Agent Risk Scores
Автоматическая оценка рисков каждого агента на основе паттернов поведения
📊 Тариф: Team+
Обзор
FlowLink автоматически рассчитывает оценку риска (Risk Score) для каждого подключённого агента. Оценка основана на анализе поведения: частота команд, попытки эскалации привилегий, нарушения политик, аномальная активность. Чем выше score — тем опаснее поведение агента.
Факторы риска
Командная активность
Частота и типы выполняемых команд — shell-команды, сетевые запросы, файловые операции
Эскалация привилегий
Попытки sudo, setuid, переключение пользователя, доступ к системным файлам
Нарушения политик
Количество заблокированных команд и нарушенных правил shield
Аномальное поведение
Отклонение от базового профиля агента — необычные часы, объёмы, паттерны
Сетевая активность
Необычные соединения, external callbacks, DNS-запросы к подозрительным доменам
Доступ к секретам
Попытки чтения credential-файлов, env-переменных, vault-ключей
Пороги и алерты
Организация может настроить пороги: Low (0-30), Medium (31-60), High (61-80), Critical (81-100). При превышении порога автоматически создаётся алерт и инцидент в forensics.
# Example threshold configuration
risk_thresholds:
low: 30
medium: 60
high: 80
critical: 90
actions:
critical: [block_agent, notify_admin, create_incident]
high: [notify_admin, create_incident]
medium: [log, notify_admin]
}API
# List risk scores for all agents
GET /api/risk-scores
Authorization: Bearer TOKEN
# Response
{
"agents": [
{
"agent_id": "agent-abc123",
"agent_name": "prod-deploy-agent",
"risk_score": 72,
"risk_level": "high",
"factors": { "command_frequency": 45, "privilege_escalation": 12, "policy_violations": 15 },
"last_updated": "2026-05-07T12:00:00Z"
}
]
}
# Get detailed risk score for specific agent
GET /api/risk-scores/{agent_id}Дашборд
Визуализация Risk Scores доступна в дашборде: /dashboard/risk-scores. Цветовая кодировка (зелёный → красный), тренды за период, детализация по факторам.