt mówi wprost: co pokazać, które strony/endpointy uruchomić i jaki dowód zostaje po scenariuszu. Wszystko na danych syntetycznych; dane realne dopiero po pisemnych Rules of Engagement (RoE) i NDA/DPA.

Zasady pokazu. Dane syntetyczne / po RoE. Każdy scenariusz na tej stronie prowadzimy na danych syntetycznych z sample packa lub na danych klienta zanonimizowanych po pisemnych RoE + NDA/DPA. Orchestrator jest narzędziem obrony i zgodności (GRC/blue): nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back, zero payloadów i technik ofensywnych. To skrypty pokazu istniejących funkcji — nie deklaracja gotowości. Aktualny status każdego elementu: status-matrix. Kanon liczb testowych (ile testów, na czym): roadmap-dev → Evidence Matrix — tej strony nie dubluje.
Cztery skrypty. Jedna reguła: claim ≤ proof.

Demo nie „opowiada", że coś działa — pokazuje artefakt i jego skrót. Po każdym scenariuszu zostaje weryfikowalny dowód: pakiet dowodowy z package_sha256, który widz może sam sprawdzić w przeglądarce (/verify, Web Crypto, lokalnie).

ŚCIEŻKA: 5 min30 min2h workshop5-day pilot (RoE/NDA/DPA)

Przegląd scenariuszy

5 min
Import → pakiet → hash
1 osoba, laptop, sample pack
30 min
Pełny cykl + Board Pack
retest→close, terminy prawne
2h
Workshop DORA/TIBER
engagement, MITRE TTP, reverse
5 dni
Pilot (case realny)
RoE/NDA/DPA · dane zanonimizowane
ScenariuszOdbiorcaGłówny artefakt-dowódDane
1 · 5-min demokażdy (icebreaker, konferencja)evidence-package PDF + package_sha256 zweryfikowany w /verifysyntetyczne
2 · 30-min demoCISO / zespół SOC / GRCBoard Pack + legal-triggers z zegarami + coverage KPIsyntetyczne
3 · 2h workshopzespół red/blue + complianceengagement report-package (timeline+hash) + MITRE TTP + reverse-findingssyntetyczne
4 · 5-day pilotbank / instytucja (decydent)evidence-first case na danych klienta + raport feedbackzanonimizowane po RoE/NDA/DPA

Scenariusz 1 — 5-min demo na funkcjach LIVE v1

Cel: w 5 minut pokazać pętlę surowy raport pentestera → znormalizowany incydent → pobieralny pakiet dowodowy → skrót, który widz sam weryfikuje. Zero slajdów — same artefakty.

PĘTLA:import raportuincydent + evidenceevidence-package (PDF)hash w /verify

Co pokazać (skrypt, ~5 min)

  1. 0:00 — otwórz /samples, pobierz import-burp-demo.xml (albo import-nessus-demo.csv). To wejście syntetyczne, jawnie oznaczone jako demo.
  2. 0:30 — zaimportuj raport: POST /api/ip3/v1/imports/burp. Pokaż, że powstaje incydent z findings i evidence (sha256 + chain-of-custody). Podkreśl regułę: import = MEDIA_SIGNAL, nie dowód naprawy.
  3. 2:00 — pobierz pakiet: GET /api/ip3/v1/reports/evidence-package/:id?format=pdf. Otwórz realny PDF (manifest + ślad audytowy + package_sha256).
  4. 3:30 — pobierz też wersję JSON (?format=json) i przeklej ją do /verify. Przeglądarka policzy SHA-256 lokalnie (Web Crypto) i porówna z zadeklarowanym skrótem. Zielony werdykt = integralność potwierdzona bez zaufania do serwera.
  5. 4:30 — puenta: „to nie jest slajd o dowodzie, to jest dowód". Reguła claim ≤ proof.

Które strony / endpointy

KrokStrona / endpointStatus
Sample pack/samplesimport-burp-demo.xmlLIVE
ImportPOST /api/ip3/v1/imports/burp (lub /nessus, /zap, /csv)LIVE v1
Pakiet dowodowyGET /api/ip3/v1/reports/evidence-package/:id?format=pdf|jsonLIVE v1
Weryfikacja/verify (SHA-256 lokalnie, zero uploadu)LIVE
Jaki dowód zostaje: pobrany evidence-package (PDF+JSON) z package_sha256, który każdy uczestnik może niezależnie przeliczyć w /verify na własnym urządzeniu. Dowód integralności treści — nie autentyczności prawnej (podpis PAdES/PQC = ROADMAP).

Scenariusz 2 — 30-min demo na funkcjach LIVE v1

Cel: dla CISO / SOC / GRC — pokazać nie tylko import, ale domknięcie cyklu z dowodem naprawy oraz warstwę decyzyjną: obowiązki prawne z zegarami, KPI pokrycia dowodowego i Board Pack dla zarządu.

