Observe · AI Analysis

いま何が流れているかを、見てから絞る。

observe は遮断しません。プロトコル・トップtalker・観測ドメイン（SNI/Host）を可視化し、集約スナップショットをローカルLLMが解析します。データは構内から出ません。

/observe

観測ダッシュボード

ヘッダメタデータと接続先ドメインの集計だけで、これだけ見えます — ペイロードは収集していません。

プロトコル別

tcp/443 72

udp/53 38

tcp/80 12

udp/443 (QUIC) 6

トップ talker

dev-agent-01 64

build-runner 22

dev-agent-02 14

観測ドメイン (SNI/Host) Analyze

api.anthropic.com 86

github.com 47

pypi.org 38

npmjs.com 24

webhook.site🆕 31

a7f3c1b9.ngrok.io🆕 26

dns.google🆕 18

🆕 新規ドメイン egress が安定したホストでの「初めて見るドメイン」は、高シグナルの要調査イベントとして提示されます。

local-LLM analysis

AIが解析する。データは構内から出ない。

解析バックエンドへ送るのは集約スナップショットのみ。通信ペイロードは送りません（そもそも収集しません）。標準構成では外部AIサービスに一切データを送りません。

local-llm · agent-guardrail self-hosted · no external API

Verdict

LIKELY-COMPROMISED

新規観測されたトンネリング / exfil / DoH ドメインが多数。プロンプトインジェクションか資格情報窃取を強く示唆。

Egress allow-list view

sanctioned

api.anthropic.com

unexpected / new

a7f3c1b9.ngrok.io

webhook.site

dns.google

pastebin.com

api.telegram.org

Agent-compromise indicators

exfil / tunnel: ngrok.io · webhook.site · pastebin.com · api.telegram.org

DoH: dns.google で DNS 可視性を回避

fan-out: 単一ホストから 443/53/80/22/3306/6379/9200 → 資格情報ダンプ / 横展開の疑い

Recommended containment

→当該 5 ドメインを deny

→エージェントセグメントを deny-base egress へ（api.anthropic.com / github.com / pypi.org のみ allow）

自走のローカルLLM

構内で完結するローカルLLMが箱の中で解析。クラウドAPI不使用（標準構成）。

初見ドメイン検出

「初めて見るドメイン」を要調査イベントとして提示。侵害の早期シグナルになります。

4部構成の固定レポート

Verdict → Egress allow-list view → Indicators → Recommended containment。封じ込めルールの提案まで。