K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / landing / soc

Dla SOC: z alertu robimy evidence, nie tylko ticket

Zespół detekcji generuje setki alertów dziennie. Problem nie jest brak sygnału — jest brak ciągłości dowodowej od alertu do zamknięcia: kto go widział, co z nim zrobiono, jaki dowód potwierdza naprawę. ipIII normalizuje sygnały wejściowe, wiąże je z incydentem, buduje chain-of-custody i prowadzi przez remediację aż do zamknięcia z dowodem retestu. To dziś działający szkielet MVP na żywej PostgreSQL — nie obietnica.

Alert → evidence → incydent → remediacja → dowód zamknięcia.

Jedna oś dla zespołu detekcji: sygnał wejściowy (skaner, CTI, w przyszłości SIEM) jest normalizowany do wspólnego formatu findingu z hashem źródła, następnie wiązany z incydentem, a każde działanie — otwarcie, przypisanie, retest, zamknięcie — zostawia zapis w audit-logu. Nic nie znika w skrzynce mailowej analityka.

skaner / CTI / pliknormalizacja + hashincydentevidence-packageremediacjaclose z dowodem
Uczciwie o statusie. Import findings z plików skanerów (parsery Burp/ZAP/Nessus/CSV), evidence-package z chain-of-custody, workflow remediacji z regułą „close tylko z retestem CONFIRMED" i AI Incident Register są dziś LIVE / MVP na żywej PostgreSQL. Bezpośredni transport do SIEM (Splunk HEC, Sentinel, QRadar) oraz tryb MSSP są MVP/szkielet lub ROADMAP — generic webhook istnieje jako specyfikacja i częściowy kod, ale bez działającego transportu produkcyjnego. Poniżej rozdzielamy jedno od drugiego.

Co zyskuje zespół SOC

Jedna ścieżka od alertu do dowodu

Zamiast rozproszonych zrzutów ekranu i wątków mailowych — jeden rekord incydentu z powiązanymi findingami, timeline zdarzeń i statusem lifecycle (open → triaged → assigned → fixing → retest → closed).

Chain-of-custody na każdym finding

Każdy import (plik skanera, wskaźnik CTI) dostaje sha256 źródła, znacznik czasu i identyfikator importu. Analityk widzi skąd pochodzi dowód i czy był modyfikowany — bez tego audytor pyta, a Ty zgadujesz.

Zamknięcie tylko z dowodem

Reguła egzekwowana w bazie danych: incydent nie przechodzi do closed bez retestu ze statusem CONFIRMED. Zero „zamknięte, bo ktoś tak powiedział" — workflow remediacji pilnuje tego automatycznie.

Miejsce na incydenty AI

Prompt injection, przejęcie agenta, zatruwanie danych czy nadmierna agencyjność mają własną taksonomię w AI Incident Register — nie trzeba wciskać ich w formularz zaprojektowany pod klasyczne CVE.

Jak to działa

Techniczna oś danych — co dziś jest kodem, a co specyfikacją do wdrożenia.

WarstwaCo robiStatus
Import findings Parsery Burp Suite, OWASP ZAP, Nessus, CSV → normalizacja do wspólnego schematu findingu (severity, CVE, opis, źródło, hash pliku wejściowego). LIVE
Powiązanie z incydentem Finding trafia do rekordu incydentu; wiele findingów może współdzielić jeden incydent (np. jedna kampania, wiele hostów). Timeline zdarzeń rośnie automatycznie przy każdej zmianie statusu. LIVE
Evidence-package Manifest JSON/PDF z hashem, chain-of-custody i metadanymi eksportu — pakiet dowodowy gotowy do przekazania zarządowi lub w ramach zaangażowania DORA/TIBER (Rules of Engagement). LIVE
Remediacja Przypisanie właściciela, zegar SLA, przejścia lifecycle z regułą retestu CONFIRMED przed zamknięciem. Pełny task board i eskalacje — zobacz szczegóły. LIVE MVP / task board ROADMAP
CTI / threat intel Import wskaźników (IoC) i eksport incydentu jako bundle STIX — standardy docelowe MISP/OpenCTI/STIX 2.1/TAXII 2.1. MVP/PoCspecyfikacja
SIEM webhook Emiter zdarzeń incydent → alert SIEM (generic webhook, docelowo Splunk HEC / Sentinel Logic App / QRadar). MVP / za flagą — transport ROADMAP, szczegóły
War Room Widok kryzysowy łączący timeline, ownerów, wyzwolone obowiązki prawne i evidence w jednym panelu przy eskalacji incydentu. MVP demozobacz układ

Jaki dowód powstaje

Evidence-package

Manifest z sha256, listą źródeł i chain-of-custody. Dowodzi integralności treści — dziś bez podpisu PAdES/TSA (to jawnie oznaczone ograniczenie).