CYKL:importretest → CONFIRMED → closelegal-triggers + zegarycoverage KPIBoard Pack

Co pokazać (skrypt, ~30 min)

  1. Import (jak w S1)POST /api/ip3/v1/imports/*. Incydent w stanie otwartym.
  2. Reguła close-with-evidence — spróbuj zamknąć incydent bez dowodu naprawy: POST /api/ip3/v1/incidents/:id/close zwróci 422 (brak CONFIRMED). To celowa bariera — nie da się „odhaczyć" naprawy bez dowodu (audyt F4: PATCH-bypass zamknięty).
  3. Retest → CONFIRMED — dodaj dowód retestu (POST /api/ip3/v1/incidents/:id/evidence), potem close przechodzi. Pobierz evidence-package ponownie: inny package_sha256 — pakiet realnie odzwierciedla zmianę stanu.
  4. Legal Trigger EngineGET /api/ip3/v1/incidents/:id/legal-triggers: mapowanie zdarzenia na DORA art.19 / NIS2 (24h/72h) / RODO art.33-34 / AI Act art.73 z zegarami (deadline ISO liczony od created_at) i draftem powiadomienia. Doktryna DECISION-SUPPORT — wsparcie decyzji, nie porada prawna; terminy orientacyjne.
  5. Coverage KPIGET /api/ip3/v1/incidents/:id/coverage: procent pokrycia dowodowego incydentu po wymiarach. Podkreśl doktrynę zaszytą w odpowiedzi: to KPI pokrycia dowodowego, NIE ocena bezpieczeństwa ani gotowości produkcyjnej.
  6. Board Pack — evidence-package PDF/JSON (manifest + package_sha256 + ślad audytowy) jako artefakt „na zarząd". Zakończ weryfikacją hasha w /verify.

Które strony / endpointy

ElementEndpointStatus
ImportPOST /api/ip3/v1/imports/{burp|zap|nessus|qualys|csv|generic}LIVE v1
Dowód retestuPOST /api/ip3/v1/incidents/:id/evidenceLIVE v1
Zamknięcie z dowodemPOST /api/ip3/v1/incidents/:id/close (422 bez CONFIRMED)LIVE v1
Terminy prawneGET /api/ip3/v1/incidents/:id/legal-triggersLIVE MVP
Pokrycie dowodoweGET /api/ip3/v1/incidents/:id/coverageLIVE v1
Board Pack + weryfikacjaGET .../reports/evidence-package/:id/verifyLIVE v1
Jaki dowód zostaje: dwie wersje evidence-package (przed i po retescie) z różnymi package_sha256 — namacalny dowód, że close-with-evidence realnie zmienił stan; odpowiedź legal-triggers z zegarami ISO; wartość coverage-KPI z jawną notą doktrynalną. Terminy prawne = DECISION-SUPPORT, nie porada prawna.

Scenariusz 3 — 2h workshop część LIVE v1/MVP, część ROADMAP

Cel: warsztat dla zespołu red/blue + compliance. Pełny cykl z S2 rozszerzony o engagement DORA/TIBER (white-team-log → evidence-register → final-report → report-package), mapowanie MITRE ATT&CK TTP oraz import findings z reverse engineering / analizy malware (defensywnie, po RoE).

WARSZTAT:engagement (scope/RoE)import + retest→closeMITRE TTPreverse findingsfinal-reportreport-package (timeline+hash)

Co pokazać (skrypt, ~2h)

  1. Blok A — pełny cykl (jak S2): import → close-with-evidence → legal-triggers → coverage → Board Pack. Uczestnicy robią to sami na sample packu.
  2. Blok B — DORA/TIBER engagement: załóż engagement (POST /api/ip3/v1/engagements) ze scope / crown-jewels / RoE. Dokładaj wpisy white-team-log (/log) i evidence-register. Wygeneruj final-report (/final-report) — wymaga rejestru dowodów (raport końcowy ≤ rejestr; claim ≤ proof).
  3. Blok C — MITRE ATT&CK: GET /api/ip3/v1/incidents/:id/ttp — mapowanie incydentu na techniki ATT&CK (biblioteka offline). Pokaż, jak finding łączy się z taktyką/techniką.
  4. Blok D — reverse engineering: import findings z analizy malware/reverse: POST /api/ip3/v1/imports/re (typy: malware, ioc, yara-match, reverse-engineering, unpacked-artifact). Wyłącznie defensywnie i po RoE — zero payloadów, zero instrukcji ofensywnych. Zobacz /reverse.
  5. Domknięcie: GET /api/ip3/v1/engagements/:id/report-package — raport TLPT: engagement + timeline zdarzeń + evidence-register + final-report + manifest + package_sha256 (JSON i realny PDF). Weryfikacja skrótu w /verify.

