Cztery gotowe skrypty prowadzenia pokazu Evidence & Resilience Orchestrator: od 5-minutowego „hello, hash" po 5-dniowy pilot. Każdy skrypt mówi wprost: co pokazać, które strony/endpointy uruchomić i jaki dowód zostaje po scenariuszu. Wszystko na danych syntetycznych; dane realne dopiero po pisemnych Rules of Engagement (RoE) i NDA/DPA.
Demo nie „opowiada", że coś działa — pokazuje artefakt i jego skrót. Po każdym scenariuszu zostaje weryfikowalny dowód:
pakiet dowodowy z package_sha256, który widz może sam sprawdzić w przeglądarce (/verify, Web Crypto, lokalnie).
| Scenariusz | Odbiorca | Główny artefakt-dowód | Dane |
|---|---|---|---|
| 1 · 5-min demo | każdy (icebreaker, konferencja) | evidence-package PDF + package_sha256 zweryfikowany w /verify | syntetyczne |
| 2 · 30-min demo | CISO / zespół SOC / GRC | Board Pack + legal-triggers z zegarami + coverage KPI | syntetyczne |
| 3 · 2h workshop | zespół red/blue + compliance | engagement report-package (timeline+hash) + MITRE TTP + reverse-findings | syntetyczne |
| 4 · 5-day pilot | bank / instytucja (decydent) | evidence-first case na danych klienta + raport feedback | zanonimizowane po RoE/NDA/DPA |
Cel: w 5 minut pokazać pętlę surowy raport pentestera → znormalizowany incydent → pobieralny pakiet dowodowy → skrót, który widz sam weryfikuje. Zero slajdów — same artefakty.
import-burp-demo.xml (albo import-nessus-demo.csv). To wejście syntetyczne, jawnie oznaczone jako demo.POST /api/ip3/v1/imports/burp. Pokaż, że powstaje incydent z findings i evidence (sha256 + chain-of-custody). Podkreśl regułę: import = MEDIA_SIGNAL, nie dowód naprawy.GET /api/ip3/v1/reports/evidence-package/:id?format=pdf. Otwórz realny PDF (manifest + ślad audytowy + package_sha256).?format=json) i przeklej ją do /verify. Przeglądarka policzy SHA-256 lokalnie (Web Crypto) i porówna z zadeklarowanym skrótem. Zielony werdykt = integralność potwierdzona bez zaufania do serwera.| Krok | Strona / endpoint | Status |
|---|---|---|
| Sample pack | /samples → import-burp-demo.xml | LIVE |
| Import | POST /api/ip3/v1/imports/burp (lub /nessus, /zap, /csv) | LIVE v1 |
| Pakiet dowodowy | GET /api/ip3/v1/reports/evidence-package/:id?format=pdf|json | LIVE v1 |
| Weryfikacja | /verify (SHA-256 lokalnie, zero uploadu) | LIVE |
evidence-package (PDF+JSON) z package_sha256, który każdy uczestnik może niezależnie przeliczyć w /verify na własnym urządzeniu. Dowód integralności treści — nie autentyczności prawnej (podpis PAdES/PQC = ROADMAP).Cel: dla CISO / SOC / GRC — pokazać nie tylko import, ale domknięcie cyklu z dowodem naprawy oraz warstwę decyzyjną: obowiązki prawne z zegarami, KPI pokrycia dowodowego i Board Pack dla zarządu.
POST /api/ip3/v1/imports/*. Incydent w stanie otwartym.POST /api/ip3/v1/incidents/:id/close zwróci 422 (brak CONFIRMED). To celowa bariera — nie da się „odhaczyć" naprawy bez dowodu (audyt F4: PATCH-bypass zamknięty).POST /api/ip3/v1/incidents/:id/evidence), potem close przechodzi. Pobierz evidence-package ponownie: inny package_sha256 — pakiet realnie odzwierciedla zmianę stanu.GET /api/ip3/v1/incidents/:id/legal-triggers: mapowanie zdarzenia na DORA art.19 / NIS2 (24h/72h) / RODO art.33-34 / AI Act art.73 z zegarami (deadline ISO liczony od created_at) i draftem powiadomienia. Doktryna DECISION-SUPPORT — wsparcie decyzji, nie porada prawna; terminy orientacyjne.GET /api/ip3/v1/incidents/:id/coverage: procent pokrycia dowodowego incydentu po wymiarach. Podkreśl doktrynę zaszytą w odpowiedzi: to KPI pokrycia dowodowego, NIE ocena bezpieczeństwa ani gotowości produkcyjnej.package_sha256 + ślad audytowy) jako artefakt „na zarząd". Zakończ weryfikacją hasha w /verify.| Element | Endpoint | Status |
|---|---|---|
| Import | POST /api/ip3/v1/imports/{burp|zap|nessus|qualys|csv|generic} | LIVE v1 |
| Dowód retestu | POST /api/ip3/v1/incidents/:id/evidence | LIVE v1 |
| Zamknięcie z dowodem | POST /api/ip3/v1/incidents/:id/close (422 bez CONFIRMED) | LIVE v1 |
| Terminy prawne | GET /api/ip3/v1/incidents/:id/legal-triggers | LIVE MVP |
| Pokrycie dowodowe | GET /api/ip3/v1/incidents/:id/coverage | LIVE v1 |
| Board Pack + weryfikacja | GET .../reports/evidence-package/:id → /verify | LIVE v1 |
package_sha256 — namacalny dowód, że close-with-evidence realnie zmienił stan; odpowiedź legal-triggers z zegarami ISO; wartość coverage-KPI z jawną notą doktrynalną. Terminy prawne = DECISION-SUPPORT, nie porada prawna.Cel: warsztat dla zespołu red/blue + compliance. Pełny cykl z S2 rozszerzony o engagement DORA/TIBER (white-team-log → evidence-register → final-report → report-package), mapowanie MITRE ATT&CK TTP oraz import findings z reverse engineering / analizy malware (defensywnie, po RoE).
