SOC managé souverainObserver le réseau.
Comprendre les endpoints.
Anticiper grâce à l'IA.
UniSOC couvre réseau, endpoint et identité dans une seule console SOC managée souveraine, opérée depuis la France. Trois modules complémentaires, déployables indépendamment ou combinés.
Essai gratuit · sans carte bancaire · sans engagement
Décrivez votre besoin — l'IA construit le dashboard
Plus aucune configuration manuelle. Choisissez un template ou tapez votre demande en langage naturel : SYLink AI assemble les widgets, sources et corrélations en quelques secondes.
De la donnée brute à la réponse — en secondes
Le pipeline UniSOC traite chaque événement réseau et endpoint en temps réel.
Collecte
DPI + EDR
Normalisation
Enrichissement
Corrélation IA
SYLink AI
Priorisation
Score de risque
Alerte
Triage auto
Investigation
Kill chain
Réponse
SOAR / EDR
Rapport
NIS2 / RGPD
Investigation automatisée — la kill chain reconstruite
Chaque alerte déclenche une investigation croisée : SYLink AI corrèle les flux DPI, les événements EDR, les comportements UEBA et les IOCs pour reconstituer automatiquement l'attaque.
Collecte des signaux
Tous les événements DPI, EDR, UEBA et CTI associés à l'alerte sont agrégés en temps réel.
Corrélation croisée
SYLink AI croise réseau × endpoint × comportement pour éliminer les faux positifs et confirmer la menace.
Attribution MITRE
Chaque action détectée est mappée à une ou plusieurs techniques MITRE ATT&CK avec son niveau de confiance.
Reconstruction kill chain
Les étapes de l'attaque sont ordonnées chronologiquement : initial access → exécution → persistence → exfiltration.
Rapport d'incident
Rapport complet généré en français par SYLink AI — timeline, IOCs, actions recommandées, prêt pour l'ANSSI.
Réponse active — pas seulement des alertes
Quand une menace est confirmée, UniSOC bloque. Trois vecteurs d'action indépendants, déclenchés automatiquement ou manuellement selon le playbook SOAR.
EDR — Mode Réponse
L'agent SYLink EDR exécute des actions directement sur le poste compromis, sans intervention réseau. Idéal pour les postes mobiles hors périmètre.
- Isolation réseau — Coupe toutes les connexions du poste, maintient la console admin
- Kill process — Termine le processus malveillant (PID ciblé ou arborescence complète)
- Quarantaine fichier — Déplace le fichier suspect en zone protégée pour analyse forensique
- Rollback snapshot — Restauration à un état sain (si snapshot disponible)
Sonde DPI — TCP Reset
La sonde DPI envoie des paquets TCP RST forgés pour couper une session suspecte en cours, sans bloquer l'IP de façon permanente. Chirurgical et réversible.
- TCP RST ciblé — Coupe une session C2 précise sans affecter les autres connexions
- RST bidirectionnel — Envoi simultané vers la source ET la destination pour rupture garantie
- Temps réel — Déclenché en moins d'une seconde après détection comportementale
- Zéro impact métier — Seule la connexion malveillante est interrompue, pas le poste entier
Firewall — API de blocage
UniSOC pousse une règle de blocage directement vers votre pare-feu périmétrique via son API REST. Blocage persistant au niveau réseau, indépendant des agents.
- Blocage IP persistant — Règle injectée dans le firewall pour blocage durable de l'IP malveillante
- Blocage de port/protocole — Peut cibler un port ou protocole spécifique sans bloquer toute l'IP
- Auto-expiration — Règle avec TTL configurable — expiration automatique après X heures
- Audit trail — Chaque action est tracée avec timestamp, déclencheur et opérateur
SOAR — Les 3 vecteurs coordonnés
Le moteur SOAR d'UniSOC choisit et enchaîne automatiquement les vecteurs selon le type d'incident. Chaque playbook est configurable et auditable.
Notre moteur fabrique ses propres règles de détection
SYLink AI ne se contente pas d'appliquer des règles existantes — il en génère de nouvelles, adaptées à votre environnement et aux menaces observées dans vos données.
Règles Sigma — SIEM-ready
SYLink AI analyse les comportements suspects observés dans vos logs EDR et génère des règles Sigma exportables directement vers votre SIEM (Splunk, Elastic, Sentinel).
Règles YARA — détection malware
À partir des fichiers et processus suspects capturés par l'EDR, le moteur produit des règles YARA ciblant les marqueurs structurels des menaces identifiées dans votre parc.
Depuis une description en langage naturel
Décrivez une menace en français ou en anglais — SYLink AI génère la règle de détection correspondante, prête à être poussée sur vos agents EDR ou intégrée dans votre SIEM.
