K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / threat-intel (CTI-OSINT)

Threat Intelligence / CTI-OSINT

Warstwa wywiadu o zagrożeniach (Faza 3 systemu). To, co rzetelny badacz i zespół SOC sprawdzają, oceniając powagę organizacji: skąd bierzesz dane, czy respektujesz licencje, czy potrafisz wymieniać wywiad w standardach branżowych — i czy uczciwie oddzielasz to, co realnie zaciągane, od planu. Evidence-first: automat wykrywa sygnał, człowiek zatwierdza fakt.

Wywiad to sygnał, nie wyrok. CONFIRMED wymaga podpisu analityka.

Nie promujemy automatycznego wskaźnika (IOC) do statusu faktu bez oceny reputacji źródła i ręcznej akceptacji. Feed to hipoteza o zagrożeniu; potwierdzeniem jest dowód. Ta sama doktryna claim ≤ proof, która rządzi całym portalem ipIII, rządzi warstwą CTI.

POTOK: ŹRÓDŁOPOBRANIEDEDUPLIKACJACONFIDENCEREPUTACJA ŹRÓDŁAAKCEPTACJA ANALITYKACONFIRMED / IOC
Uczciwie o statusie. Poniżej rozdzielamy to, co jest realnie zaciągane dziś LIVE, od tego, co jest w planie ROADMAP. Nie twierdzimy, że mamy pełny SOC z całodobowym zespołem analityków. Twierdzimy, że architektura potoku i granice licencyjne są zaprojektowane evidence-first, a część konektorów działa. Liczby oznaczone SYMULACJA są demonstracyjne.

1 · Źródła wywiadu SOURCES

Warstwa łączy źródła publiczne (OSINT), branżowe kanały CERT/CISA oraz telemetrię własną. Każde źródło ma zadeklarowany typ danych, model licencji i status integracji. Respektujemy warunki licencji — dane komercyjne lub o ograniczonym użyciu nie są redystrybuowane wbrew warunkom.

ŹródłoTyp danychLicencja / warunkiStatus
CERT Polska (CSIRT NASK)ostrzeżenia, kampanie phishingowe, domeny CyberTarczapubliczne komunikaty, wg warunków NASKLIVE
ENISAraporty, taksonomie, threat landscapepublikacje UE, CC / cytowanieLIVE
CISA KEVkatalog aktywnie wykorzystywanych podatnościUS Gov public domainLIVE
NVD / CVE (MITRE)rekordy CVE, CVSS, CPEpubliczne, feed NVD JSON 2.0LIVE
GitHub Security Advisories (GHSA)podatności w zależnościach OSSCC-BY-4.0 (baza GHSA)LIVE
Advisory dostawców (MS/Cisco/Oracle…)biuletyny bezpieczeństwa, patch noteswg warunków dostawcyROADMAP
AbuseIPDBreputacja IP, zgłoszenia nadużyćAPI key, limity, wg licencji — bez redystrybucjiROADMAP
URLhaus / abuse.chzłośliwe URL, payload-hostingCC0, wg polityki abuse.chROADMAP
PhishTankzweryfikowane URL phishingoweAPI, wg warunków — atrybucjaROADMAP
Zgłoszenia własne (CVD / intake)podatności, incydenty od badaczywewnętrzne, evidence-firstLIVE
Logi WAF / CDN / SIEMtelemetria ataków, wzorce, próby wstrzyknięćwewnętrzne, RODO-minimalizacjaINTERNAL

Granica licencyjna. Feed o ograniczonej licencji (np. AbuseIPDB) używamy do wewnętrznej priorytetyzacji, a nie do publicznej redystrybucji surowych wskaźników. Naruszenie warunków źródła traktujemy jak naruszenie zasady evidence-first — źródło bez prawa użycia nie jest dowodem, tylko ryzykiem prawnym.

2 · Interoperacyjność INTEROP

Klucz do wymiany wywiadu w skali globalnej: standardy, nie własne formaty. System jest projektowany wokół otwartych standardów CTI, aby wymieniać dane z CSIRT-ami, ISAC-ami i SIEM-ami odbiorcy bez konwersji ad hoc.

STIX 2.1 / TAXII ROADMAP

Serializacja wskaźników i obiektów wywiadu w STIX 2.1; dystrybucja i subskrypcja przez kolekcje TAXII 2.1. Eksport JSON STIX LIVE, serwer TAXII ROADMAP.

MISP ROADMAP

Wymiana zdarzeń i atrybutów z instancjami MISP (format event/attribute, tagi galaxy). Import feedów MISP-compatible; publikacja do zaufanych społeczności.

MITRE ATT&CK LIVE

Mapowanie technik i taktyk (TXXXX) na incydenty i playbooki. Wspólny język TTP dla raportu do odbiorcy i korelacji z detekcją.

Eksport SIEM ROADMAP

Konektory do Azure Sentinel (DCR/Log Ingestion API), Splunk HEC oraz syslog RFC 5424. Wskaźniki i alerty w formacie natywnym dla platformy odbiorcy.

Stan realny: model danych CTI i mapowanie ATT&CK są LIVE; eksport STIX JSON działa; serwer TAXII, dwukierunkowa synchronizacja MISP i produkcyjne konektory SIEM są w budowie ROADMAP. Nie deklarujemy gotowych integracji, których jeszcze nie ma.

