01
Preparazione
Scegliete il segmento di rete target (LAN office, VLAN server, OT) e la persona del decoy (server di backup, controller secondario, NAS).
Fase 01
Catalogo prodotti
Famiglia Threat Intel
SYLink Hornetbot
Honeypot enterprise · MTTD < 30 s · rilevamento di movimento laterale
Il filo d'inciampo silenzioso che scatta quando l'attaccante si crede invisibile. SYLink Hornetbot è un decoy enterprise self-hosted che si distribuisce in pochi minuti all'interno della vostra LAN o del vostro VLAN server: imita un server Windows legittimo (condivisioni SMB, RDP, SSH, finte applicazioni di business) e lancia l'allarme alla prima scansione, al primo tentativo di autenticazione, alla prima scrittura su una condivisione trappola. Nessun utente ha motivi legittimi per toccarlo — ogni interazione è un segnale di attacco qualificato.
Il prodotto, in parole semplici
A cosa serve SYLink Hornetbot
Il filo d'inciampo silenzioso che scatta quando l'attaccante si crede invisibile. SYLink Hornetbot è un decoy enterprise self-hosted che si distribuisce in pochi minuti all'interno della vostra LAN o del vostro VLAN server: imita un server Windows legittimo (condivisioni SMB, RDP, SSH, finte applicazioni di business) e lancia l'allarme alla prima scansione, al primo tentativo di autenticazione, alla prima scrittura su una condivisione trappola. Nessun utente ha motivi legittimi per toccarlo — ogni interazione è un segnale di attacco qualificato.
Da ricordare
SYLink Hornetbot — Honeypot enterprise · MTTD < 30 s · rilevamento di movimento laterale.
Il manuale tecnico
Come utilizzarlo
Il decoy che parla la lingua dell'attaccante
Le Hornetbot expose un éventail crédible de services réseau d'entreprise : un faux serveur de sauvegarde, des partages SMB sensibles (comptabilité, RH, sauvegardes), un accès RDP exposé, des bases de données apparemment mal sécurisées. Côté attaquant, c'est un poste de travail qu'on adore trouver — sous-sécurisé, riche en données, isolé. Côté défense, c'est un piège : aucun utilisateur n'y a accès, aucun process métier n'y écrit, aucune appli ne s'y connecte.
Toute interaction est qualifiée à la source : une simple sonde TCP devient un signal "reconnaissance", une tentative d'authentification SSH devient "credential spraying", la lecture du partage Comptabilité$ devient "exfiltration de stade 2". Le moteur SYLink corrèle l'événement avec le contexte (heure, IP source, vélocité), enrichit avec la CTI souveraine et déclenche l'alerte vers UniSOC ou votre SIEM en moins de 30 secondes.
L'attaquant ne sait pas qu'il est observé. Pendant qu'il déroule sa kill-chain sur ce qu'il croit être un serveur réel, vos analystes ont déjà identifié son IP source, listé ses outils et démarré le confinement.
Funzionalità chiave
- Rilevamento in fase di recon / movimento laterale, prima dell'EDR
- MTTD tipico osservato sui rollout cliente: da 18 a 30 minuti dopo la compromissione iniziale
- Nessun dato personale, nessun traffico in uscita non controllato
- Compatibile LAN, VLAN server, VLAN OT, DMZ — multi-istanza per multi-sede
- Integrazione UniSOC nativa: eventi correlati con la supervisione globale
Dove si colloca il prodotto nella vostra topologia
Integrazione nella vostra rete
VM leurre déployée dans votre LAN ou VLAN serveurs : elle imite un serveur d'entreprise (partages SMB, RDP, SSH, applicatifs factices) et alerte au premier scan ou à la première tentative d'authentification. Aucune fonction métier — toute interaction est qualifiée.
Pipeline di deployment
Schema di implementazione
Deployment tipico: importate la VM firmata nel vostro hypervisor, assegnate un IP coerente con il segmento target, scegliete un hostname plausibile, collegate l'output syslog al vostro SIEM o a UniSOC. Primo alert testato tramite una scansione interna controllata.
- 02
Importazione VM
qcow2.zst in Proxmox / KVM oppure OVA in VMware. Firma GPG verificata all'importazione.
Fase 02 - 03
Personalizzazione
Hostname, IP statico, finte condivisioni, banner allineati alle vostre convenzioni interne.
Fase 03 - 04
Cablaggio dell'alerting
Output syslog / webhook firmato verso UniSOC SYLink o il vostro SIEM. Test dell'alert tramite scansione interna controllata.
Fase 04 - 05
Run e MCO
Aggiornamenti dell'immagine firmata distribuiti tramite il canale SYLink (o importazione manuale per air-gap). Revisione trimestrale della persona del decoy.
Fase 05
- 01
Preparazione
Scegliete il segmento di rete target (LAN office, VLAN server, OT) e la persona del decoy (server di backup, controller secondario, NAS).
Fase 01 - 02
Importazione VM
qcow2.zst in Proxmox / KVM oppure OVA in VMware. Firma GPG verificata all'importazione.
Fase 02 - 03
Personalizzazione
Hostname, IP statico, finte condivisioni, banner allineati alle vostre convenzioni interne.
Fase 03 - 04
Cablaggio dell'alerting
Output syslog / webhook firmato verso UniSOC SYLink o il vostro SIEM. Test dell'alert tramite scansione interna controllata.
Fase 04 - 05
Run e MCO
Aggiornamenti dell'immagine firmata distribuiti tramite il canale SYLink (o importazione manuale per air-gap). Revisione trimestrale della persona del decoy.
