01
Preparação
Escolha o segmento de rede alvo (LAN ofimática, VLAN de servidores, OT) e a persona do chamariz (servidor de backups, controlador secundário, NAS).
Passo 01
Catálogo de produtos
Família Threat Intel
SYLink Hornetbot
Honeypot empresarial · MTTD < 30 s · deteção de movimento lateral
O fio invisível que dispara quando o atacante se julga invisível. O SYLink Hornetbot é um chamariz empresarial self-hosted implementado em minutos dentro da sua LAN ou VLAN de servidores: faz-se passar por um servidor Windows legítimo (partilhas SMB, RDP, SSH, falsas aplicações de negócio) e alerta ao primeiro scan, à primeira tentativa de autenticação, à primeira escrita numa partilha armadilhada. Nenhum utilizador tem motivo legítimo para lhe tocar — qualquer interação é um sinal de ataque qualificado.
O produto, em palavras simples
Para que serve SYLink Hornetbot
O fio invisível que dispara quando o atacante se julga invisível. O SYLink Hornetbot é um chamariz empresarial self-hosted implementado em minutos dentro da sua LAN ou VLAN de servidores: faz-se passar por um servidor Windows legítimo (partilhas SMB, RDP, SSH, falsas aplicações de negócio) e alerta ao primeiro scan, à primeira tentativa de autenticação, à primeira escrita numa partilha armadilhada. Nenhum utilizador tem motivo legítimo para lhe tocar — qualquer interação é um sinal de ataque qualificado.
A reter
SYLink Hornetbot — Honeypot empresarial · MTTD < 30 s · deteção de movimento lateral.
O manual técnico
Como utilizá-lo
O chamariz que fala a língua do atacante
Le Hornetbot expose un éventail crédible de services réseau d'entreprise : un faux serveur de sauvegarde, des partages SMB sensibles (comptabilité, RH, sauvegardes), un accès RDP exposé, des bases de données apparemment mal sécurisées. Côté attaquant, c'est un poste de travail qu'on adore trouver — sous-sécurisé, riche en données, isolé. Côté défense, c'est un piège : aucun utilisateur n'y a accès, aucun process métier n'y écrit, aucune appli ne s'y connecte.
Toute interaction est qualifiée à la source : une simple sonde TCP devient un signal "reconnaissance", une tentative d'authentification SSH devient "credential spraying", la lecture du partage Comptabilité$ devient "exfiltration de stade 2". Le moteur SYLink corrèle l'événement avec le contexte (heure, IP source, vélocité), enrichit avec la CTI souveraine et déclenche l'alerte vers UniSOC ou votre SIEM en moins de 30 secondes.
L'attaquant ne sait pas qu'il est observé. Pendant qu'il déroule sa kill-chain sur ce qu'il croit être un serveur réel, vos analystes ont déjà identifié son IP source, listé ses outils et démarré le confinement.
Capacidades-chave
- Deteção em fase de reconhecimento / movimento lateral, à frente do EDR
- MTTD típico observado em implementações nos clientes: 18 a 30 minutos após o comprometimento inicial
- Sem dados pessoais, sem tráfego de saída não controlado
- Compatível com LAN, VLAN de servidores, VLAN OT, DMZ — multi-instância para multi-local
- Integração nativa com UniSOC: eventos correlacionados com a supervisão global
Onde se posiciona o produto na sua topologia
Integração na sua rede
VM leurre déployée dans votre LAN ou VLAN serveurs : elle imite un serveur d'entreprise (partages SMB, RDP, SSH, applicatifs factices) et alerte au premier scan ou à la première tentative d'authentification. Aucune fonction métier — toute interaction est qualifiée.
Pipeline de implementação
Esquema de implementação
Implementação típica: importar a VM assinada para o seu hipervisor, atribuir um IP coerente com o segmento alvo, escolher um hostname plausível, ligar a saída syslog ao seu SIEM ou ao UniSOC. Primeiro alerta testado por um scan interno controlado.
- 02
Importação da VM
qcow2.zst para Proxmox / KVM ou OVA para VMware. Assinatura GPG verificada na importação.
Passo 02 - 03
Personalização
Hostname, IP estático, partilhas falsas, banners alinhados com a sua nomenclatura interna.
Passo 03 - 04
Cablagem dos alertas
Saída syslog / webhook assinada para o UniSOC SYLink ou para o seu SIEM. Teste de alerta por scan interno controlado.
Passo 04 - 05
Operação e MCO
Atualizações de imagem assinadas distribuídas pelo canal SYLink (ou importação manual em air-gap). Revisão trimestral da persona do chamariz.
Passo 05
- 01
Preparação
Escolha o segmento de rede alvo (LAN ofimática, VLAN de servidores, OT) e a persona do chamariz (servidor de backups, controlador secundário, NAS).
Passo 01 - 02
Importação da VM
qcow2.zst para Proxmox / KVM ou OVA para VMware. Assinatura GPG verificada na importação.
Passo 02 - 03
Personalização
Hostname, IP estático, partilhas falsas, banners alinhados com a sua nomenclatura interna.
Passo 03 - 04
Cablagem dos alertas
Saída syslog / webhook assinada para o UniSOC SYLink ou para o seu SIEM. Teste de alerta por scan interno controlado.
Passo 04 - 05
Operação e MCO
Atualizações de imagem assinadas distribuídas pelo canal SYLink (ou importação manual em air-gap). Revisão trimestral da persona do chamariz.
