Warstwa wywiadu o zagrożeniach (Faza 3 systemu). To, co rzetelny badacz i zespół SOC sprawdzają, oceniając powagę organizacji: skąd bierzesz dane, czy respektujesz licencje, czy potrafisz wymieniać wywiad w standardach branżowych — i czy uczciwie oddzielasz to, co realnie zaciągane, od planu. Evidence-first: automat wykrywa sygnał, człowiek zatwierdza fakt.
Nie promujemy automatycznego wskaźnika (IOC) do statusu faktu bez oceny reputacji źródła i ręcznej akceptacji. Feed to hipoteza o zagrożeniu; potwierdzeniem jest dowód. Ta sama doktryna claim ≤ proof, która rządzi całym portalem ipIII, rządzi warstwą CTI.
Warstwa łączy źródła publiczne (OSINT), branżowe kanały CERT/CISA oraz telemetrię własną. Każde źródło ma zadeklarowany typ danych, model licencji i status integracji. Respektujemy warunki licencji — dane komercyjne lub o ograniczonym użyciu nie są redystrybuowane wbrew warunkom.
| Źródło | Typ danych | Licencja / warunki | Status |
|---|---|---|---|
| CERT Polska (CSIRT NASK) | ostrzeżenia, kampanie phishingowe, domeny CyberTarcza | publiczne komunikaty, wg warunków NASK | LIVE |
| ENISA | raporty, taksonomie, threat landscape | publikacje UE, CC / cytowanie | LIVE |
| CISA KEV | katalog aktywnie wykorzystywanych podatności | US Gov public domain | LIVE |
| NVD / CVE (MITRE) | rekordy CVE, CVSS, CPE | publiczne, feed NVD JSON 2.0 | LIVE |
| GitHub Security Advisories (GHSA) | podatności w zależnościach OSS | CC-BY-4.0 (baza GHSA) | LIVE |
| Advisory dostawców (MS/Cisco/Oracle…) | biuletyny bezpieczeństwa, patch notes | wg warunków dostawcy | ROADMAP |
| AbuseIPDB | reputacja IP, zgłoszenia nadużyć | API key, limity, wg licencji — bez redystrybucji | ROADMAP |
| URLhaus / abuse.ch | złośliwe URL, payload-hosting | CC0, wg polityki abuse.ch | ROADMAP |
| PhishTank | zweryfikowane URL phishingowe | API, wg warunków — atrybucja | ROADMAP |
| Zgłoszenia własne (CVD / intake) | podatności, incydenty od badaczy | wewnętrzne, evidence-first | LIVE |
| Logi WAF / CDN / SIEM | telemetria ataków, wzorce, próby wstrzyknięć | wewnętrzne, RODO-minimalizacja | INTERNAL |
Granica licencyjna. Feed o ograniczonej licencji (np. AbuseIPDB) używamy do wewnętrznej priorytetyzacji, a nie do publicznej redystrybucji surowych wskaźników. Naruszenie warunków źródła traktujemy jak naruszenie zasady evidence-first — źródło bez prawa użycia nie jest dowodem, tylko ryzykiem prawnym.
Klucz do wymiany wywiadu w skali globalnej: standardy, nie własne formaty. System jest projektowany wokół otwartych standardów CTI, aby wymieniać dane z CSIRT-ami, ISAC-ami i SIEM-ami odbiorcy bez konwersji ad hoc.
Serializacja wskaźników i obiektów wywiadu w STIX 2.1; dystrybucja i subskrypcja przez kolekcje TAXII 2.1. Eksport JSON STIX LIVE, serwer TAXII ROADMAP.
Wymiana zdarzeń i atrybutów z instancjami MISP (format event/attribute, tagi galaxy). Import feedów MISP-compatible; publikacja do zaufanych społeczności.
Mapowanie technik i taktyk (TXXXX) na incydenty i playbooki. Wspólny język TTP dla raportu do odbiorcy i korelacji z detekcją.
Konektory do Azure Sentinel (DCR/Log Ingestion API), Splunk HEC oraz syslog RFC 5424. Wskaźniki i alerty w formacie natywnym dla platformy odbiorcy.
Stan realny: model danych CTI i mapowanie ATT&CK są LIVE; eksport STIX JSON działa; serwer TAXII, dwukierunkowa synchronizacja MISP i produkcyjne konektory SIEM są w budowie ROADMAP. Nie deklarujemy gotowych integracji, których jeszcze nie ma.
Każdy wskaźnik przechodzi deterministyczny potok. Automat nadaje sygnał i wynik pewności; człowiek zatwierdza fakt dla statusu CONFIRMED. To bariera przeciw „praniu wywiadu" — awansowaniu niesprawdzonego feedu do rangi dowodu.
Evidence-first w praktyce. Status wskaźnika: SYGNAŁ (automat) → W WERYFIKACJI (analityk) → CONFIRMED (dowód + podpis). Wskaźnik bez potwierdzenia pozostaje sygnałem, nigdy nie jest prezentowany jako fakt operacyjny.
Typy wskaźników, ich cykl życia i reguły eskalacji. Wskaźnik ma czas ważności (nie żyje wiecznie) i jest wygaszany po wyczerpaniu wartości wywiadowczej.
| Typ IOC | Przykład | Harmonogram odświeżania | Reguła eskalacji |
|---|---|---|---|
| Adres IP | reputacja, C2, skanery | co 1 h (feed reputacyjny) | trafienie w logach WAF → P1 |
| Domena / FQDN | phishing, C2, DGA | co 6 h | trafienie w ruchu wychodzącym → P1 |
| Hash pliku (SHA-256) | malware, payload | co 12 h | trafienie na endpoincie → P0 |
| URL | phishing, exploit-kit, payload-hosting | co 6 h | klik użytkownika → P1 + playbook phishing |
| CVE | CVE-2026-XXXXX w KEV | codziennie (NVD) + KEV na push | obecność w KEV + podatny zasób → P0 |
Harmonogramy powyżej to docelowa konfiguracja potoku. Realnie dziś odświeżane cyklicznie: KEV, NVD/CVE, GHSA, komunikaty CERT. Feedy reputacyjne IP/URL są w integracji ROADMAP.
• CISA KEV — katalog aktywnie wykorzystywanych podatności
• NVD / CVE — rekordy i CVSS (feed JSON 2.0)
• GitHub Security Advisories (GHSA)
• Komunikaty CERT Polska / ENISA
• Zgłoszenia własne (CVD/intake) + telemetria WAF/CDN
• Mapowanie MITRE ATT&CK, eksport STIX 2.1 JSON
• Serwer TAXII 2.1 (kolekcje, subskrypcje)
• Dwukierunkowa synchronizacja MISP
• Konektory SIEM: Azure Sentinel, Splunk HEC, syslog RFC 5424
• Feedy reputacyjne: AbuseIPDB, URLhaus, PhishTank (wg licencji)
• Advisory dostawców jako ustrukturyzowany feed
• Automatyczne wygaszanie IOC po TTL
Wartości powyżej opisują konfigurację potoku, nie wolumen realnego SOC. Nie prowadzimy całodobowego dyżuru analityków — akceptacja CONFIRMED jest ręczna i asynchroniczna.
Warstwa dowodów — chain of custody, poziom pewności, hash SHA-256.
Interfejs programowy — eksport wskaźników i statusów (STIX/JSON).
Proces obsługi — KEV/CVE → triage → severity → naprawa (ISO 30111).
Zgłoszenia badaczy — źródło wywiadu własnego, safe harbor.