01
Vorbereitung
Zielnetzsegment auswählen (Büro-LAN, Server-VLAN, OT) und Köder-Persona (Backup-Server, sekundärer Controller, NAS).
Schritt 01
Produktkatalog
Familie Threat Intel
SYLink Hornetbot
Enterprise-Honeypot · MTTD < 30 s · Erkennung lateraler Bewegungen
Der stille Stolperdraht, der zuschnappt, wenn der Angreifer sich unsichtbar wähnt. SYLink Hornetbot ist ein selbst gehosteter Enterprise-Köder, der innerhalb von Minuten in Ihrem LAN oder Server-VLAN eingesetzt wird: Er gibt sich als legitimer Windows-Server aus (SMB-Freigaben, RDP, SSH, gefälschte Geschäftsanwendungen) und alarmiert beim ersten Scan, beim ersten Authentifizierungsversuch, beim ersten Schreibzugriff auf eine fallengestellte Freigabe. Kein Nutzer hat einen legitimen Grund, ihn anzufassen — jede Interaktion ist ein qualifiziertes Angriffssignal.
Das Produkt, in klaren Worten
Wozu dient es SYLink Hornetbot
Der stille Stolperdraht, der zuschnappt, wenn der Angreifer sich unsichtbar wähnt. SYLink Hornetbot ist ein selbst gehosteter Enterprise-Köder, der innerhalb von Minuten in Ihrem LAN oder Server-VLAN eingesetzt wird: Er gibt sich als legitimer Windows-Server aus (SMB-Freigaben, RDP, SSH, gefälschte Geschäftsanwendungen) und alarmiert beim ersten Scan, beim ersten Authentifizierungsversuch, beim ersten Schreibzugriff auf eine fallengestellte Freigabe. Kein Nutzer hat einen legitimen Grund, ihn anzufassen — jede Interaktion ist ein qualifiziertes Angriffssignal.
Zum Mitnehmen
SYLink Hornetbot — Enterprise-Honeypot · MTTD < 30 s · Erkennung lateraler Bewegungen.
Das technische Handbuch
Wie es verwendet wird
Der Köder, der die Sprache des Angreifers spricht
Le Hornetbot expose un éventail crédible de services réseau d'entreprise : un faux serveur de sauvegarde, des partages SMB sensibles (comptabilité, RH, sauvegardes), un accès RDP exposé, des bases de données apparemment mal sécurisées. Côté attaquant, c'est un poste de travail qu'on adore trouver — sous-sécurisé, riche en données, isolé. Côté défense, c'est un piège : aucun utilisateur n'y a accès, aucun process métier n'y écrit, aucune appli ne s'y connecte.
Toute interaction est qualifiée à la source : une simple sonde TCP devient un signal "reconnaissance", une tentative d'authentification SSH devient "credential spraying", la lecture du partage Comptabilité$ devient "exfiltration de stade 2". Le moteur SYLink corrèle l'événement avec le contexte (heure, IP source, vélocité), enrichit avec la CTI souveraine et déclenche l'alerte vers UniSOC ou votre SIEM en moins de 30 secondes.
L'attaquant ne sait pas qu'il est observé. Pendant qu'il déroule sa kill-chain sur ce qu'il croit être un serveur réel, vos analystes ont déjà identifié son IP source, listé ses outils et démarré le confinement.
Kernfunktionen
- Erkennung in Recon- / Lateral-Movement-Phase, dem EDR voraus
- Typische beobachtete MTTD bei Kunden-Rollouts: 18 bis 30 Minuten nach Erstkompromittierung
- Keine personenbezogenen Daten, kein unkontrollierter ausgehender Verkehr
- LAN-, Server-VLAN-, OT-VLAN-, DMZ-kompatibel — Multi-Instance für Multi-Site
- Native UniSOC-Integration: Ereignisse werden mit globaler Überwachung korreliert
Wo das Produkt in Ihrer Topologie steht
Integration in Ihr Netzwerk
VM leurre déployée dans votre LAN ou VLAN serveurs : elle imite un serveur d'entreprise (partages SMB, RDP, SSH, applicatifs factices) et alerte au premier scan ou à la première tentative d'authentification. Aucune fonction métier — toute interaction est qualifiée.
