01
Preparación
Elija el segmento de red objetivo (LAN ofimática, VLAN de servidores, OT) y la persona del señuelo (servidor de copias, controlador secundario, NAS).
Paso 01
Catálogo de productos
Familia Threat Intel
SYLink Hornetbot
Honeypot empresarial · MTTD < 30 s · detección de movimiento lateral
El cable trampa silencioso que se dispara cuando el atacante se cree invisible. SYLink Hornetbot es un señuelo empresarial autoalojado, desplegado en minutos en su LAN o en su VLAN de servidores: imita un servidor Windows legítimo (recursos compartidos SMB, RDP, SSH, falsas aplicaciones de negocio) y alerta al primer escaneo, al primer intento de autenticación, a la primera escritura sobre un recurso compartido trampa. Ningún usuario tiene una razón legítima para tocarlo: cada interacción es una señal de ataque cualificada.
El producto, en palabras claras
Para qué sirve SYLink Hornetbot
El cable trampa silencioso que se dispara cuando el atacante se cree invisible. SYLink Hornetbot es un señuelo empresarial autoalojado, desplegado en minutos en su LAN o en su VLAN de servidores: imita un servidor Windows legítimo (recursos compartidos SMB, RDP, SSH, falsas aplicaciones de negocio) y alerta al primer escaneo, al primer intento de autenticación, a la primera escritura sobre un recurso compartido trampa. Ningún usuario tiene una razón legítima para tocarlo: cada interacción es una señal de ataque cualificada.
Para recordar
SYLink Hornetbot — Honeypot empresarial · MTTD < 30 s · detección de movimiento lateral.
El manual técnico
Cómo usarlo
El señuelo que habla en lenguaje de atacante
Le Hornetbot expose un éventail crédible de services réseau d'entreprise : un faux serveur de sauvegarde, des partages SMB sensibles (comptabilité, RH, sauvegardes), un accès RDP exposé, des bases de données apparemment mal sécurisées. Côté attaquant, c'est un poste de travail qu'on adore trouver — sous-sécurisé, riche en données, isolé. Côté défense, c'est un piège : aucun utilisateur n'y a accès, aucun process métier n'y écrit, aucune appli ne s'y connecte.
Toute interaction est qualifiée à la source : une simple sonde TCP devient un signal "reconnaissance", une tentative d'authentification SSH devient "credential spraying", la lecture du partage Comptabilité$ devient "exfiltration de stade 2". Le moteur SYLink corrèle l'événement avec le contexte (heure, IP source, vélocité), enrichit avec la CTI souveraine et déclenche l'alerte vers UniSOC ou votre SIEM en moins de 30 secondes.
L'attaquant ne sait pas qu'il est observé. Pendant qu'il déroule sa kill-chain sur ce qu'il croit être un serveur réel, vos analystes ont déjà identifié son IP source, listé ses outils et démarré le confinement.
Capacidades clave
- Detección en fase de reconocimiento / movimiento lateral, por delante del EDR
- MTTD típico observado en despliegues de clientes: de 18 a 30 minutos tras el compromiso inicial
- Sin datos personales, sin tráfico saliente no controlado
- Compatible con LAN, VLAN de servidores, VLAN OT, DMZ — multi-instancia para multisede
- Integración nativa UniSOC: eventos correlacionados con la supervisión global
Dónde se sitúa el producto en su topología
Integración en su red
VM leurre déployée dans votre LAN ou VLAN serveurs : elle imite un serveur d'entreprise (partages SMB, RDP, SSH, applicatifs factices) et alerte au premier scan ou à la première tentative d'authentification. Aucune fonction métier — toute interaction est qualifiée.
Pipeline de despliegue
Esquema de implantación
Despliegue típico: importe la VM firmada en su hipervisor, asigne una IP coherente con el segmento objetivo, elija un hostname plausible, conecte la salida syslog a su SIEM o a UniSOC. La primera alerta se prueba mediante un escaneo interno controlado.
- 02
Importación de la VM
qcow2.zst en Proxmox / KVM o OVA en VMware. Firma GPG verificada en la importación.
Paso 02 - 03
Personalización
Hostname, IP estática, recursos compartidos falsos, banners alineados con su naming interno.
Paso 03 - 04
Cableado de alertas
Salida syslog / webhook firmada hacia UniSOC SYLink o su SIEM. Prueba de alerta mediante escaneo interno controlado.
Paso 04 - 05
Operación y MCO
Actualizaciones de imagen firmadas distribuidas por el canal SYLink (o importación manual para air-gap). Revisión trimestral de la persona del señuelo.
Paso 05
- 01
Preparación
Elija el segmento de red objetivo (LAN ofimática, VLAN de servidores, OT) y la persona del señuelo (servidor de copias, controlador secundario, NAS).
Paso 01 - 02
Importación de la VM
qcow2.zst en Proxmox / KVM o OVA en VMware. Firma GPG verificada en la importación.
Paso 02 - 03
Personalización
Hostname, IP estática, recursos compartidos falsos, banners alineados con su naming interno.
Paso 03 - 04
Cableado de alertas
Salida syslog / webhook firmada hacia UniSOC SYLink o su SIEM. Prueba de alerta mediante escaneo interno controlado.
Paso 04 - 05
Operación y MCO
Actualizaciones de imagen firmadas distribuidas por el canal SYLink (o importación manual para air-gap). Revisión trimestral de la persona del señuelo.