Które strony / endpointy

BlokEndpoint / stronaStatus
EngagementPOST /api/ip3/v1/engagements, /log, /final-reportLIVE MVP
Report-package TLPTGET /api/ip3/v1/engagements/:id/report-package?format=json|pdfLIVE MVP
MITRE ATT&CK TTPGET /api/ip3/v1/incidents/:id/ttp · threat-intelLIVE v1
Reverse / malware findingsPOST /api/ip3/v1/imports/re · /reverseLIVE v1
Kontekst DORA/TIBER/dora-tiber, RoE / engagementLIVE
Orkiestracja wieloetapowa, workflow zatwierdzeń(mapowanie na obowiązki DORA, podpisany eksport)ROADMAP
Jaki dowód zostaje: engagement report-package (JSON/PDF) z pełnym timeline i package_sha256, mapowania MITRE TTP dla incydentów, zestaw reverse-findings znormalizowanych do modelu incydentu. Uwaga: część orkiestracji (SLA, workflow zatwierdzeń, podpisany eksport) to ROADMAP — patrz roadmap-dev.

Scenariusz 4 — 5-day pilot wymaga RoE/NDA/DPA

Cel: dla decydenta w banku/instytucji — od dokumentów po evidence-first case na realnych, ale zanonimizowanych danych i raport feedback. To jedyny scenariusz dotykający danych klienta; warunkiem wejścia są podpisane RoE + NDA + DPA.

PILOT:RoE / NDA / DPAdane zanonimizowaneevidence-first case (S1–S3)raport feedback

Przebieg (5 dni roboczych)

  1. Dzień 1 — ramy prawne i zakres. Podpisanie Rules of Engagement + NDA + DPA. Ustalenie scope, crown-jewels, kanałów, ról (white-team). Bez tego pilot nie startuje. Szablon: roe-template.
  2. Dzień 2 — dane. Klient dostarcza zanonimizowane raporty (Burp/ZAP/Nessus/Qualys/CSV) lub dane nieprodukcyjne zgodnie z DPA. Import przez konektory v1. Zasady danych: Trust Center.
  3. Dzień 3 — evidence-first case. Pełny cykl na danych klienta: import → retest → close-with-evidence → legal-triggers (zegary) → coverage KPI → Board Pack. Opcjonalnie engagement DORA/TIBER + MITRE TTP (jak S3).
  4. Dzień 4 — weryfikacja i pakiet. Generacja evidence-package / report-package, samodzielna weryfikacja skrótów przez zespół klienta w /verify. Zestawienie ze status-matrix: co LIVE, co ROADMAP dla ich kontekstu.
  5. Dzień 5 — raport feedback. Podsumowanie: pokrycie dowodowe, luki (GAP), rekomendacje, lista „awansów" demo→LIVE dla środowiska klienta. Jawne rozdzielenie tego, co dostarczone, od tego, co pozostaje ROADMAP.

Które strony / endpointy

FazaStrona / endpointStatus
DokumentyRoE / engagement, roe-template, Trust CenterLIVE
Import danych zanonimizowanychPOST /api/ip3/v1/imports/* (dostęp v1 na zaproszenie)LIVE v1
Cykl evidence-firstendpointy z S2/S3 (close, legal-triggers, coverage, ttp, report-package)LIVE v1/MVP
Kontekst dla banku/bank, ograniczeniaLIVE
Multi-tenant izolacja dla realnego wdrożenia(RLS PostgreSQL, tenant scoping)ROADMAP
Jaki dowód zostaje: evidence-first case na danych klienta (zanonimizowanych) z weryfikowalnymi pakietami dowodowymi + raport feedback rozdzielający dostarczone (LIVE) od ROADMAP. Warunek wejścia: podpisane RoE + NDA + DPA. Dane realne nie są przetwarzane bez tych dokumentów; domyślnie zakładamy dane nieprodukcyjne, chyba że strony ustaliły inaczej w NDA/DPA.

Mapowanie scenariusz → dowód (podsumowanie)

#ScenariuszKluczowe endpointyArtefakt-dowódStatus funkcji
15-min demoimports/* · reports/evidence-package · /verifyevidence-package PDF/JSON + zweryfikowany package_sha256LIVE v1
230-min demo+ close · legal-triggers · coverageBoard Pack + zegary ISO + coverage KPI (2 hashe przed/po)LIVE v1/MVP
32h workshop+ engagements/* · ttp · imports/rereport-package TLPT (timeline+hash), MITRE TTP, reverse-findingsLIVE v1/MVP + ROADMAP
45-day pilotcały cykl na danych klienta (dostęp v1 na zaproszenie)evidence-first case + raport feedback (LIVE vs ROADMAP)wymaga RoE/NDA/DPA
Zasada pokazu. Demo nie zastępuje statusu. Każdy scenariusz uruchamia wyłącznie funkcje realnie istniejące; elementy oznaczone ROADMAP pokazujemy jako specyfikację, nie jako działanie. Liczby testów podaje wyłącznie Evidence Matrix, a aktualny status komponentów — status-matrix. Reguła nadrzędna: claim ≤ proof — bez kodu + testu + endpointu nie mówimy „LIVE".
Granica etyczna i prawna. Scenariusze prowadzimy na danych syntetycznych lub — w pilocie — zanonimizowanych po pisemnych Rules of Engagement + NDA/DPA. Orchestrator jest narzędziem obrony i zgodności (GRC/blue); nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Import findings (w tym reverse/malware) służy wyłącznie normalizacji i dowodowaniu — ta strona nie zawiera payloadów ani instrukcji ofensywnych.