Agent Shield
Agent Shield oferece aplicação de políticas de rede e monitoramento de segurança para Computadores Agentes.
Isolamento
Section titled “Isolamento”Cada Computador Agente é isolado — kernel dedicado, namespace de memória/disco/rede separado. O egresso de rede é filtrado por política de organização.
Políticas de Rede
Section titled “Políticas de Rede”As políticas de rede controlam quais domínios externos um Computador Agente pode acessar. As políticas são definidas no nível da organização e se aplicam a todos os computadores da organização.
Configurar em: Settings > Security > Network Policy
Modos de Allowlist
Section titled “Modos de Allowlist”| Mode | Behavior |
|---|---|
| Package Managers Only (padrão) | Permite APIs de provedores de IA, GitHub e registros de pacotes. Bloqueia todo o resto. |
| All Domains | Sem restrições de egresso. O agente pode acessar qualquer domínio. |
| None | Bloqueia todos os domínios externos. Adicione domínios específicos manualmente. |
Allowlist padrão (modo Package Managers Only):
| Category | Domains |
|---|---|
| Serviços de IA | api.anthropic.com, api.openai.com, generativelanguage.googleapis.com |
| Hospedagem de código | github.com |
| NPM | registry.npmjs.org, npmjs.com |
| Python | pypi.org, files.pythonhosted.org |
| Rust | crates.io, index.crates.io |
| Sistema | archive.ubuntu.com, security.ubuntu.com |
Domínios Personalizados
Section titled “Domínios Personalizados”Nos modos Package Managers Only e None, você pode adicionar domínios adicionais que seus agentes precisam acessar — APIs internas, serviços SaaS específicos ou qualquer outro endpoint exigido pelos seus fluxos de trabalho.
Monitoramento
Section titled “Monitoramento”O Shield monitora cada conexão de rede feita por agentes executados dentro dos Computadores Agentes.
O que ele captura
Section titled “O que ele captura”- Conexões atribuídas a processos — cada TCP connect é marcado com o nome do processo e a linhagem completa do processo
- Resolução de DNS — nomes de domínio são correlacionados a conexões IP, então você vê
api.github.comem vez de IPs brutos - Contabilidade de bytes — total de bytes enviados e recebidos por conexão
- Ciclo de vida da conexão — tentativas de conexão, resultados e resumos de fechamento
Instalação
Section titled “Instalação”O Shield é gerenciado por versão pela plataforma Rebyte. Quando o monitoramento é habilitado para sua organização:
- O Shield é automaticamente instalado em cada novo computador no momento da criação
- Computadores existentes recebem o Shield em sua próxima retomada
- As atualizações de versão são aplicadas automaticamente
Painel de Segurança
Section titled “Painel de Segurança”O painel de segurança oferece visibilidade em tempo real da atividade de rede do agente em toda a sua organização.
Pontuação de Risco
Section titled “Pontuação de Risco”Cada computador recebe uma pontuação de risco com base em seu comportamento de rede. Computadores com padrões de conexão incomuns — grandes volumes de dados de saída, conexões para domínios não categorizados ou acesso a serviços sensíveis — são sinalizados para revisão.
Classificação de Tráfego
Section titled “Classificação de Tráfego”| Category | Examples |
|---|---|
| Trusted | Seus domínios explicitamente permitidos |
| Provider | APIs de provedores de IA (Anthropic, OpenAI, Google) |
| Benign | Registros de pacotes, sites de documentação |
| Suspicious | Destinos não categorizados ou incomuns |
Gerenciamento de Descobertas
Section titled “Gerenciamento de Descobertas”| State | Meaning |
|---|---|
| New | Gerado automaticamente, ainda não revisado |
| Open | Reconhecido, sob investigação |
| Triaged | Avaliado, prioridade atribuída |
| Muted | Suprimido (falso positivo conhecido ou risco aceito) |
| Resolved | Abordado, nenhuma ação adicional necessária |
Rastreamento de Cobertura
Section titled “Rastreamento de Cobertura”O painel mostra quais computadores em sua organização têm o Shield instalado e quais não têm, para que você possa verificar se a cobertura de monitoramento está completa.
Casos de uso empresariais
Section titled “Casos de uso empresariais”- Trilha de auditoria — cada conexão é registrada com atribuição de processo, carimbos de data/hora, contagem de bytes.
- Prevenção de exfiltração de dados — allowlisting de domínio com modo de negação padrão.
- Investigação de incidentes — pesquise conexões exatas por computador e janela de tempo. A linhagem do processo mostra qual subprocesso iniciou cada conexão.
- Conformidade — SOC 2, ISO 27001, políticas de segurança internas.