SIEM (Splunk, Microsoft Sentinel, QRadar) i ipIII pracują w tym samym łańcuchu bezpieczeństwa, ale na różnych jego końcach. SIEM wykrywa i koreluje zdarzenia z logów w czasie rzeczywistym — to jego fundamentalna rola i ipIII jej nie wykonuje, nie udaje i nie planuje wykonywać. ipIII zaczyna pracę po detekcji: alert → evidence → owner → regulatory. Ta strona nie twierdzi, że ipIII jest „lepszy" od SIEM — pokazuje, gdzie kończy się jedna warstwa i zaczyna druga.
SIEM odpowiada na pytanie „co się dzieje w infrastrukturze teraz i czy to anomalia" — zbiera logi z sieci, endpointów, tożsamości, aplikacji, koreluje je regułami i modelami, generuje alert w czasie rzeczywistym. ipIII odpowiada na inne pytanie: „skoro alert został potwierdzony jako incydent, jak zamienić go w dowód, który przetrwa przed zarządem, audytorem lub regulatorem — i czy uruchamia obowiązek prawny (DORA/NIS2/RODO/AI Act)". Bezpośredni, strumieniowy konektor webhook do SIEM nie działa dziś — to jawnie oznaczony element ROADMAP, nie ukrywana funkcja.
| Wymiar | SIEM (Splunk/Sentinel/QRadar) | ipIII | Gdzie się uzupełniają |
|---|---|---|---|
| Detekcja w czasie rzeczywistym | Rdzeń kategorii — korelacja logów, reguły, modele anomalii, alerty w sekundach/minutach od zdarzenia. dojrzałe, fundamentalne | Brak. ipIII nie wykonuje detekcji ani korelacji logów sieciowych — poza zakresem produktu, dziś i w planach. poza zakresem ipIII | ipIII nie próbuje konkurować z SIEM na tym polu — konsumuje wynik detekcji, nie wytwarza go. |
| Agregacja logów (skala) | Miliony zdarzeń dziennie z dziesiątek/setek źródeł (firewall, EDR, IAM, aplikacje). dojrzałe | Nie agreguje logów infrastruktury; przyjmuje potwierdzone findingi ze skanerów (Burp/ZAP/Nessus/CSV) i DefectDojo. inny zakres wejścia | SIEM pozostaje jedynym źródłem prawdy o logach — ipIII nie duplikuje tej funkcji. |
| Konektor / ingest zdarzeń z SIEM | Natywne API i dashboardy do własnych danych; eksport przez API/SDK. dojrzałe | Brak strumieniowego webhook ingestu z SIEM dziś. ROADMAP — planowany webhook + STIX/TAXII (MISP/OpenCTI), docelowo konektor Splunk/Sentinel. | Do czasu domknięcia webhooka, alert z SIEM trafia do ipIII przez ręczny eksport/import pliku. |
| Chain-of-custody / evidence-package | Nie jest głównym celem produktu; logi i alerty służą operacyjnej detekcji, nie formalnemu dowodowi z hashem dla zewnętrznego odbiorcy. poza zakresem SIEM | Evidence-package z sha256, manifestem i chain-of-custody w PostgreSQL. LIVE |
ipIII dokłada warstwę „dowód gotowy do pokazania na zewnątrz" nad alertem potwierdzonym w SIEM. |
| Mapowanie regulacyjne (DORA/NIS2/RODO/AI Act) | Brak wbudowanego silnika terminów prawnych; niektóre platformy oferują raportowanie zgodności, ale bez automatycznego wyzwalania obowiązku po polskim/unijnym prawie. częściowo, inny cel | Legal Trigger Engine — decision-support, nie porada prawna; terminy orientacyjne, do weryfikacji prawnika. LIVE (MVP) | Alert potwierdzony w SIEM może zasilić Legal Trigger Engine w ipIII, żeby oznaczyć potencjalny obowiązek zgłoszenia. |
| Właściciel / owner incydentu | Przypisania w module SOAR/case management (jeśli licencjonowany osobno); w samym SIEM głównie alert routing. częściowo, zależnie od licencji | Response Board z przypisaniem właściciela do potwierdzonego incydentu i śledzeniem statusu do zamknięcia z dowodem. LIVE (MVP) | SIEM/SOAR routuje alert do zespołu; ipIII prowadzi go do zamknięcia z dowodem i śladem audytowym. |
| Board / regulatory pack | Dashboardy operacyjne i raporty metryk SOC; brak gotowego szablonu „pakiet dla zarządu/regulatora" z narracją prawną. częściowo, inny cel | Board pack + regulatory pack jako artefakt PDF/JSON z odwołaniem do evidence-package. LIVE (MVP) | Dane operacyjne z SIEM + kontekst prawny ipIII = jeden spójny pakiet wyjściowy dla odbiorcy poza SOC. |
| CTI (threat intelligence) | Wzbogacanie alertów o feedy zagrożeń, integracje z komercyjnymi źródłami CTI. dojrzałe u wielu wdrożeń | Wzbogacanie CVE offline (CVSS/EPSS/KEV z seedu); online lookup NVD/CISA KEV oznaczony jako ROADMAP. Patrz /cti. | SIEM z bogatym CTI może zasilać priorytetyzację w ipIII po stronie evidence i legal triggers. |
To fundamentalna, wieloletnia kompetencja SIEM. ipIII nie ma i nie planuje mieć własnego silnika korelacji logów sieciowych — to nie jest kategoria produktu, w której konkurujemy.
SIEM agreguje miliony zdarzeń dziennie z dziesiątek źródeł infrastruktury. ipIII przyjmuje dziś potwierdzone findingi ze skanerów i DefectDojo — znacznie węższy strumień wejściowy.
Splunk, Microsoft Sentinel i QRadar mają lata wdrożeń produkcyjnych, dojrzałe integracje SOAR i duże społeczności. ipIII jest dowodliwym MVP — krótsza historia, mniejsza baza wdrożeń.
LIVE — pakiet z sha256, manifestem i łańcuchem
dowodowym, gotowy do przedstawienia poza SOC.
LIVE (MVP) — mapowanie potwierdzonego incydentu na potencjalne obowiązki DORA/NIS2/RODO/AI Act jako decision-support, zawsze do weryfikacji prawnika.
LIVE (MVP) — właściciel, status i ślad do zamknięcia z dowodem. Patrz /response-board.
LIVE (MVP) — artefakt zorientowany na odbiorcę spoza SOC: zarząd, audytor, organ nadzoru.
Powiązane: pełna analiza ekosystemu narzędzi bankowych → /porownanie · status integracji SIEM w ipIII → /siem · threat intelligence i CVE → /cti · właściciel i status incydentu → /response-board.