Sylink-EDR
Agent EDR souverain pour Windows, macOS et Linux. Détecte, prévient et répond aux menaces directement sur le poste — avec une empreinte mémoire de 9 Mo et zéro dépendance cloud étrangère.
L'agent Sylink-EDR voit tout ce qui se passe sur le poste : exécution de processus, accès fichiers, chargement DLL, requêtes registre, communications réseau, opérations DLP. Il détecte localement (sans attendre le SOC) les patterns malveillants — ransomware, exfiltration, mouvement latéral, persistence — et peut bloquer, isoler ou tuer le processus. Le SOC voit en temps réel et peut piloter l'agent à distance via signed-command.
Capacités
Visibilité endpoint
- ETW (Event Tracing Windows) : process, image load, file, registry, network
- Sysmon-equivalent natif (pas besoin d'installer Sysmon)
- macOS Endpoint Security framework + Unified Log
- Linux : auditd + eBPF + inotify
- Hash SHA-256 + signature Authenticode + version PE de chaque exécutable
Détection
- YARA : 125 000 règles (réécriture action tiering prevent/detect/analyze)
- Sigma : 3 200 règles auto-converties depuis SigmaHQ
- 21 workers MITRE ATT&CK (P25-P47) : Living-off-the-Land, persistence, kill-chain
- ML 50 features : score risk endpoint en temps réel
- Beacon C2 + UEBA + Bypass detector (AMSI/ETW/EDR tampering)
DLP intégré
- 11 regex : email, IBAN, CB, IPv4, NIR, AWS keys, JWT, PEM, SSH, Bitcoin
- DLP USB : whitelist par tenant (VID/PID), quarantaine auto
- DLP Network : blocage hosts file-sharing/webmail + anti-DoH
- Blocking actif au moment de la copie/upload — pas juste détection
- Audit complet à des fins NIS2 article 21 / RGPD
Active Response
- Quarantaine fichier (move + ACL deny)
- Kill process avec preuve forensic (memory dump optionnel)
- Isolation réseau (IP allowlist temporaire)
- TCP Reset sur connexion sortante suspecte
- Restore quarantine via signed-command admin SOC
Pilotage IA Sylink
- Triage automatique des alertes endpoint (4,2% hallucination)
- Recommended actions : isoler / patch / observer / faux positif
- Reconstruction kill-chain auto par MITRE ATT&CK
- Dépendance unifiée Sylink AI 32B local — pas de cloud Crowdstrike/SentinelOne
- Loop review humain obligatoire (audit DORA art. 28)
Légèreté & robustesse
- 9 Mo RAM en Rust (vs 800 Mo Python+Presidio rejetés)
- Heartbeat bidirectionnel 60s + commandes pollées 5min
- Auto-update via .msi/.deb/.pkg signés UniSOC
- Self-healing : tampering detection + auto-restart
- Système de licence dédié (edrt_*) ou unifiée tenant (unisoc_*)
Cas d'usage
Stopper un ransomware avant chiffrement
Le YARA detect tier-1 reconnaît la signature de chiffrement Conti/LockBit/BlackCat avant que les fichiers soient touchés. Active Response kill le process et isole le poste — en moins de 200ms.
Bloquer l'exfiltration de données
L'utilisateur essaie d'uploader un fichier `comptes_clients.xlsx` vers un Google Drive perso. Le DLP regex IBAN match → upload bloqué, alerte SOC, audit trail signé.
Détecter un mouvement latéral
Un compte admin se connecte à 12 postes en 5 minutes via PsExec. Le ML 50 features flagge le pattern, l'IA Sylink corrèle avec les flux DPI, le SOC reçoit une alerte critique avec kill-chain MITRE complète.
Conformité ANSSI + DORA
L'EDR alimente les rapports NIS2/DORA avec des événements signés (HMAC chaîné). L'auditeur peut rejouer chaque chaîne et vérifier qu'aucune décision IA n'a été falsifiée.
Spécifications
Intégré nativement à
Tous les modules SYLink communiquent via une plateforme unifiée — pas de silos, pas de duplication de données. Une seule IA pilote l'ensemble.