Audit log RBAC

Każda akcja (import, przypisanie, zmiana statusu, close) jest zapisana z tożsamością wykonawcy — podstawa do rozliczenia „kto co zrobił" bez ręcznego odtwarzania z maili.

Retest CONFIRMED

Zamknięcie incydentu wymaga zapisanego wyniku retestu ze statusem CONFIRMED — sam status „naprawione" od inżyniera nie wystarczy do zamknięcia w bazie.

Response Board

Tablica kanban prowadzi incydent przez cykl reagowania z widocznymi przekroczeniami SLA — zobacz przepływ.

Jak zacząć

Zaimportuj pierwszy plik findingów. Wgraj eksport z Burp/ZAP/Nessus/CSV — system normalizuje wpisy i nadaje hash źródła, bez ręcznego przepisywania.
Sprawdź powiązany incydent. Findingi trafiają do rekordu incydentu z timeline — zobacz w praktyce na Response Board.
Ustaw ścieżkę remediacji. Przypisz właściciela i zegar SLA zgodnie z workflow remediacji — zamknięcie wymaga retestu CONFIRMED.
Rozważ webhook SIEM (MVP). Jeśli chcesz emitować zdarzenia incydentu do własnego SIEM, sprawdź specyfikację generic webhook — dziś szkielet, transport produkcyjny to ROADMAP.
Podłącz CTI, jeśli potrzebujesz kontekstu zagrożeń. Import IoC i eksport STIX opisany jest na stronie CTI / Threat Intel — status MVP/PoC.

Najczęstsze pytania

Czy ipIII zastąpi nasz SIEM?

Nie. ipIII nie jest silnikiem korelacji zdarzeń ani centrum detekcji — to warstwa evidence i remediacji obok SIEM. Kierunek integracji jest dziś zaprojektowany jednokierunkowo: ipIII może emitować zdarzenie o incydencie do SIEM (webhook, status MVP), a nie zastępować analizę logów w SIEM.

Czy webhook SIEM działa już produkcyjnie?

Nie w pełni. Webhook generyczny istnieje jako specyfikacja z częściowym kodem (MVP), natomiast konektory do Splunk HEC, Microsoft Sentinel i IBM QRadar oraz sam transport produkcyjny są ROADMAP. Dziś LIVE jest wyłącznie plikowy import findingów ze skanerów — szczegóły na stronie /siem.

Jak wygląda chain-of-custody dla findingu z pliku?

Każdy import pliku (skanera lub CSV) dostaje hash sha256 treści źródłowej, znacznik czasu i identyfikator sesji importu, zapisane razem z incydentem. To działa dziś (LIVE) na żywej PostgreSQL — nie jest to formalny podpis elektroniczny (PAdES/TSA), co jest jawnie opisane jako znane ograniczenie.

Czy mogę zgłaszać incydenty związane z AI/agentami tym samym narzędziem?

Tak. AI Incident Register ma osobną taksonomię (prompt injection, przejęcie agenta, zatruwanie danych, halucynacja, nadmierna agencyjność) obok klasycznego rejestru CVE — status MVP, podejście wyłącznie defensywne, bez payloadów i instrukcji ataku.

Co się dzieje przy eskalacji dużego incydentu?

Incident War Room zbiera w jednym widoku timeline, ownerów, wyzwolone obowiązki prawne (legal triggers) i evidence — dziś jako demonstracja układu (MVP), z warstwą łączącą panele oznaczoną jako ROADMAP. Dane na stronie demo są syntetyczne.

Czy to jest gotowe pod pentest raportowany do SIEM banku?

Warstwa evidence (parsery, evidence-package, chain-of-custody) jest gotowa do użycia dziś jako wsparcie procesu. Bezpośredni transport do SIEM banku to ROADMAP — do czasu jego wdrożenia raport trafia jako evidence-package (PDF/JSON) do istniejącego kanału zgłoszeń, nie strumieniem zdarzeń.

Skrót statusu

4
warstwy LIVE
import, incydent, evidence-package, reguła retestu
3
MVP / szkielet
SIEM webhook, CTI, War Room
n
transport ROADMAP
Splunk HEC / Sentinel / QRadar / MSSP

Następny krok

Wybierz punkt wejścia zależnie od tego, co dziś boli najbardziej. Jeśli brakuje Ci śladu dowodowego z alertu do zamknięcia — zacznij od remediacji. Jeśli chcesz emitować zdarzenia do własnego SIEM — sprawdź spec webhooka. Jeśli obsługujesz incydenty dużego kalibru — obejrzyj War Room.
SIEM webhook (MVP) → Response Board → AI incident workflow →

Powiązane: pełny rejestr znanych ograniczeń → /known-limitations · warstwa konektorów importu → /connectors · reguły zaangażowania (RoE) → /engagement.