Ga naar inhoud
monsys.ai

Blast radius

De blast radius voor een agent is de set van andere agents die hij via TCP/UDP verbinding kan bereiken, hop-voor-hop. Bij een incident is dit de eerste vraag: “wat heeft hij kunnen bereiken?”

Hoe wordt de graph gebouwd

De agent stuurt periodiek een lijst van eigen open TCP-verbindingen naar de hub (agent_connections tabel: src_agent_id, dst_agent_id, port, last_seen). Een achtergrond-worker bouwt hieruit een gerichte graph.

In dashboards toont de Topologie tab op een agent-pagina:

  • Groen — agent is online en healthy
  • Amber — degraded (heartbeat onvolledig)
  • Rood — geïsoleerd (network isolation actief)
  • Grijs — offline > 24u

Gebruik tijdens incident response

  1. Open agent-detail van de gecompromitteerde host.
  2. Tab Topologie.
  3. Toggle “Simuleer compromise” → alle bereikbare nodes kleuren rood.
  4. Voor elke kritieke node:
    • Check Inventory → Open Ports om te zien welke services blootstaan.
    • Overweeg pre-emptief IsolateNetwork op high-value servers.

Limitaties

  • Connecties worden alleen gezien wanneer ze actief zijn op het moment van collectie (15s cadens). Eenmalige RPC’s kunnen gemist worden.
  • UDP-verbindingen zonder bidirectioneel verkeer worden niet gedetecteerd.
  • DNS / public load balancers zijn niet zichtbaar als afzonderlijke nodes.