Aller au contenu
monsys.ai

Zone d'impact

La zone d’impact pour un agent est l’ensemble des autres agents qu’il peut atteindre via une connexion TCP/UDP, hop après hop. Dans le cas d’un incident, c’est la première question : “qu’a-t-il pu atteindre ?”

Comment se construit la graphique

L’agent envoie périodiquement une liste de ses connexions TCP ouvertes à la hub (agent_connections table : src_agent_id, dst_agent_id, port, last_seen). Un worker de fond construit une graphique ciblée à partir de ces informations.

Dans les dashboards, la Topologie page d’un agent affiche :

  • Vert — l’agent est en ligne et sain
  • Orange — dégradé (heartbeat incomplet)
  • Rouge — isolé (isolation réseau active)
  • Gris — hors ligne > 24h

Utilisation lors de la réponse à un incident

  1. Ouvrez les détails de l’agent compromis.
  2. Sélectionnez la page Topologie.
  3. Activez ou désactivez “Simulez une compromission” → toutes les nœuds accessibles s’affichent en rouge.
  4. Pour chaque nœud critique :
    • Vérifiez Inventory → Ports ouverts pour voir quelles services sont exposés.
    • Considérez l’isolement réseau préemptif sur les serveurs de haute valeur.

Limites

  • Les connexions ne sont visibles que lorsque elles sont actives au moment de la collecte (15s cadence). Les RPC uniques peuvent être manquées.
  • Les connexions UDP sans trafic bidirectionnel ne sont pas détectées.
  • DNS / chargeurs de balancement publics ne sont pas visibles comme des nœuds distincts.