Bereitstellungs-Pipeline
Implementierungsschema
Typische Bereitstellung: signierte VM in Ihren Hypervisor importieren, eine zum Zielsegment passende IP zuweisen, einen plausiblen Hostnamen wählen, syslog-Ausgabe an Ihr SIEM oder UniSOC anschliessen. Erster Alarm wird über einen kontrollierten internen Scan getestet.
- 02
VM-Import
qcow2.zst in Proxmox / KVM oder OVA in VMware. GPG-Signatur beim Import verifiziert.
Schritt 02 - 03
Personalisierung
Hostname, statische IP, gefälschte Freigaben, Banner an Ihre interne Namensgebung angepasst.
Schritt 03 - 04
Alarmierung anschliessen
Signierte syslog- / Webhook-Ausgabe an UniSOC SYLink oder Ihr SIEM. Alarmtest per kontrolliertem internen Scan.
Schritt 04 - 05
Betrieb & MCO
Signierte Image-Updates über den SYLink-Kanal gepusht (oder manueller Import für Air-Gap). Vierteljährliche Überprüfung der Köder-Persona.
Schritt 05
- 01
Vorbereitung
Zielnetzsegment auswählen (Büro-LAN, Server-VLAN, OT) und Köder-Persona (Backup-Server, sekundärer Controller, NAS).
Schritt 01 - 02
VM-Import
qcow2.zst in Proxmox / KVM oder OVA in VMware. GPG-Signatur beim Import verifiziert.
Schritt 02 - 03
Personalisierung
Hostname, statische IP, gefälschte Freigaben, Banner an Ihre interne Namensgebung angepasst.
Schritt 03 - 04
Alarmierung anschliessen
Signierte syslog- / Webhook-Ausgabe an UniSOC SYLink oder Ihr SIEM. Alarmtest per kontrolliertem internen Scan.
Schritt 04 - 05
Betrieb & MCO
Signierte Image-Updates über den SYLink-Kanal gepusht (oder manueller Import für Air-Gap). Vierteljährliche Überprüfung der Köder-Persona.
Schritt 05
↓ Integrations-Pipeline — Schritt für Schritt, vom Scoping bis zum Go-live ↓
Voraussetzungen
- Proxmox- / KVM- oder VMware-ESXi- / Workstation-Hypervisor
- 1 IP pro Instanz im Zielsegment
- syslog- / Webhook-Ausgabe erreichbar zu UniSOC oder Ihrem SIEM
- Für OT-Perimeter: dediziertes VLAN und angepasste Filterregeln
Was Sie konkret gewinnen
Vorteile
- 01
Erkennung lateraler Bewegungen in unter 30 Sekunden
Während ein EDR laufendes Verhalten auf einem bereits kompromittierten Endgerät erkennt, deckt der Hornetbot den Angreifer in dem Moment auf, in dem dieser das Netzwerk scannt oder enumeriert — oft vor der ersten bösartigen Ausführung.
- 02
Null Falsch-Positive konstruktionsbedingt
Kein legitimer Nutzer hat einen Grund, diesen Server anzufassen. Jede Interaktion ist ein Angriffssignal, an der Quelle qualifiziert.
- 03
Selbst gehostet, Ihre Daten bleiben bei Ihnen
Signiertes Debian-13-VM-Image. Keine ausgehende Telemetrie, keine Drittanbieter-Cloud, keine Callbacks ausserhalb Ihres Perimeters. Air-Gap-kompatibel für sensible Netze.
- 04
NIS2- · DORA- · DSGVO-konform
Deckt Anforderungen zur Vorfallserkennung (NIS2 Art. 21), Meldung (Art. 23), DORA-Betriebsresilienz und DSGVO-Datenminimierung ab — keine personenbezogenen Daten erhoben.
