Konektory — jak ZEUS czyta środowisko
ZEUS nie instaluje agentów wszędzie i nie otwiera portów przychodzących. Czyta środowisko przez konektory — zawsze read-only i outbound-only, uwierzytelniane przez Twój istniejący identity provider.
Macierz konektorów
| Kategoria | Konektor | Metoda auth | Co czyta |
|---|---|---|---|
| Chmura | Microsoft Azure | Service Principal | ARM + Resource Graph + Defender |
| Chmura | AWS | IAM Role / AccessKey | Boto3: EC2 · S3 · IAM · GuardDuty |
| Chmura | Google Cloud | Workload Identity | Asset Inventory + Security Center |
| Tożsamość | Microsoft Entra ID | Service Principal | Users · groups · MFA · sign-ins |
| Tożsamość | Active Directory | LDAP bind | Forest + users + GPOs |
| SCM | GitHub / GitLab | GitHub App / OAuth2 | Repos · branches · SCA · secrets |
| SIEM/EDR | Wazuh | API key | Alerts · SCA · agents · vulns |
| SIEM/EDR | Microsoft Defender | OAuth2 | Alerts · recommendations · incidents |
| Kontenery | Kubernetes | ServiceAccount | Pods · workloads · RBAC · network |
| On-prem | Wazuh / WinRM / vCenter | reverse-SSH tunnel | tunelowany SIEM · Windows · vSphere |
Zasady, które warto znać
- Read-only — Service Principal/IAM ma uprawnienia tylko do odczytu (Reader + Security Reader). Auto-remediacja wymaga osobnej, świadomej decyzji.
- Outbound-only — to środowisko klienta inicjuje połączenie na zewnątrz (443/tunel). Brak reguł inbound po stronie klienta.
- Sekrety u klienta — poświadczenia trzymane w prywatnym Key Vault klienta, konektor pobiera je przy starcie (Managed Identity).
- Nowe konektory bez redeployu — dodanie konektora nie wymaga przebudowy ZEUS.
Co przekracza granicę środowiska
ZEUS wysyła do tenantu tylko metadane: nazwy/typy/tagi zasobów, zdeduplikowane CVE + CVSS, statusy kontroli compliance, skorelowane alerty SIEM (taktyka MITRE, severity), heartbeaty agentów.
Nigdy nie opuszczają środowiska: surowe poświadczenia/sekrety, zawartość baz, surowe pakiety sieciowe, schematy baz i biznesowe dane, PII użytkowników końcowych.
Wskazówka: to slajd, który uspokaja DPO klienta. Granica danych jest jasna — „co wychodzi" vs „co zostaje na zawsze w DC".
Każdy konektor to read-only okno na jeden system. Razem dają znormalizowany, jednolity obraz całego środowiska — i nic nie modyfikują.