Optimisation continue des règles existantes
Le moteur mesure le taux de faux positifs de chaque règle en production et propose automatiquement des ajustements pour les réduire sans dégrader la détection.
Architecture modulaire
EDR ou DPI ? Les deux. Ou un seul. À votre rythme.
Chaque module fonctionne indépendamment. Combinés, ils corrèlent menace réseau et action endpoint pour une couverture totale, sans faux positifs.
DPI + EDR corrélés
1 + 1 = 10. La vérité opérationnelle complète.
Ce que vous voyez
- Kill chain complète reconstruite (réseau ↔ endpoint)
- −80 % de faux positifs grâce au double signal
- MTTD < 3 min, MTTR < 15 min sur attaques avancées
- Active Response : isolation poste + TCP RST + blocage firewall
- Traçabilité bout-en-bout : qui, quoi, où, quand, comment
Aucun angle mort.
La corrélation DPI × EDR couvre 100 % de la kill chain MITRE ATT&CK.
Matrice de couverture
Ce que chaque module détecte seul vs combinés.
| Capacité | DPI seul | EDR seul | DPI + EDR |
|---|---|---|---|
| Visibilité du trafic réseau | |||
| YARA & Sigma sur l'endpoint | |||
| Zero Trust endpoint (posture continue) | |||
| Patch Management (CVE → déploiement) | |||
| Mise en quarantaine fichiers malveillants | |||
| DLP — exfiltration USB & cloud | ~ | ||
| Shadow IT / Shadow AI | ~ | ||
| Ransomware (chiffrement local) | |||
| Reconnaissance externe / scans | |||
| Élévation privilèges, persistence | |||
| Equipements non-agentés (IoT, imprimantes) | |||
| Kill chain complète multi-étapes | ~ | ~ | |
| Active Response (isolation + blocage flux) | ~ | ~ |
UniSOC vs SOC traditionnel
| Capacité | SOC traditionnel | UniSOC |
|---|---|---|
| Volume analysé | Échantillonnage (logs) | 100% trafic DPI + logs EDR |
| Détection | Signatures connues uniquement | Comportemental + IA + signatures |
| Faux positifs | Élevés — fatigue d'alerte | < 6% — triage automatique |
| Délai de réponse | Heures à jours | Secondes à minutes |
| Visibilité | Silotée (réseau OU endpoint) | Unifiée réseau × endpoint × cloud |
| Conformité | Rapports manuels | Auto-générés NIS2/RGPD/DORA |
| Déploiement | Semaines à mois | < 48 heures |
| Données | Cloud étranger souvent | France — data centers Unitel |
Écosystème ouvert
Compatible avec votre infrastructure existante
UniSOC ingère les logs de vos équipements actuels et exporte vers votre SIEM. Aucun rip-and-replace, aucun lock-in vendeur.
Les briques propres UniSOC — Sonde DPI SYLink, agent EDR, honeypot Hornetbot, extension Browser, collecteur SYLink Box/Pro et IA souveraine. Tout est inclus, déployable seul ou ensemble.
Sonde DPI SYLink
VM ESXi / Proxmox / Hyper-V
SYLink EDR
Agent Rust — Win/Linux/macOS
SYLink Hornetbot
Honeypot VM — Proxmox / VMware
SYLink Browser
Extension Firefox / Chrome / Edge
SYLink Box / Pro
Collecteur quotidien (LAN edge)
SYLink AI
LLM corrélation souverain
UniFi Collector
Syslog 5140 + API Controller
Vous ne voyez pas votre fournisseur ?
Notre parser générique ingère tout flux Syslog, CEF et LEEF. Pour les API propriétaires, nous écrivons un connecteur custom sous 48 h via notre catalogue d'intégrateurs.
Mise en oeuvre simple, en moins de 48h
Pas de boîtier physique, pas de déploiement sur site. UniSOC s'installe entièrement en logiciel sur votre infrastructure existante.
VM sur votre hyperviseur
La sonde DPI se déploie comme une machine virtuelle standard sur votre infrastructure de virtualisation. Elle analyse 100% du trafic réseau en coupure ou en écoute passive — aucun matériel supplémentaire requis.
La sonde est préconfigurée et remonte automatiquement ses données vers la plateforme UniSOC dès la première mise sous tension.
Léger, sans redémarrage
L'agent SYLink EDR s'installe silencieusement via GPO, script PowerShell ou MDM. Il consomme moins de 1% CPU au repos et ne nécessite aucun redémarrage pour son activation. Compatible avec l'ensemble de votre parc Windows et Linux.
La mise à jour des règles de détection est automatique et transparente — aucune intervention manuelle sur les postes n'est nécessaire.
Questions techniques fréquentes
Architecture, performance, intégration : tout ce que demande un RSSI ou un DSI sur une stack SOC managée souveraine.