Das vollständige Datenblatt
Spezifikationen
Format & Bereitstellung
| Image | VM Debian 13 minimale · signée GPG |
| Formate | qcow2.zst (Proxmox / KVM) · OVA (VMware / Workstation) |
| Footprint | ≈ 250–280 Mo · 1 vCPU · 1 Go RAM · 4 Go disque |
| Inbetriebnahme | Import VM → IP statique → premier signal en < 5 min |
| Update | Image signée poussée par canal SYLink ou import manuel air-gap |
Exponierte Köderdienste
| SSH (port 22) | Bannière serveur Linux crédible · capture creds + commandes saisies |
| HTTP (port 80) | Page "BackupServer" thématisée · formulaire login factice |
| SMB (port 445) | Partages factices (ex. Comptabilité$, RH$, Sauvegardes$) · capture des accès |
| RDP (port 3389) | Bannière Windows Server · détection brute-force et énumération |
| Bases de données | Stubs Postgres · Redis · MongoDB · Elasticsearch (réponses minimales, log complet) |
| SNMP (port 161) | Réponses System / Interface crédibles pour piéger les outils de découverte |
| Tarpit TCP | Ralentit volontairement les scans massifs pour grappiller du temps de détection |
Fingerprint & Tarnung
| OS-Footprint | TTL 128 · stack TCP/IP simulant Windows Server 2019 |
| Banner | Versions et noms d'hôte cohérents avec votre nomenclature interne (configurable) |
| Hostname / Domain | Personnalisable pour s'intégrer dans votre AD (ex. SRV-BKP-03.intra) |
| Verhalten | Aucune réponse aux scans "trop curieux" qui pourraient révéler la nature leurre |
Alerting & Integration
| Ereignisausgabe | Syslog · JSON HTTP · webhook signé · e-mail |
| Native Konnektoren | UniSOC SYLink · SIEM Splunk / Elastic / QRadar / Sentinel |
| Alarmstufen | Info (scan) · Suspect (auth tentée) · Critique (creds capturés / fichier déposé) |
| Lokale Aufbewahrung | 30 jours de logs sur la VM · export continu vers SIEM |
| Ereignissignierung | HMAC pour intégrité forensique |
Für wen es gemacht ist
Zielgruppen
Multi-Standort-Stadt — Erkennung einer Aussenstellen-Kompromittierung
Eine Stadt mit ca. 80.000 Einwohnern setzt 3 Hornetbots ein (Rathaus, Bibliothek, technische Dienste). Ein Bibliotheks-Endgerät wird durch eine Office-Suite-Malware kompromittiert: 18 Minuten nach der Infektion erfasst der lokale Hornetbot einen SMB-Enumerationsversuch von diesem Endgerät — der Angriff wird eingedämmt, bevor er das zentrale IS erreicht.
Anwaltskanzlei — RDP-Brute-Force während der Geschäftszeiten erkannt
Eine 120-köpfige Kanzlei setzt einen Hornetbot mit Persona „Backup-Server“ ein (RDP nur intern exponiert). Mittags treffen RDP-Versuche von einem Benutzerendgerät ein — der Benutzer hat keinen Grund, ihn anzufassen. Kompromittiertes AD-Konto innerhalb der Stunde isoliert.
Klinik- / Krankenhausnetz — Erkennung im biomedizinischen VLAN
Hornetbot mit Persona „Sekundärer PACS“ im Bildgebungs-VLAN eingesetzt. Jede Interaktion ist konstruktionsbedingt anomal — qualifizierter Alarm sofort bei lateraler Ausbreitung aus dem Büro-VLAN.
Industrie / OT — Wachposten vor der Prozesszone
Hornetbot an der IT/OT-Grenze positioniert, exponiert eine gefälschte SPS und eine „Schemas$“-Freigabe. Erkennt OT-Mapping-Tools (Modbus- / SNMP-Enumeration), bevor sie die echten Systeme erreichen.
Mid-Market 100–500 Endgeräte — Multi-Zone, UniSOC-Alarmierung
3 bis 5 Hornetbots in sensiblen Zonen eingesetzt (HQ-LAN, AD, Backups, Finanzen). Alle speisen UniSOC, korreliert mit der SYLink-CTI — einheitliche Sicht auf „wer wo schnüffelt“ im IS.
Anwalts- / Steuerberaterkanzlei — Signal für Zugangsdatendiebstahl
Persona „Mandantenakten-Server“ über SMB exponiert. Jede Enumeration der Freigabe löst einen kritischen Alarm aus — eine kompromittierte AD-Sitzung wird gefangen, bevor sensible Daten exfiltriert werden.
SYLink Hornetbot in Ihrer Infrastruktur testen
30-minütige geführte Demo, PoC auf einem Pilot-Perimeter, Begleitung durch unsere französischen Teams in Clermont-Ferrand, Marseille und Rennes.