Status: Accepted | Data: 2026-05-02
Sprendimas
D3 sanitize gateway privalomas tarp ingest (D1) ir OpenCTI (D4).
Trust domain modelis
D1 (Internet feeds)
→ D2 (DMZ staging)
→ D3 (Sanitize Gateway) ← ŠITAS ADR
→ D4 (OpenCTI + LLM)
→ D5 (Production: FortiSIEM, MISP)
Ką D3 gateway daro
- STIX schema validation — atmeta netinkamus objektus
- TLP enforcement — tikrina, kad TLP:RED nepatektų į D5
- PII redaction — maskuoja asmens duomenis prieš AI processing
- Rate limiting — apsauga nuo feed spike’ų
- Provenance logging — kiekvienas objektas gauna audit trail
Kodėl privalomas
- Vienas kompromituotas feed gali inject’inti malicious STIX į OpenCTI
- Be sanitize gateway, LLM apdoroja nevaliduotus duomenis
- NIS2 reikalauja auditabilumo kiekvienam duomenų transformacijos žingsniui
Implikacijos
- Joks connector nerašo tiesiai į OpenCTI — viskas eina per D3
- D3 gateway yra
sanitize-gatewayservisas (FastAPI) - Failinantys objektai saugomi “quarantine” eilėje peržiūrai