Module Réseau · Honeypot interne

SYLink HoneyPot

VM honeypot ultra-innovante déployée à l'intérieur du LAN client. 14 services leurre (SSH, RDP, SMB, FTP, Veeam fake, MSSQL, Redis, …) qui détectent immédiatement le mouvement latéral interne — avant que le ransomware ne touche les vrais serveurs.

Proxmox / VMware14 services leurresMouvement latéralThreat intel locale

Personne n'a de raison légitime de se connecter à un faux serveur de backup ou à une fausse base SQL. SYLink HoneyPot pose 14 leurres crédibles dans le LAN interne — banner Veeam, partages Samba comptabilité/RH, MSSQL avec logs, RDP avec hostname srvdomaine, page web BackupServer Dashboard avec 200 jobs simulés. Au premier touche, alerte critique. Le SOC voit le mouvement latéral en cours, isole le poste source, déclenche un playbook SOAR — avant que le ransomware démarre.

Capacités

14 services leurre

  • SSH (Cowrie medium-interaction) + Telnet
  • RDP (xrdp + recorder) + RDP-fake
  • SMB (Samba comptabilité/informatique/RH/Direction)
  • FTP (proftpd-fake) + 193 fake files canary UUID
  • MSSQL + MySQL + PostgreSQL (OpenCanary)
  • Redis + VNC + Veeam fake (HTTPS auto-signé)
  • ssh-tarpit (port 26 ralentit scanners)
  • HTTP honeytrap port 80 (BackupServer Dashboard, 25 routes piégées)

Détection

  • Connexion SSH/RDP/SMB sur la VM = automatiquement suspect
  • Capture user/password tenté (cowrie.login.success)
  • ETW commande exécutée (whoami, net user, dir \\srvdomaine)
  • Capture HASSH fingerprint (signature client SSH)
  • Inotify sur fichiers canary → alerte si lecture/copie
  • TTL=128 spoof OS Windows (trompe les scanners qui filtrent par OS)

Pilotage IA Sylink

  • Triage automatique : qualification critique/high/medium
  • Reconstruction du chemin attaquant (poste source → leurre)
  • Cross-corrélation DPI (qui a parlé au leurre depuis le LAN ?)
  • Cross-corrélation EDR (quel processus sur le poste source ?)
  • Génération playbook SOAR auto (block IP, rotate userdb, alert mode)

Système de licence VM

  • Fingerprint VM (DMI uuid + machine-id + MAC + first_boot)
  • Lock mode si licence absente (8 services down, ssh22222 only)
  • Token signé HMAC enrôlement
  • Activation via portail client : QR scan + auto-affecte tenant
  • Révocation à distance via SOC = lock mode immédiat

Threat intel locale

  • IPs attaquantes propagées dans `unified_iocs` (cti_tier=2)
  • Si l'attaquant tape ailleurs sur le périmètre tenant → alerte
  • Détection scan/DDoS/SYN-flood automatique
  • Boot event analysis (kernel_panic / oom / manual_shutdown)
  • Watchdog SOC détecte VM down + auto-replays événements

Boucle SOAR

  • Auto-block IP → propagé au pare-feu tenant + DPI
  • Rotate userdb cowrie (rotation pots de miel)
  • Alert mode high → escalation analyst SOC
  • Generate decoy → régénère 193 fake files
  • TCP Reset sur connexion vers leurre = traçabilité endpoint

Cas d'usage

Détecter un attaquant déjà dans le LAN

Le ransomware se prépare en 7-14 jours via mouvement latéral. SYLink HoneyPot détecte la première tentative SMB sur le faux serveur de backup → alerte critique 14 jours avant le chiffrement réel.

Tromper les scanners (red team / pentest)

Un attaquant lance nmap dans le LAN. La VM HoneyPot répond Windows Server (TTL=128), Veeam Backup, MSSQL, RDP. L'attaquant perd 30 minutes à investiguer un faux serveur — temps que le SOC réagit.

Capturer les credentials latéraux

Un script automatique tente psexec\\srvdomaine avec admin/admin1234. Cowrie capture les credentials → SOC sait quel compte est compromis ailleurs sur le LAN.

Threat intel propagée tenant-wide

L'IP attaquante est ajoutée automatiquement aux feeds CTI internes. Si elle réapparait sur le DPI ou l'EDR ailleurs, alerte instantanée. Une seule détection alimente toute la chaîne.

Spécifications

HyperviseurProxmox VE 7+ ou VMware ESXi 6.7+ ou Hyper-V
Resources2 vCPU / 2 GB RAM / 8 GB disque (suffisant)
OS de la VMDebian 13 (trixie) minimaliste
Services actifs14 (SSH, RDP, SMB, FTP, MSSQL, MySQL, Redis, VNC, Veeam fake, HTTP, file-watcher, …)
Ports écoutés21, 22, 23, 26, 80, 139, 443, 445, 1433, 3306, 3389, 5900, 6379, 22222
Format de livraison.ova (VMware), .qcow2 (Proxmox), .iso (install propre)
Heartbeat60 secondes vers SOC + cmd polling 5 min
Sortie cloudAucune — tout va vers votre SOC UniSOC

Intégré nativement à

SYLink AI (triage + reconstruction kill-chain latérale)Sonde DPI (cross-corrélation flux LAN→leurre)Agent EDR (identifier le poste source du mouvement)PenTest VM (les leurres testés alimentent le scope pentest)Module Compliance (preuve de détection NIS2 art. 21)

Tous les modules SYLink communiquent via une plateforme unifiée — pas de silos, pas de duplication de données. Une seule IA pilote l'ensemble.

Prêt à tester ?

Essai gratuit · sans carte bancaire · sans engagement

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.