Fase 05
↓ Pipeline di integrazione — passo dopo passo, dal framing alla messa in produzione ↓
Prerequisiti
- Hypervisor Proxmox / KVM o VMware ESXi / Workstation
- 1 IP per istanza nel segmento target
- Output syslog / webhook raggiungibile verso UniSOC o il vostro SIEM
- Per i perimetri OT: VLAN dedicato e regole di filtraggio adattate
Ciò che ottenete concretamente
Vantaggi
- 01
Rilevamento del movimento laterale in meno di 30 secondi
Mentre un EDR rileva un comportamento già in corso su un endpoint compromesso, l'Hornetbot smaschera l'attaccante nel momento in cui scansiona o enumera la rete — spesso prima della prima esecuzione malevola.
- 02
Zero falsi positivi per costruzione
Nessun utente legittimo ha motivo di toccare questo server. Ogni interazione è un segnale di attacco, qualificato all'origine.
- 03
Self-hosted, i vostri dati restano da voi
Immagine VM Debian 13 firmata. Nessuna telemetria in uscita, nessun cloud terzo, nessun callback fuori dal vostro perimetro. Compatibile air-gap per reti sensibili.
- 04
Conforme NIS2 · DORA · GDPR
Copre i requisiti di rilevamento incidente (NIS2 art. 21), di notifica (art. 23), di resilienza operativa DORA e di minimizzazione GDPR — nessun dato personale raccolto.
La scheda tecnica completa
Specifiche
Formato e deployment
| Immagine | VM Debian 13 minimale · signée GPG |
| Formati | qcow2.zst (Proxmox / KVM) · OVA (VMware / Workstation) |
| Footprint | ≈ 250–280 Mo · 1 vCPU · 1 Go RAM · 4 Go disque |
| Messa in servizio | Import VM → IP statique → premier signal en < 5 min |
| Aggiornamento | Image signée poussée par canal SYLink ou import manuel air-gap |
Servizi esca esposti
| SSH (port 22) | Bannière serveur Linux crédible · capture creds + commandes saisies |
| HTTP (port 80) | Page "BackupServer" thématisée · formulaire login factice |
| SMB (port 445) | Partages factices (ex. Comptabilité$, RH$, Sauvegardes$) · capture des accès |
| RDP (port 3389) | Bannière Windows Server · détection brute-force et énumération |
| Bases de données | Stubs Postgres · Redis · MongoDB · Elasticsearch (réponses minimales, log complet) |
| SNMP (port 161) | Réponses System / Interface crédibles pour piéger les outils de découverte |
| Tarpit TCP | Ralentit volontairement les scans massifs pour grappiller du temps de détection |
Fingerprint e furtività
| Fingerprint OS | TTL 128 · stack TCP/IP simulant Windows Server 2019 |
| Banner | Versions et noms d'hôte cohérents avec votre nomenclature interne (configurable) |
| Hostname / dominio | Personnalisable pour s'intégrer dans votre AD (ex. SRV-BKP-03.intra) |
| Comportamento | Aucune réponse aux scans "trop curieux" qui pourraient révéler la nature leurre |
Alerting e integrazione
| Output eventi | Syslog · JSON HTTP · webhook signé · e-mail |
| Connettori nativi | UniSOC SYLink · SIEM Splunk / Elastic / QRadar / Sentinel |
| Livelli di allerta | Info (scan) · Suspect (auth tentée) · Critique (creds capturés / fichier déposé) |
| Ritenzione locale | 30 jours de logs sur la VM · export continu vers SIEM |
| Firma degli eventi | HMAC pour intégrité forensique |
Per chi è pensato
Destinatari
Comune multi-sede — rilevamento di una compromissione in una sede distaccata
Un comune di circa 80.000 abitanti distribuisce 3 Hornetbot (municipio, biblioteca, servizi tecnici). Un endpoint della biblioteca viene compromesso da un malware veicolato dalla suite office: 18 minuti dopo l'infezione l'Hornetbot locale cattura un tentativo di enumerazione SMB da quell'endpoint — l'attacco viene contenuto prima di raggiungere il SI centrale.
Studio legale — brute-force RDP rilevato in orario lavorativo
Uno studio da 120 persone distribuisce un Hornetbot con persona "server di backup" (RDP esposto solo internamente). A metà giornata arrivano tentativi RDP da un endpoint utente — l'utente non ha motivi per toccarlo. Account AD compromesso isolato entro un'ora.
Rete clinica / ospedale — rilevamento sul VLAN biomedicale
Hornetbot con persona "PACS secondario" distribuito sul VLAN dell'imaging medicale. Qualunque interazione è anomala per costruzione — alert qualificato immediato sulla propagazione laterale dal VLAN office.
Industria / OT — sentinella prima della zona di processo
Hornetbot posizionato sul confine IT/OT, esponendo un finto PLC e una condivisione "Schemi$". Rileva strumenti di mappatura OT (enumerazione Modbus / SNMP) prima che raggiungano i sistemi reali.
Media impresa 100–500 endpoint — multi-zona, alerting UniSOC
Da 3 a 5 Hornetbot distribuiti in zone sensibili (LAN HQ, AD, backup, finanza). Tutti alimentano UniSOC, correlati con la SYLink CTI — visione unificata di "chi sta curiosando dove" nel SI.
Studio legale / commercialista — segnale di furto di credenziali
Persona "server fascicoli clienti" esposta via SMB. Qualunque enumerazione della condivisione fa scattare un alert critico — una sessione AD compromessa viene intercettata prima dell'esfiltrazione di dati sensibili.
Provate SYLink Hornetbot sulla vostra infrastruttura
Demo guidata di 30 minuti, PoC su un perimetro pilota, accompagnamento dai nostri team francesi con sede a Clermont-Ferrand, Marsiglia e Rennes.