Paso 05
↓ Pipeline de integración — paso a paso, del encuadre a la puesta en producción ↓
Requisitos previos
- Hipervisor Proxmox / KVM o VMware ESXi / Workstation
- 1 IP por instancia en el segmento objetivo
- Salida syslog / webhook accesible hacia UniSOC o su SIEM
- Para perímetros OT: VLAN dedicada y reglas de filtrado adaptadas
Lo que gana en concreto
Ventajas
- 01
Detección de movimiento lateral en menos de 30 segundos
Donde un EDR detecta un comportamiento en curso sobre un puesto ya comprometido, el Hornetbot saca a la luz al atacante en el momento en que escanea o enumera la red, a menudo antes de la primera ejecución maliciosa.
- 02
Cero falsos positivos por construcción
Ningún usuario legítimo tiene razón alguna para tocar este servidor. Cada interacción es una señal de ataque, cualificada en origen.
- 03
Autoalojado, sus datos se quedan con usted
Imagen VM Debian 13 firmada. Sin telemetría saliente, sin nube de terceros, sin retornos fuera de su perímetro. Compatible air-gap para redes sensibles.
- 04
Conforme con NIS2 · DORA · RGPD
Cubre los requisitos de detección de incidentes (NIS2 art. 21), notificación (art. 23), resiliencia operativa DORA y minimización RGPD: no se recogen datos personales.
La ficha técnica completa
Especificaciones
Formato y despliegue
| Imagen | VM Debian 13 minimale · signée GPG |
| Formatos | qcow2.zst (Proxmox / KVM) · OVA (VMware / Workstation) |
| Huella | ≈ 250–280 Mo · 1 vCPU · 1 Go RAM · 4 Go disque |
| Puesta en servicio | Import VM → IP statique → premier signal en < 5 min |
| Actualización | Image signée poussée par canal SYLink ou import manuel air-gap |
Servicios señuelo expuestos
| SSH (port 22) | Bannière serveur Linux crédible · capture creds + commandes saisies |
| HTTP (port 80) | Page "BackupServer" thématisée · formulaire login factice |
| SMB (port 445) | Partages factices (ex. Comptabilité$, RH$, Sauvegardes$) · capture des accès |
| RDP (port 3389) | Bannière Windows Server · détection brute-force et énumération |
| Bases de données | Stubs Postgres · Redis · MongoDB · Elasticsearch (réponses minimales, log complet) |
| SNMP (port 161) | Réponses System / Interface crédibles pour piéger les outils de découverte |
| Tarpit TCP | Ralentit volontairement les scans massifs pour grappiller du temps de détection |
Fingerprint y sigilo
| Huella del SO | TTL 128 · stack TCP/IP simulant Windows Server 2019 |
| Banners | Versions et noms d'hôte cohérents avec votre nomenclature interne (configurable) |
| Hostname / dominio | Personnalisable pour s'intégrer dans votre AD (ex. SRV-BKP-03.intra) |
| Comportamiento | Aucune réponse aux scans "trop curieux" qui pourraient révéler la nature leurre |
Alertas e integración
| Salida de eventos | Syslog · JSON HTTP · webhook signé · e-mail |
| Conectores nativos | UniSOC SYLink · SIEM Splunk / Elastic / QRadar / Sentinel |
| Niveles de alerta | Info (scan) · Suspect (auth tentée) · Critique (creds capturés / fichier déposé) |
| Retención local | 30 jours de logs sur la VM · export continu vers SIEM |
| Firma de eventos | HMAC pour intégrité forensique |
Para quién está hecho
Destinatarios
Municipio multisede — detección del compromiso de una sede anexa
Un municipio de unos 80.000 habitantes despliega 3 Hornetbots (ayuntamiento, biblioteca, servicios técnicos). Un puesto de la biblioteca se ve comprometido por un malware embebido en una suite ofimática: 18 minutos después de la infección, el Hornetbot local captura un intento de enumeración SMB desde ese puesto: el ataque se contiene antes de alcanzar el SI central.
Despacho de abogados — fuerza bruta RDP detectada en horario laboral
Un despacho de 120 personas despliega un Hornetbot con persona de "servidor de copias de seguridad" (RDP solo expuesto internamente). A mediodía, llegan intentos RDP desde un puesto de usuario: el usuario no tiene razón para tocarlo. Cuenta AD comprometida aislada en una hora.
Red de clínica / hospital — detección en la VLAN biomédica
Hornetbot con persona de "PACS secundario" desplegado en la VLAN de imagen médica. Cualquier interacción es anormal por construcción: alerta cualificada inmediatamente sobre la propagación lateral desde la VLAN ofimática.
Industria / OT — centinela antes de la zona de proceso
Hornetbot situado en la frontera TI/OT, exponiendo un falso PLC y un recurso compartido "Schemas$". Detecta las herramientas de mapeo OT (enumeración Modbus / SNMP) antes de que alcancen los sistemas reales.
Mediana empresa 100–500 puestos — multi-zona, alertas a UniSOC
De 3 a 5 Hornetbots desplegados en zonas sensibles (LAN sede, AD, copias de seguridad, finanzas). Todos alimentan UniSOC, correlacionados con la SYLink CTI: visión unificada de "quién hurga dónde" en el SI.
Despacho jurídico / contable — señal de robo de credenciales
Persona de "servidor de carpetas de cliente" expuesta vía SMB. Cualquier enumeración del recurso compartido dispara una alerta crítica: una sesión AD comprometida se detecta antes de que se exfiltren datos sensibles.
Probar SYLink Hornetbot en su infraestructura
Demo guiada de 30 minutos, PoC en un perímetro piloto, acompañamiento por nuestros equipos franceses con sede en Clermont-Ferrand, Marsella y Rennes.