SYLink HoneyPot
VM honeypot ultra-innovante déployée à l'intérieur du LAN client. 14 services leurre (SSH, RDP, SMB, FTP, Veeam fake, MSSQL, Redis, …) qui détectent immédiatement le mouvement latéral interne — avant que le ransomware ne touche les vrais serveurs.
Personne n'a de raison légitime de se connecter à un faux serveur de backup ou à une fausse base SQL. SYLink HoneyPot pose 14 leurres crédibles dans le LAN interne — banner Veeam, partages Samba comptabilité/RH, MSSQL avec logs, RDP avec hostname srvdomaine, page web BackupServer Dashboard avec 200 jobs simulés. Au premier touche, alerte critique. Le SOC voit le mouvement latéral en cours, isole le poste source, déclenche un playbook SOAR — avant que le ransomware démarre.
Capacités
14 services leurre
- SSH (Cowrie medium-interaction) + Telnet
- RDP (xrdp + recorder) + RDP-fake
- SMB (Samba comptabilité/informatique/RH/Direction)
- FTP (proftpd-fake) + 193 fake files canary UUID
- MSSQL + MySQL + PostgreSQL (OpenCanary)
- Redis + VNC + Veeam fake (HTTPS auto-signé)
- ssh-tarpit (port 26 ralentit scanners)
- HTTP honeytrap port 80 (BackupServer Dashboard, 25 routes piégées)
Détection
- Connexion SSH/RDP/SMB sur la VM = automatiquement suspect
- Capture user/password tenté (cowrie.login.success)
- ETW commande exécutée (whoami, net user, dir \\srvdomaine)
- Capture HASSH fingerprint (signature client SSH)
- Inotify sur fichiers canary → alerte si lecture/copie
- TTL=128 spoof OS Windows (trompe les scanners qui filtrent par OS)
Pilotage IA Sylink
- Triage automatique : qualification critique/high/medium
- Reconstruction du chemin attaquant (poste source → leurre)
- Cross-corrélation DPI (qui a parlé au leurre depuis le LAN ?)
- Cross-corrélation EDR (quel processus sur le poste source ?)
- Génération playbook SOAR auto (block IP, rotate userdb, alert mode)
Système de licence VM
- Fingerprint VM (DMI uuid + machine-id + MAC + first_boot)
- Lock mode si licence absente (8 services down, ssh22222 only)
- Token signé HMAC enrôlement
- Activation via portail client : QR scan + auto-affecte tenant
- Révocation à distance via SOC = lock mode immédiat
Threat intel locale
- IPs attaquantes propagées dans `unified_iocs` (cti_tier=2)
- Si l'attaquant tape ailleurs sur le périmètre tenant → alerte
- Détection scan/DDoS/SYN-flood automatique
- Boot event analysis (kernel_panic / oom / manual_shutdown)
- Watchdog SOC détecte VM down + auto-replays événements
Boucle SOAR
- Auto-block IP → propagé au pare-feu tenant + DPI
- Rotate userdb cowrie (rotation pots de miel)
- Alert mode high → escalation analyst SOC
- Generate decoy → régénère 193 fake files
- TCP Reset sur connexion vers leurre = traçabilité endpoint
Cas d'usage
Détecter un attaquant déjà dans le LAN
Le ransomware se prépare en 7-14 jours via mouvement latéral. SYLink HoneyPot détecte la première tentative SMB sur le faux serveur de backup → alerte critique 14 jours avant le chiffrement réel.
Tromper les scanners (red team / pentest)
Un attaquant lance nmap dans le LAN. La VM HoneyPot répond Windows Server (TTL=128), Veeam Backup, MSSQL, RDP. L'attaquant perd 30 minutes à investiguer un faux serveur — temps que le SOC réagit.
Capturer les credentials latéraux
Un script automatique tente psexec\\srvdomaine avec admin/admin1234. Cowrie capture les credentials → SOC sait quel compte est compromis ailleurs sur le LAN.
Threat intel propagée tenant-wide
L'IP attaquante est ajoutée automatiquement aux feeds CTI internes. Si elle réapparait sur le DPI ou l'EDR ailleurs, alerte instantanée. Une seule détection alimente toute la chaîne.
Spécifications
Intégré nativement à
Tous les modules SYLink communiquent via une plateforme unifiée — pas de silos, pas de duplication de données. Une seule IA pilote l'ensemble.