K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / siem

Konektory SIEM — spec / MVP: incydent ipIII → alert SIEM

Szkielet i specyfikacja czterech konektorów SIEM: generic webhook, Splunk HEC, Microsoft Sentinel (Logic App) i IBM QRadar. Kierunek wymiany jest jednokierunkowy: ipIII emituje zdarzenie o incydencie, SIEM przyjmuje je jako alert. Uczciwie: dziś nie mamy działającego transportu SIEM — to ROADMAP. LIVE jest wyłącznie plikowy import findings ze skanerów. Doktryna claim ≤ proof.

Uczciwy status na dziś (2026-07-05). Ta strona to specyfikacja i szkielet MVP, nie działający produkt. Żaden z opisanych konektorów SIEM nie wysyła dziś ruchu do zewnętrznego systemu — kierunek incydent ipIII → alert SIEM jest w całości ROADMAP. Jedyny LIVE tor ingest to plikowy import findings ze skanerów (Burp / ZAP / Nessus / CSV) opisany na /connectors. Pełny rejestr braków: /known-limitations.
4 konektory w specyfikacji. Transport SIEM = ROADMAP. Import plikowy = LIVE.

ipIII generuje incydenty w warstwie evidence (import → incydent → evidence-package → retest → close). Konektory SIEM mają pozwolić, by taki incydent trafił jako alert do centrum detekcji instytucji. Poniżej: opis payloadu (JSON), kierunek, mapowanie pól i status każdego konektora. Wszystkie przykłady payloadu są syntetyczne — nie zawierają danych realnych zdarzeń ani instrukcji ataku.

KIERUNEK: incydent ipIIIemiter zdarzeńkonektor (webhook / HEC / Logic App / QRadar)alert w SIEM

Macierz konektorów

Status: MVP = szkielet/spec z częściowym kodem, bez działającego transportu produkcyjnego · ROADMAP = zaplanowane, brak implementacji. Żadna pozycja nie jest jeszcze LIVE na transporcie.

KonektorProtokół / celPayloadKierunekStatus
Generic webhook HTTP POST na dowolny endpoint odbiorcy; nagłówek autoryzacyjny (bearer/HMAC). JSON ipiii.incident.v1 (schemat poniżej). incydent ipIII → webhook odbiorcy MVP
Splunk HEC HTTP Event Collector — POST /services/collector/event, token HEC. Koperta HEC {"event": {...ipiii.incident.v1...}, "sourcetype":"ipiii:incident"}. incydent ipIII → indeks Splunk ROADMAP
Microsoft Sentinel Logic App / HTTP trigger (docelowo Data Collection Rule + DCE). Wariant MVP: webhook do Logic App. JSON ipiii.incident.v1 mapowany na tabelę custom w Log Analytics. incydent ipIII → Sentinel (Log Analytics) ROADMAP
IBM QRadar Warianty: syslog LEEF, albo REST /api/siem/offenses (wg konfiguracji instytucji). Mapowanie ipiii.incident.v1 → pola LEEF/JSON. incydent ipIII → QRadar ROADMAP

Schemat payloadu — ipiii.incident.v1

Wspólny, neutralny transportowo model zdarzenia. Każdy konektor opakowuje ten obiekt we własną kopertę (HEC / Logic App / LEEF). Pola opisowe, wyłącznie metadane incydentu.

PoleTypOpis
schemastringWersja schematu, np. ipiii.incident.v1.
incident_idstringIdentyfikator incydentu w ipIII.
titlestringKrótki tytuł (bez danych wrażliwych, bez PoC ataku).
severityenuminfo | low | medium | high | critical (mapowane na skalę SIEM).
statusenumopen | in_review | retest | closed.
sourcestringSkąd finding: np. file-import:nessus (dziś LIVE tylko import plikowy).
cvearrayLista identyfikatorów CVE (opcjonalna, offline hint).
evidence_package_sha256stringHash integralności pakietu dowodowego (chain-of-custody).
created_atstringZnacznik czasu ISO-8601 (UTC).
linkstringURL do incydentu w ipIII (do wglądu analityka SIEM).

