Warstwa działania (Playbook Engine w ruchu). Tablica typu kanban prowadzi każdy incydent przez cykl reagowania: uruchomiony playbook, działania otwarte, przekroczenia terminu (SLA), zamknięcia i testy po naprawie. Twarda zasada: żadne działanie nie zamyka się bez walidacji — potrzebny jest dowód, że naprawa faktycznie działa.
due_at i statusy na tej stronie są przykładowe (demo). Nie odzwierciedlają realnych operacji reagowania. Cykl statusów i zasada walidacji są produkcyjne — dane są symulowane.
Powstrzymanie zagrożenia (contained) to nie to samo co naprawa (remediated), a naprawa to nie to samo co potwierdzenie skuteczności (verified). Dopiero verified z przypiętym evidence_id pozwala przejść w closed.
| action_id | incident | action_type | owner | status | due_at | evidence_id |
|---|---|---|---|---|---|---|
ACT-7712 | INC-2044 | izolacja hosta | SOC-2 | triage | 2026-07-04 10:00 | — |
ACT-7708 | INC-2044 | reset poświadczeń | IAM | contained | 2026-07-04 11:30 | EVD-5111 |
ACT-7695 | INC-2039 | patch / update | NetSec-1 | po terminie | 2026-07-04 06:00 | — |
ACT-7690 | INC-2039 | blokada IOC (WAF) | SOC-1 | po terminie | 2026-07-03 22:00 | — |
ACT-7682 | INC-2044 | raport NIS2 72h | Legal | po terminie | 2026-07-03 18:00 | — |
ACT-7640 | INC-2010 | usunięcie webshell | SOC-lead | closed | 2026-07-02 14:00 | EVD-5077 |
TST-3120 | INC-2039 | re-skan podatności | DevSecOps | verified? | 2026-07-04 16:00 | oczek. |
TST-3116 | INC-2001 | test DR / restore | Ops | verified? | 2026-07-04 18:00 | oczek. |
status ∈ {open, triage, contained, remediated, verified, closed}. Przejście do closed jest zablokowane, dopóki kolumna evidence_id nie wskazuje dowodu naprawy w statusie CONFIRMED (patrz Evidence Board).
due_at wg priorytetu (P0≤4h, P1≤24h, P2≤72h, P3 7–30 dni).evidence_id.function canClose(action) { // SYMULACJA
if (action.status !== "verified") return false; // brak testu = brak zamknięcia
const evd = evidence(action.evidence_id);
if (!evd || evd.status !== "CONFIRMED") return false; // dowód naprawy wymagany
if (evd.confidence < 75) return false; // dowód musi być mocny
if (action.type === "legal_report" && !action.filed_receipt)
return false; // zgłoszenie do organu = potwierdzenie złożenia
return true; // dopiero teraz → closed
}
evidence_id CONFIRMED.due_at automatycznie ląduje w kolumnie „Po terminie" i podnosi priorytet zarządczy.Źródło działań — każdy krok playbooka generuje wpis w response_actions.
Walidacja zamknięcia dziedziczy z dowodu naprawy (evidence_id CONFIRMED).
Działania typu „raport do organu" mają termin i wymagają potwierdzenia złożenia.
Testy DR/backup zamykają pętlę odporności po incydencie.