Module Endpoint · EDR Agent

Sylink-EDR

Agent EDR souverain pour Windows, macOS et Linux. Détecte, prévient et répond aux menaces directement sur le poste — avec une empreinte mémoire de 9 Mo et zéro dépendance cloud étrangère.

Windows / macOS / Linux9 Mo RAMETW + YARA + SigmaActive Response

L'agent Sylink-EDR voit tout ce qui se passe sur le poste : exécution de processus, accès fichiers, chargement DLL, requêtes registre, communications réseau, opérations DLP. Il détecte localement (sans attendre le SOC) les patterns malveillants — ransomware, exfiltration, mouvement latéral, persistence — et peut bloquer, isoler ou tuer le processus. Le SOC voit en temps réel et peut piloter l'agent à distance via signed-command.

Capacités

Visibilité endpoint

  • ETW (Event Tracing Windows) : process, image load, file, registry, network
  • Sysmon-equivalent natif (pas besoin d'installer Sysmon)
  • macOS Endpoint Security framework + Unified Log
  • Linux : auditd + eBPF + inotify
  • Hash SHA-256 + signature Authenticode + version PE de chaque exécutable

Détection

  • YARA : 125 000 règles (réécriture action tiering prevent/detect/analyze)
  • Sigma : 3 200 règles auto-converties depuis SigmaHQ
  • 21 workers MITRE ATT&CK (P25-P47) : Living-off-the-Land, persistence, kill-chain
  • ML 50 features : score risk endpoint en temps réel
  • Beacon C2 + UEBA + Bypass detector (AMSI/ETW/EDR tampering)

DLP intégré

  • 11 regex : email, IBAN, CB, IPv4, NIR, AWS keys, JWT, PEM, SSH, Bitcoin
  • DLP USB : whitelist par tenant (VID/PID), quarantaine auto
  • DLP Network : blocage hosts file-sharing/webmail + anti-DoH
  • Blocking actif au moment de la copie/upload — pas juste détection
  • Audit complet à des fins NIS2 article 21 / RGPD

Active Response

  • Quarantaine fichier (move + ACL deny)
  • Kill process avec preuve forensic (memory dump optionnel)
  • Isolation réseau (IP allowlist temporaire)
  • TCP Reset sur connexion sortante suspecte
  • Restore quarantine via signed-command admin SOC

Pilotage IA Sylink

  • Triage automatique des alertes endpoint (4,2% hallucination)
  • Recommended actions : isoler / patch / observer / faux positif
  • Reconstruction kill-chain auto par MITRE ATT&CK
  • Dépendance unifiée Sylink AI 32B local — pas de cloud Crowdstrike/SentinelOne
  • Loop review humain obligatoire (audit DORA art. 28)

Légèreté & robustesse

  • 9 Mo RAM en Rust (vs 800 Mo Python+Presidio rejetés)
  • Heartbeat bidirectionnel 60s + commandes pollées 5min
  • Auto-update via .msi/.deb/.pkg signés UniSOC
  • Self-healing : tampering detection + auto-restart
  • Système de licence dédié (edrt_*) ou unifiée tenant (unisoc_*)

Cas d'usage

Stopper un ransomware avant chiffrement

Le YARA detect tier-1 reconnaît la signature de chiffrement Conti/LockBit/BlackCat avant que les fichiers soient touchés. Active Response kill le process et isole le poste — en moins de 200ms.

Bloquer l'exfiltration de données

L'utilisateur essaie d'uploader un fichier `comptes_clients.xlsx` vers un Google Drive perso. Le DLP regex IBAN match → upload bloqué, alerte SOC, audit trail signé.

Détecter un mouvement latéral

Un compte admin se connecte à 12 postes en 5 minutes via PsExec. Le ML 50 features flagge le pattern, l'IA Sylink corrèle avec les flux DPI, le SOC reçoit une alerte critique avec kill-chain MITRE complète.

Conformité ANSSI + DORA

L'EDR alimente les rapports NIS2/DORA avec des événements signés (HMAC chaîné). L'auditeur peut rejouer chaque chaîne et vérifier qu'aucune décision IA n'a été falsifiée.

Spécifications

Empreinte mémoire9 Mo (Rust, en idle)
OS supportésWindows 10/11, Server 2016+, macOS 12+, Linux glibc 2.31+
Heartbeat60 secondes (bidirectionnel)
Polling commandes5 min (signed-command HMAC SOC)
Stockage local200 Mo logs JSONL rotation
YARA rules125 000 (action tiering prevent/detect/analyze)
Sigma rules3 200 auto-converties
Latence kill process< 200 ms après detection
Sortie cloudAucune — tout va vers votre SOC UniSOC

Intégré nativement à

SYLink AI (triage + reconstruction kill-chain)Sonde DPI (corrélation endpoint × réseau)Application mobile EDR (extension téléphone/tablette)Honeybot (corrélation tentatives latérales)Module Compliance (NIS2 art. 21, DORA art. 28)

Tous les modules SYLink communiquent via une plateforme unifiée — pas de silos, pas de duplication de données. Une seule IA pilote l'ensemble.

Prêt à tester ?

Essai gratuit · sans carte bancaire · sans engagement

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.