Sonde DPI · SYLink EDR · SYLink AI

SOC managé souverainObserver le réseau.
Comprendre les endpoints.
Anticiper grâce à l'IA.

UniSOC couvre réseau, endpoint et identité dans une seule console SOC managée souveraine, opérée depuis la France. Trois modules complémentaires, déployables indépendamment ou combinés.

Essai gratuit · sans carte bancaire · sans engagement

🇫🇷 Hébergé chez Unitel HDS v2·IA SYLink AI on-premise·MTTD < 3 min observé
12M+
IOCs actifs
80+
techniques MITRE ATT&CK
100k+
règles YARA & Sigma
< 3min
délai de détection moyen
Studio · IA générative

Décrivez votre besoin — l'IA construit le dashboard

Plus aucune configuration manuelle. Choisissez un template ou tapez votre demande en langage naturel : SYLink AI assemble les widgets, sources et corrélations en quelques secondes.

client.unisoc.fr/studio
Templates rapides
Vue RSSI
Synthèse exécutive — KPIs, menaces, triage IA
Shadow IT & IA
ChatGPT, Dropbox, AnyDesk, VPN — qui, quand, combien
Threat Intelligence
IOC hits CTI, top menaces, certitude triage IA
Géo & Flux Externes
Top pays, flux entrants/sortants, risque géopolitique
CISO — Risque & Couverture
EDR×DPI, hôtes critiques, angles morts
Lateral Movement
Pivots internes, techniques cross-actifs
Décrivez votre dashboard
Générer avec SYLink AI
Aperçu du dashboard

De la donnée brute à la réponse — en secondes

Le pipeline UniSOC traite chaque événement réseau et endpoint en temps réel.

Collecte

DPI + EDR

Normalisation

Enrichissement

Corrélation IA

SYLink AI

Priorisation

Score de risque

Alerte

Triage auto

Investigation

Kill chain

Réponse

SOAR / EDR

Rapport

NIS2 / RGPD

Investigation automatisée — la kill chain reconstruite

Chaque alerte déclenche une investigation croisée : SYLink AI corrèle les flux DPI, les événements EDR, les comportements UEBA et les IOCs pour reconstituer automatiquement l'attaque.

01

Collecte des signaux

Tous les événements DPI, EDR, UEBA et CTI associés à l'alerte sont agrégés en temps réel.

02

Corrélation croisée

SYLink AI croise réseau × endpoint × comportement pour éliminer les faux positifs et confirmer la menace.

03

Attribution MITRE

Chaque action détectée est mappée à une ou plusieurs techniques MITRE ATT&CK avec son niveau de confiance.

04

Reconstruction kill chain

Les étapes de l'attaque sont ordonnées chronologiquement : initial access → exécution → persistence → exfiltration.

05

Rapport d'incident

Rapport complet généré en français par SYLink AI — timeline, IOCs, actions recommandées, prêt pour l'ANSSI.

SYLink AI — Investigation automatique
> Alerte reçue : T1059.001 — WKS-COMPTA-03
↳ Corrélation DPI : 3 connexions sortantes anormales
↳ EDR : powershell.exe -Enc [base64] PID:4821
↳ UEBA : comportement hors baseline (score +4.2σ)
↳ CTI : IP 91.234.77.14 → IOC confirmé (C2 Cobalt)
 
> Kill chain reconstruite :
T1566.001 Phishing → T1059.001 PowerShell
→ T1055 Injection → T1071.001 C2 HTTP
 
> Sévérité : CRITIQUE | Confiance : 97%
> Actions recommandées : [voir rapport]

Réponse active — pas seulement des alertes

Quand une menace est confirmée, UniSOC bloque. Trois vecteurs d'action indépendants, déclenchés automatiquement ou manuellement selon le playbook SOAR.

Vecteur 1

EDR — Mode Réponse

L'agent SYLink EDR exécute des actions directement sur le poste compromis, sans intervention réseau. Idéal pour les postes mobiles hors périmètre.

  • Isolation réseauCoupe toutes les connexions du poste, maintient la console admin
  • Kill processTermine le processus malveillant (PID ciblé ou arborescence complète)
  • Quarantaine fichierDéplace le fichier suspect en zone protégée pour analyse forensique
  • Rollback snapshotRestauration à un état sain (si snapshot disponible)
// Agent reçoit la commande en <2s
POST /agent/cmd { action: 'isolate', pid: 4821 }
→ 200 OK | host isolated in 1.3s
Vecteur 2

Sonde DPI — TCP Reset

La sonde DPI envoie des paquets TCP RST forgés pour couper une session suspecte en cours, sans bloquer l'IP de façon permanente. Chirurgical et réversible.