3 · Potok przetwarzania PIPELINE

Każdy wskaźnik przechodzi deterministyczny potok. Automat nadaje sygnał i wynik pewności; człowiek zatwierdza fakt dla statusu CONFIRMED. To bariera przeciw „praniu wywiadu" — awansowaniu niesprawdzonego feedu do rangi dowodu.

1 · Pobranie. Harmonogramowe pobranie ze źródła (feed JSON/STIX/CSV, API, RSS). Zapis surowca z metadanymi: źródło, znacznik czasu, wersja.
2 · Deduplikacja. Normalizacja i scalanie wskaźników po kluczu (typ+wartość). Jedno IOC = jeden rekord z listą źródeł, które je potwierdziły.
3 · Confidence score. Wynik pewności 0–100 z liczby i jakości źródeł, świeżości i zgodności. Wielokrotne niezależne potwierdzenie podnosi wynik.
4 · Reputacja źródła. Waga źródła wg historycznej trafności (false-positive rate). CERT/KEV wysoko; anonimowy feed nisko do czasu weryfikacji.
5 · Ręczna akceptacja. Wskaźnik o wysokim wpływie nie staje się CONFIRMED bez podpisu analityka. Automat proponuje, człowiek zatwierdza — z uzasadnieniem w chain of custody.
6 · Dystrybucja / działanie. Zatwierdzony wskaźnik trafia do detekcji, blokad i raportu; feeduje playbook podatności i priorytetyzację P0–P3.

Evidence-first w praktyce. Status wskaźnika: SYGNAŁ (automat) → W WERYFIKACJI (analityk) → CONFIRMED (dowód + podpis). Wskaźnik bez potwierdzenia pozostaje sygnałem, nigdy nie jest prezentowany jako fakt operacyjny.

4 · Wskaźniki naruszenia (IOC) IOC

Typy wskaźników, ich cykl życia i reguły eskalacji. Wskaźnik ma czas ważności (nie żyje wiecznie) i jest wygaszany po wyczerpaniu wartości wywiadowczej.

Typ IOCPrzykładHarmonogram odświeżaniaReguła eskalacji
Adres IPreputacja, C2, skaneryco 1 h (feed reputacyjny)trafienie w logach WAF → P1
Domena / FQDNphishing, C2, DGAco 6 htrafienie w ruchu wychodzącym → P1
Hash pliku (SHA-256)malware, payloadco 12 htrafienie na endpoincie → P0
URLphishing, exploit-kit, payload-hostingco 6 hklik użytkownika → P1 + playbook phishing
CVECVE-2026-XXXXX w KEVcodziennie (NVD) + KEV na pushobecność w KEV + podatny zasób → P0

Harmonogramy powyżej to docelowa konfiguracja potoku. Realnie dziś odświeżane cyklicznie: KEV, NVD/CVE, GHSA, komunikaty CERT. Feedy reputacyjne IP/URL są w integracji ROADMAP.

5 · Stan realny vs plan HONEST

Zaciągane dziś LIVE

• CISA KEV — katalog aktywnie wykorzystywanych podatności

• NVD / CVE — rekordy i CVSS (feed JSON 2.0)

• GitHub Security Advisories (GHSA)

• Komunikaty CERT Polska / ENISA

• Zgłoszenia własne (CVD/intake) + telemetria WAF/CDN

• Mapowanie MITRE ATT&CK, eksport STIX 2.1 JSON

W budowie ROADMAP

• Serwer TAXII 2.1 (kolekcje, subskrypcje)

• Dwukierunkowa synchronizacja MISP

• Konektory SIEM: Azure Sentinel, Splunk HEC, syslog RFC 5424

• Feedy reputacyjne: AbuseIPDB, URLhaus, PhishTank (wg licencji)

• Advisory dostawców jako ustrukturyzowany feed

• Automatyczne wygaszanie IOC po TTL

6
Źródła LIVE
KEV · NVD · GHSA · CERT · ENISA · intake
STIX 2.1
Format eksportu
JSON LIVE · TAXII roadmap
100
Skala confidence
0–100 · reputacja + świeżość
P0–P3
Eskalacja IOC
wg wpływu i trafienia

Wartości powyżej opisują konfigurację potoku, nie wolumen realnego SOC. Nie prowadzimy całodobowego dyżuru analityków — akceptacja CONFIRMED jest ręczna i asynchroniczna.

Powiązane zasoby

Evidence Board

Warstwa dowodów — chain of custody, poziom pewności, hash SHA-256.

API

Interfejs programowy — eksport wskaźników i statusów (STIX/JSON).

Playbook podatności

Proces obsługi — KEV/CVE → triage → severity → naprawa (ISO 30111).

Disclosure (CVD)

Zgłoszenia badaczy — źródło wywiadu własnego, safe harbor.

Zasada nadrzędna. Warstwa CTI ma jedną walutę zaufania: dowód. Feed to sygnał, nie fakt — awans do statusu CONFIRMED wymaga oceny reputacji źródła i podpisu analityka. Respektujemy licencje źródeł i uczciwie oddzielamy LIVE od ROADMAP. Zero payloadów ofensywnych — to warstwa obronnego wywiadu, nie narzędzie ataku.