01
1. Receba e parse a descoberta
- O payload do webhook inclui finding_id, severity, attack_technique, owasp_category, detection_gap e defense_recommendation. O campo detection_gap é seu sinal primário de triage — descreve o que o defensor não capturou.
- Severity mapeia para urgência: Critical e High representam caminhos de bypass exploráveis agora. Descobertas Medium são gaps parciais de cobertura. Low e Info são informacionais.
- Consulte owasp_category (ex: LLM01, LLM06) em /docs/concepts/owasp-llm-coverage para entender o que a categoria cobre e quais assets ela toca na sua stack.
02
2. Classifique e escale
- Critical / High: abra um incidente P1/P2. Anexe o pacote de evidência (assinado com SHA-256) ao ticket. Atribua para o time que é dono do endpoint LLM afetado.
- Use detection_gap + attack_technique para rotear: descobertas de prompt injection → dono de prompt-engineering; exfiltração de dados → dono de guardrail; bypass de auth → dono de API gateway.
- Se remediation.verified=true (replay confirmou que o patch fecha o bypass), inclua prompt_patch no ticket como fix proposto. Patches não verificados sinalizam como 'precisa de revisão humana'.
03
3. Entregue a regra de detecção
- Baixe a regra Sigma na página da execução ou via GET /v1/runs/{run_id}/sigma. Cada regra é escopada para o padrão de ataque específico — não uma assinatura ampla.
- Importe para o seu SIEM usando sigma-cli ou o import nativo da plataforma. Mapeie o log source para o índice de log de requisições LLM.
- Rastreie o status de starter para tuned para verified. Só promova para verified após monitorar falsos positivos em produção por pelo menos 7 dias.