Passo 05
↓ Pipeline de integração — passo a passo, do enquadramento à entrada em produção ↓
Pré-requisitos
- Hipervisor Proxmox / KVM ou VMware ESXi / Workstation
- 1 IP por instância no segmento alvo
- Saída syslog / webhook acessível para o UniSOC ou para o seu SIEM
- Para perímetros OT: VLAN dedicada e regras de filtragem adaptadas
O que ganha em concreto
Vantagens
- 01
Deteção de movimento lateral em menos de 30 segundos
Onde um EDR deteta comportamento em curso num posto já comprometido, o Hornetbot revela o atacante no momento em que ele faz scan ou enumera a rede — frequentemente antes da primeira execução maliciosa.
- 02
Zero falsos positivos por construção
Nenhum utilizador legítimo tem razão para tocar neste servidor. Qualquer interação é um sinal de ataque, qualificado na origem.
- 03
Self-hosted, os seus dados ficam consigo
Imagem VM Debian 13 assinada. Sem telemetria de saída, sem cloud de terceiros, sem callbacks para fora do seu perímetro. Compatível air-gap para redes sensíveis.
- 04
Conforme NIS2 · DORA · RGPD
Cobre as exigências de deteção de incidentes (NIS2 art. 21), notificação (art. 23), resiliência operacional DORA e minimização RGPD — sem recolha de dados pessoais.
A ficha técnica completa
Especificações
Formato e implementação
| Imagem | VM Debian 13 minimale · signée GPG |
| Formatos | qcow2.zst (Proxmox / KVM) · OVA (VMware / Workstation) |
| Pegada | ≈ 250–280 Mo · 1 vCPU · 1 Go RAM · 4 Go disque |
| Entrada em serviço | Import VM → IP statique → premier signal en < 5 min |
| Atualização | Image signée poussée par canal SYLink ou import manuel air-gap |
Serviços-chamariz expostos
| SSH (port 22) | Bannière serveur Linux crédible · capture creds + commandes saisies |
| HTTP (port 80) | Page "BackupServer" thématisée · formulaire login factice |
| SMB (port 445) | Partages factices (ex. Comptabilité$, RH$, Sauvegardes$) · capture des accès |
| RDP (port 3389) | Bannière Windows Server · détection brute-force et énumération |
| Bases de données | Stubs Postgres · Redis · MongoDB · Elasticsearch (réponses minimales, log complet) |
| SNMP (port 161) | Réponses System / Interface crédibles pour piéger les outils de découverte |
| Tarpit TCP | Ralentit volontairement les scans massifs pour grappiller du temps de détection |
Fingerprint e furtividade
| Pegada do SO | TTL 128 · stack TCP/IP simulant Windows Server 2019 |
| Banners | Versions et noms d'hôte cohérents avec votre nomenclature interne (configurable) |
| Hostname / domínio | Personnalisable pour s'intégrer dans votre AD (ex. SRV-BKP-03.intra) |
| Comportamento | Aucune réponse aux scans "trop curieux" qui pourraient révéler la nature leurre |
Alertas e integração
| Saída de eventos | Syslog · JSON HTTP · webhook signé · e-mail |
| Conectores nativos | UniSOC SYLink · SIEM Splunk / Elastic / QRadar / Sentinel |
| Níveis de alerta | Info (scan) · Suspect (auth tentée) · Critique (creds capturés / fichier déposé) |
| Retenção local | 30 jours de logs sur la VM · export continu vers SIEM |
| Assinatura dos eventos | HMAC pour intégrité forensique |
Para quem é feito
Destinatários
Cidade multi-local — deteção de comprometimento de anexo
Uma cidade com cerca de 80.000 habitantes implementa 3 Hornetbots (câmara municipal, biblioteca, serviços técnicos). Um posto na biblioteca é comprometido por malware embebido em suite ofimática: 18 minutos após a infeção o Hornetbot local capta uma tentativa de enumeração SMB a partir desse posto — o ataque é contido antes de chegar ao SI central.
Sociedade de advogados — força bruta RDP detetada em horário laboral
Um escritório com 120 colaboradores implementa um Hornetbot com persona "servidor de backups" (RDP exposto apenas internamente). A meio do dia, chegam tentativas RDP a partir de um posto de utilizador — o utilizador não tem razão para lhe tocar. Conta AD comprometida isolada na hora.
Rede clínica / hospitalar — deteção na VLAN biomédica
Hornetbot com persona "PACS secundário" implementado na VLAN de imagiologia médica. Qualquer interação é anormal por construção — alerta qualificado de imediato em propagação lateral a partir da VLAN ofimática.
Indústria / OT — sentinela antes da zona de processo
Hornetbot posicionado na fronteira TI/OT, expondo um falso PLC e uma partilha "Schemas$". Deteta ferramentas de mapeamento OT (enumeração Modbus / SNMP) antes de chegarem aos sistemas reais.
Mid-market 100–500 postos — multi-zona, alertas UniSOC
3 a 5 Hornetbots implementados em zonas sensíveis (LAN de sede, AD, backups, finanças). Todos alimentam o UniSOC, correlacionados com a SYLink CTI — visão unificada de "quem anda a remexer onde" no SI.
Sociedade de advogados / contabilidade — sinal de roubo de credenciais
Persona "servidor de pastas de clientes" exposto via SMB. Qualquer enumeração da partilha despoleta um alerta crítico — uma sessão AD comprometida é apanhada antes de dados sensíveis serem exfiltrados.
Testar SYLink Hornetbot na sua infraestrutura
Demonstração guiada de 30 minutos, PoC num perímetro-piloto, acompanhamento pelas nossas equipas francesas sediadas em Clermont-Ferrand, Marselha e Rennes.