  • TCP RST cibléCoupe une session C2 précise sans affecter les autres connexions
  • RST bidirectionnelEnvoi simultané vers la source ET la destination pour rupture garantie
  • Temps réelDéclenché en moins d'une seconde après détection comportementale
  • Zéro impact métierSeule la connexion malveillante est interrompue, pas le poste entier
// Sonde forge et injecte le RST
scapy: IP(dst="45.142.212.18")/TCP(flags="R")
→ session terminated | 0.7s
Vecteur 3

Firewall — API de blocage

UniSOC pousse une règle de blocage directement vers votre pare-feu périmétrique via son API REST. Blocage persistant au niveau réseau, indépendant des agents.

  • Blocage IP persistantRègle injectée dans le firewall pour blocage durable de l'IP malveillante
  • Blocage de port/protocolePeut cibler un port ou protocole spécifique sans bloquer toute l'IP
  • Auto-expirationRègle avec TTL configurable — expiration automatique après X heures
  • Audit trailChaque action est tracée avec timestamp, déclencheur et opérateur
// Push règle via API REST firewall
POST /api/firewall/rules
{ ip: '45.142.212.18', action: 'drop', ttl: 86400 }
→ rule pushed | blocked at perimeter

SOAR — Les 3 vecteurs coordonnés

Le moteur SOAR d'UniSOC choisit et enchaîne automatiquement les vecteurs selon le type d'incident. Chaque playbook est configurable et auditable.

Ransomware
EDR isolate + TCP RST + Firewall block
C2 Beacon
TCP RST + Firewall block IP (TTL 24h)
Compromission compte
EDR kill session + Alerte RSSI
Exfiltration DNS
TCP RST + Firewall block domaine
SOAR Engine — Playbook Ransomware
[14:32:01] CRITICAL: Ransomware — 192.168.10.42
[14:32:01] SOAR: playbook "ransomware" triggered
[14:32:02] EDR: isolate 192.168.10.42 → OK (1.3s)
[14:32:02] EDR: kill PID 4821 (powershell.exe) → OK
[14:32:02] DPI: TCP RST → 45.142.212.18:443 → OK
[14:32:03] FW: block IP 45.142.212.18 TTL=86400 → OK
[14:32:04] AI: rapport incident généré (FR) → OK
[14:32:04] NOTIF: → security@collectivite.fr → sent
─────────────────────────────────────
Total response time: 3.1 seconds
Detection Engineering automatisé

Notre moteur fabrique ses propres règles de détection

SYLink AI ne se contente pas d'appliquer des règles existantes — il en génère de nouvelles, adaptées à votre environnement et aux menaces observées dans vos données.

Règles Sigma — SIEM-ready

SYLink AI analyse les comportements suspects observés dans vos logs EDR et génère des règles Sigma exportables directement vers votre SIEM (Splunk, Elastic, Sentinel).

Règles YARA — détection malware

À partir des fichiers et processus suspects capturés par l'EDR, le moteur produit des règles YARA ciblant les marqueurs structurels des menaces identifiées dans votre parc.

Depuis une description en langage naturel

Décrivez une menace en français ou en anglais — SYLink AI génère la règle de détection correspondante, prête à être poussée sur vos agents EDR ou intégrée dans votre SIEM.

Optimisation continue des règles existantes

Le moteur mesure le taux de faux positifs de chaque règle en production et propose automatiquement des ajustements pour les réduire sans dégrader la détection.

SYLink AI — Rule Generator
> Décrire la menace à détecter :
Process powershell.exe encodé qui contacte une IP externe
[AI] Génération règle Sigma en cours...
─────────────────────────────────────────
title: PowerShell Encoded + C2 Contact
status: production
logsource:
product: windows
category: process_creation
detection:
selection:
Image|endswith: "\powershell.exe"
CommandLine|contains: "-EncodedCommand"
network:
dst_ip|not_private: true
condition: selection and network
─────────────────────────────────────────
[AI] Taux FP estimé : 1.8% | Confiance : 97%
[AI] Prête à déployer → EDR + SIEM

Architecture modulaire

EDR ou DPI ? Les deux. Ou un seul. À votre rythme.

