PProfessNet Academy
Platforma ZEUS — od zera do operatora/05core12 min

SECURITY — znajdź, co jest nie tak

Filar SECURITY nakłada na zasoby findings i daje jedną powierzchnię dochodzenia. Sześć studiów, jeden cel: szybciej znaleźć i zamknąć problem.

CNAPP — 16 skanerów

Cloud-Native Application Protection Platform orkiestruje 16 open-source skanerów w kodzie, IaC, kontenerach i chmurach (Trivy, Grype, Checkov, Kubescape, Bandit, Prowler, gitleaks i 9 innych). Wszystkie licencje permisywne (Apache-2.0/MIT/BSD/ISC) — czysta historia re-sellu.

Uwaga: po audycie licencyjnym 2026-05 zostało 16 skanerów (usunięto 4 z licencjami GPL). Jeśli gdzieś widzisz „18" — to nieaktualne.

ZEUS deduplikuje findings między skanerami: np. 71 unikalnych krytycznych CVE z setek surowych trafień.

Vulnerability Management

Centralny inwentarz CVE ze śledzeniem SLA i maszyną stanów findingu:

open → triaged → fix-in-progress → resolved → verified
  • scoring: severity × exploitability × krytyczność zasobu,
  • SLA per severity (Critical 7 dni · High 30 · Medium 90),
  • auto-grupowanie: 1200 findings → ~50 workstreamów,
  • eskalacja na Slack/Teams przy przekroczeniu SLA.

SIEM Aggregation

Jedna kolejka alertów z wielu źródeł (Wazuh, Defender, GuardDuty, Sentinel...), normalizacja severity, mapowanie MITRE ATT&CK, auto-triage.

Custom Detection Rules (YAML DSL)

Operator pisze reguły detekcji w YAML — bez deployu kodu. Threshold + group_by + przesuwane okno:

id: ssh-bruteforce
match:
  all:
    - field: rule.id
      in: [5710, 5712, 5760]
threshold: { count: 10, group_by: agent.ip, window_minutes: 5 }
then:
  emit_alert: { title: "SSH burst from {{ agent_ip }}", severity: high }

Forensic Timeline

Hash-chained (SHA-256, łańcuch w przód), tamper-evident rekonstrukcja każdej zmiany na platformie — zbudowana z myślą o audytorze.

SOAR-lite Playbooks

Playbooki w YAML reagujące na alerty (trigger po rule_id/severity). Kroki: notify · enrich · isolate · ticket, z warunkami i bezpieczną ewaluacją.

trigger: { rule_id: ssh-bruteforce, severity_gte: high }
steps:
  - { action: threat_intel.enrich, params: { indicator: "{{ alert.group_value }}" } }
  - { action: defender.isolate_host, condition: "{{ steps.enrich.malicious }} == True" }

Reguła detekcji emituje alert → playbook reaguje. To pełna pętla „znajdź → zareaguj" w jednej platformie.