POST /api/ip3/v1/engagements) ze scope / crown-jewels / RoE. Dokładaj wpisy white-team-log (/log) i evidence-register. Wygeneruj final-report (/final-report) — wymaga rejestru dowodów (raport końcowy ≤ rejestr; claim ≤ proof).GET /api/ip3/v1/incidents/:id/ttp — mapowanie incydentu na techniki ATT&CK (biblioteka offline). Pokaż, jak finding łączy się z taktyką/techniką.POST /api/ip3/v1/imports/re (typy: malware, ioc, yara-match, reverse-engineering, unpacked-artifact). Wyłącznie defensywnie i po RoE — zero payloadów, zero instrukcji ofensywnych. Zobacz /reverse.GET /api/ip3/v1/engagements/:id/report-package — raport TLPT: engagement + timeline zdarzeń + evidence-register + final-report + manifest + package_sha256 (JSON i realny PDF). Weryfikacja skrótu w /verify.| Blok | Endpoint / strona | Status |
|---|---|---|
| Engagement | POST /api/ip3/v1/engagements, /log, /final-report | LIVE MVP |
| Report-package TLPT | GET /api/ip3/v1/engagements/:id/report-package?format=json|pdf | LIVE MVP |
| MITRE ATT&CK TTP | GET /api/ip3/v1/incidents/:id/ttp · threat-intel | LIVE v1 |
| Reverse / malware findings | POST /api/ip3/v1/imports/re · /reverse | LIVE v1 |
| Kontekst DORA/TIBER | /dora-tiber, RoE / engagement | LIVE |
| Orkiestracja wieloetapowa, workflow zatwierdzeń | (mapowanie na obowiązki DORA, podpisany eksport) | ROADMAP |
package_sha256, mapowania MITRE TTP dla incydentów, zestaw reverse-findings znormalizowanych do modelu incydentu. Uwaga: część orkiestracji (SLA, workflow zatwierdzeń, podpisany eksport) to ROADMAP — patrz roadmap-dev.Cel: dla decydenta w banku/instytucji — od dokumentów po evidence-first case na realnych, ale zanonimizowanych danych i raport feedback. To jedyny scenariusz dotykający danych klienta; warunkiem wejścia są podpisane RoE + NDA + DPA.
| Faza | Strona / endpoint | Status |
|---|---|---|
| Dokumenty | RoE / engagement, roe-template, Trust Center | LIVE |
| Import danych zanonimizowanych | POST /api/ip3/v1/imports/* (dostęp v1 na zaproszenie) | LIVE v1 |
| Cykl evidence-first | endpointy z S2/S3 (close, legal-triggers, coverage, ttp, report-package) | LIVE v1/MVP |
| Kontekst dla banku | /bank, ograniczenia | LIVE |
| Multi-tenant izolacja dla realnego wdrożenia | (RLS PostgreSQL, tenant scoping) | ROADMAP |
| # | Scenariusz | Kluczowe endpointy | Artefakt-dowód | Status funkcji |
|---|---|---|---|---|
| 1 | 5-min demo | imports/* · reports/evidence-package · /verify | evidence-package PDF/JSON + zweryfikowany package_sha256 | LIVE v1 |
| 2 | 30-min demo | + close · legal-triggers · coverage | Board Pack + zegary ISO + coverage KPI (2 hashe przed/po) | LIVE v1/MVP |
| 3 | 2h workshop | + engagements/* · ttp · imports/re | report-package TLPT (timeline+hash), MITRE TTP, reverse-findings | LIVE v1/MVP + ROADMAP |
| 4 | 5-day pilot | cały cykl na danych klienta (dostęp v1 na zaproszenie) | evidence-first case + raport feedback (LIVE vs ROADMAP) | wymaga RoE/NDA/DPA |