Chaque module fonctionne indépendamment. Combinés, ils corrèlent menace réseau et action endpoint pour une couverture totale, sans faux positifs.

DPI + EDR corrélés

1 + 1 = 10. La vérité opérationnelle complète.

Déploiement : Les deux en parallèle — corrélation IA en temps réel

Ce que vous voyez

  • Kill chain complète reconstruite (réseau ↔ endpoint)
  • −80 % de faux positifs grâce au double signal
  • MTTD < 3 min, MTTR < 15 min sur attaques avancées
  • Active Response : isolation poste + TCP RST + blocage firewall
  • Traçabilité bout-en-bout : qui, quoi, où, quand, comment

Aucun angle mort.

La corrélation DPI × EDR couvre 100 % de la kill chain MITRE ATT&CK.

Matrice de couverture

Ce que chaque module détecte seul vs combinés.

Capacité
DPI seul
EDR seul
DPI + EDR
Visibilité du trafic réseau
YARA & Sigma sur l'endpoint
Zero Trust endpoint (posture continue)
Patch Management (CVE → déploiement)
Mise en quarantaine fichiers malveillants
DLP — exfiltration USB & cloud~
Shadow IT / Shadow AI~
Ransomware (chiffrement local)
Reconnaissance externe / scans
Élévation privilèges, persistence
Equipements non-agentés (IoT, imprimantes)
Kill chain complète multi-étapes~~
Active Response (isolation + blocage flux)~~
Couverture native
~ Couverture partielle
Non couvert

UniSOC vs SOC traditionnel

CapacitéSOC traditionnelUniSOC
Volume analyséÉchantillonnage (logs)100% trafic DPI + logs EDR
DétectionSignatures connues uniquementComportemental + IA + signatures
Faux positifsÉlevés — fatigue d'alerte< 6% — triage automatique
Délai de réponseHeures à joursSecondes à minutes
VisibilitéSilotée (réseau OU endpoint)Unifiée réseau × endpoint × cloud
ConformitéRapports manuelsAuto-générés NIS2/RGPD/DORA
DéploiementSemaines à mois< 48 heures
DonnéesCloud étranger souventFrance — data centers Unitel

Écosystème ouvert

Compatible avec votre infrastructure existante

UniSOC ingère les logs de vos équipements actuels et exporte vers votre SIEM. Aucun rip-and-replace, aucun lock-in vendeur.

Les briques propres UniSOC — Sonde DPI SYLink, agent EDR, honeypot Hornetbot, extension Browser, collecteur SYLink Box/Pro et IA souveraine. Tout est inclus, déployable seul ou ensemble.

Sonde DPI SYLink

VM ESXi / Proxmox / Hyper-V

UniSOC
S

SYLink EDR

Agent Rust — Win/Linux/macOS

UniSOC

SYLink Hornetbot

Honeypot VM — Proxmox / VMware

UniSOC

SYLink Browser

Extension Firefox / Chrome / Edge

UniSOC

SYLink Box / Pro

Collecteur quotidien (LAN edge)

UniSOC

SYLink AI

LLM corrélation souverain

UniSOC

UniFi Collector

Syslog 5140 + API Controller

UniSOC

Vous ne voyez pas votre fournisseur ?

Notre parser générique ingère tout flux Syslog, CEF et LEEF. Pour les API propriétaires, nous écrivons un connecteur custom sous 48 h via notre catalogue d'intégrateurs.

100% logiciel — zéro matériel dédié

Mise en oeuvre simple, en moins de 48h

Pas de boîtier physique, pas de déploiement sur site. UniSOC s'installe entièrement en logiciel sur votre infrastructure existante.

Sonde réseau DPI

VM sur votre hyperviseur

La sonde DPI se déploie comme une machine virtuelle standard sur votre infrastructure de virtualisation. Elle analyse 100% du trafic réseau en coupure ou en écoute passive — aucun matériel supplémentaire requis.

VMware ESXi / vSphere
OVA fourni, déploiement en quelques clics depuis vCenter ou l'interface web
Proxmox VE
Image QCOW2 disponible, compatible KVM — configuration réseau en pont (bridge)
Microsoft Hyper-V
VHD fourni, compatible Windows Server 2016 et supérieur, génération 1 et 2

La sonde est préconfigurée et remonte automatiquement ses données vers la plateforme UniSOC dès la première mise sous tension.