Sample payload — generic webhook (syntetyczny)

Dane poniżej są zmyślone na potrzeby dokumentacji. Nie opisują realnego zdarzenia, nie zawierają danych osobowych ani żadnej instrukcji ataku — wyłącznie metadane incydentu.

POST /ingest/ipiii HTTP/1.1
Host: siem.example-bank.internal
Content-Type: application/json
Authorization: Bearer <token-odbiorcy>

{
  "schema": "ipiii.incident.v1",
  "incident_id": "INC-2026-000042",
  "title": "Nieaktualny komponent w skanie web (syntetyczny)",
  "severity": "medium",
  "status": "open",
  "source": "file-import:zap",
  "cve": ["CVE-2026-00000"],
  "evidence_package_sha256": "0000000000000000000000000000000000000000000000000000000000000000",
  "created_at": "2026-07-05T10:15:00Z",
  "link": "https://k0nsult.cloud/ai-truth/ipIII/incydent/INC-2026-000042"
}

Odpowiedź MVP (szkielet, jeszcze bez działającego transportu do zewnętrznych SIEM):

HTTP/1.1 202 Accepted
Content-Type: application/json

{ "accepted": true, "delivery": "ROADMAP", "note": "transport SIEM nie jest jeszcze aktywny" }

Koperty per konektor (spec)

Splunk HEC ROADMAP

Obiekt ipiii.incident.v1 pod kluczem event, z sourcetype: "ipiii:incident" i index wg konfiguracji instytucji. Autoryzacja tokenem HEC.

Microsoft Sentinel ROADMAP

MVP: webhook do Logic App, który zapisuje rekord do tabeli custom w Log Analytics. Docelowo DCR + DCE. Mapowanie pól severity/status na kolumny.

IBM QRadar ROADMAP

Wariant syslog LEEF (klucz=wartość) lub REST offenses. severity ipIII mapowany na skalę QRadar. Wybór wariantu po stronie odbiorcy.

Generic webhook MVP

Najprostszy tor: czysty ipiii.incident.v1 na endpoint odbiorcy. Szkielet emitera istnieje; brak działającego transportu do produkcyjnego odbiorcy.

Zgłoszenie zainteresowania konektorem (bez JS)

Formularz kieruje zgłoszenie do istniejącego kanału zgłoszeń. Nie uruchamia żadnego skryptu; zwykły POST.

Co jest LIVE, a co ROADMAP

1
LIVE
Plikowy import findings (Burp/ZAP/Nessus/CSV) — /connectors
1
MVP (szkielet)
Generic webhook — emiter zdarzeń, bez transportu prod
3
ROADMAP
Splunk HEC · Sentinel · QRadar
0
Transport SIEM aktywny
żaden konektor nie wysyła dziś ruchu do zewnętrznego SIEM
Kierunek jest jednokierunkowy z założenia (MVP). ipIII emituje incydent → SIEM przyjmuje alert. Dwukierunkowa wymiana (SIEM → ipIII, korelacja, feedback) jest osobną pozycją ROADMAP i nie jest tu obiecywana.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Dopóki nie mamy dowodu (kod + test + endpoint) na działający transport do Splunk/Sentinel/QRadar, opisujemy te konektory jako ROADMAP lub MVP — nie jako gotową funkcję.
Granica etyczna i prawna. Konektory SIEM służą wyłącznie obronie (blue/GRC): przekazują metadane incydentu do centrum detekcji. Payloady w tej dokumentacji są syntetyczne i nie zawierają instrukcji ataku ani danych realnych zdarzeń. Wdrożenie u konkretnej instytucji następuje dopiero po pisemnych Rules of Engagement. To materiał typu decision-support, nie porada prawna.

Powiązane: tor ingest, który działa dziś → /connectors · pełny rejestr braków (w tym „SIEM integration gap") → /known-limitations.