Agent EDR SYLink

Léger, sans redémarrage

L'agent SYLink EDR s'installe silencieusement via GPO, script PowerShell ou MDM. Il consomme moins de 1% CPU au repos et ne nécessite aucun redémarrage pour son activation. Compatible avec l'ensemble de votre parc Windows et Linux.

Windows 10 / 11
Postes utilisateurs — mode service en arrière-plan ou interface graphique pour les utilisateurs avancés
Windows Server 2016 → 2025
Toutes éditions Standard et Datacenter, Core inclus — déploiement via GPO ou WinRM
Linux Debian & Ubuntu (GUI)
Interface graphique disponible pour les DSI souhaitant superviser directement depuis le poste
Linux Debian & Ubuntu (service)
Mode daemon headless pour serveurs et machines sans interface graphique — géré via systemd

La mise à jour des règles de détection est automatique et transparente — aucune intervention manuelle sur les postes n'est nécessaire.

1
Jour 1 — Déploiement
Import de la VM sonde sur votre hyperviseur et installation des agents EDR sur un premier périmètre pilote.
2
Jour 1 — Connexion
La sonde et les agents remontent automatiquement vers la plateforme UniSOC. Première vue du trafic réseau en moins d'une heure.
3
Jour 2 — Production
Calibration des seuils d'alerte sur votre environnement. Première alerte qualifiée par SYLink AI disponible sous 24h.

Opérationnel en moins de 48 heures

Notre équipe vous accompagne à chaque étape — de la configuration initiale à la première alerte.

Questions techniques fréquentes

Architecture, performance, intégration : tout ce que demande un RSSI ou un DSI sur une stack SOC managée souveraine.

Quelle est la différence entre une sonde DPI et un agent EDR ?
La sonde DPI (Deep Packet Inspection) analyse passivement le trafic réseau — elle voit ce qui circule entre les machines (lateral movement, beacon C2, exfiltration HTTPS via JA3/JA4). L'agent EDR surveille les processus sur chaque endpoint (Sysmon, ETW, YARA). UniSOC combine les deux : la sonde DPI capture ce que l'EDR ne voit pas (machines sans agent, IoT, OT), et l'EDR capture ce que le réseau ne voit pas (commandes shell, processus chiffrés).
Faut-il modifier notre réseau pour déployer la sonde DPI ?
Non. La sonde DPI se déploie en mode mirroring SPAN (port miroir sur switch) ou TAP virtuel (vSwitch promiscuous). Aucune modification de topologie, aucun re-câblage, aucune coupure. La VM Proxmox / VMware est fournie clé en main.
L'agent EDR est-il compatible avec mon antivirus existant ?
Oui. SYLink-EDR cohabite avec les antivirus existants (Microsoft Defender, Sophos, Bitdefender, ESET, Kaspersky). Il agit en complément en ajoutant la détection comportementale ETW + YARA + Sigma (~125 000 règles). Pas de conflit, pas de baisse de performance — empreinte 9 Mo RAM idle.
Quelles plateformes l'agent EDR SYLink supporte-t-il ?
Windows 10/11, Windows Server 2016+, Linux (Ubuntu, Debian, RHEL, CentOS, Rocky) et macOS (port natif livré Q3 2026). MSI Windows ~50 Mo, .deb Linux ~9 Mo. Auto-update natif via repo.unisoc.fr — pas de Google ChromeUpdate, pas de serveur Microsoft.
Combien d'événements UniSOC peut-il traiter par seconde ?
Performance observée en production : 4,8 millions de flux DPI ingérés/jour pour un client moyen (ETI 200 postes), 1,2 million d'événements EDR/jour. Pic mesuré : 35 000 événements/seconde sur une configuration 32 cores. Architecture scalable horizontalement par ajout de nœuds Mongo + Redis Streams.
Que se passe-t-il en cas d'incident critique ?
L'Agentic SOC (IA niveau 2) qualifie l'alerte en moins de 8 secondes. Si verdict TRUE_POSITIVE avec confiance ≥ 60 %, le SOAR peut déclencher automatiquement (selon politique tenant) : isolation host, blocage IP, kill process, quarantaine fichier. L'humain reste dans la boucle pour les décisions destructives critiques (loop review obligatoire DORA art. 28).

Voir UniSOC sur votre infrastructure

Démonstration sur vos données réelles. Aucune donnée partagée en dehors de votre environnement.

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.