➔ Scénarios 1: Surveillance des modifications mots de passes des comptes

privilégiés
Un utilisateur change le mot de passe d’un compte privilégié et déclenche une alerte pour
identifier si cette action est légitime ou non.
➔ Scénarios 2: Connexions à des heures inhabituelles
Un employé se connecte à son compte à 3 heures du matin alors qu'il n'est pas de garde ou
n'a pas d'autorisation spécifique pour accéder au système à cette heure, cela pourrait
indiquer une activité suspecte.
➔ Scénarios 3: Détection d'attaques par force brute
● Si plus de cinq tentatives de connexion non réussie sont enregistrées sur un même
compte utilisateur en moins d’une minute, déclencher une alerte de sécurité.
● Règle : Si plusieurs tentatives de connexion infructueuses sont enregistrées pour un
même compte utilisateur, suivies d'une tentative réussie avec les mêmes identifiants,
cela peut indiquer une tentative d'attaque par force brute.
➔ Scénarios 4: Activité inattendue sur des comptes normalement inactifs :
Un compte qui n'a pas été utilisé depuis des mois soudainement se connecte à partir d'une
adresse IP étrangère ou tente d'accéder à des informations sensibles, cela pourrait indiquer
une compromission du compte. De même, si un compte d'ancien employé commence à
accéder à des systèmes auxquels il n'avait pas accès lorsqu'il était actif, cela pourrait être
une indication de tentative d'accès non autorisé.
➔ Scénarios 5: Surveillance de l'intégrité des fichiers critiques
Un attaquant tente de changer les fichiers de configuration d’un système pour compromettre
le bon fonctionnement du serveur. Un système de surveillance pourrait comparer
régulièrement les empreintes de hachage (hash) des fichiers de configuration critiques avec
des valeurs de référence préalablement enregistrées. Exemple: /etc/passwd
➔ Scénarios 6: Détection des scans de ports
détecter des modèles de communication suspects qui pourraient indiquer un scan de ports
en cours. Cela pourrait inclure des tentatives répétées de connexion à différents ports, en
particulier à des ports non standard ou inactifs, ou des tentatives de connexion à partir
d'adresses IP suspectes ou malveillantes.
➔ Scénarios 7: Insertion de clés USB
Un système de surveillance peut alerter l'administrateur système chaque fois qu'une clé
USB est insérée dans un serveur de l'entreprise, ce qui lui permet de vérifier si cette action
est autorisée et s'il y a un risque de violation de sécurité.
➔ Scénarios 8: Désactivation et Désinstallation des Antivirus ou EDR
Un système de surveillance peut alerter quand l’antivirus/EDR est désactivé ou désinstaller
sur le système.
➔ Scénarios 9: Détection d'intrusions réseau
Si une adresse IP externe tente d'établir plus de 100 connexions simultanées avec le
serveur web interne, déclencher une alerte et bloquer l'adresse IP.
➔ Scénarios 10: Détection de tentatives d'exfiltration de données :
Si un système envoie un volume anormalement élevé de requêtes de transmission de
données vers des destinations externes (dropbox, mediafire, …), cela peut indiquer une
infection par un logiciel malveillant ou une tentative de fuite de données.
➔ Scénarios 11: Détection de comportements anormaux des applications :
Si une application interne commence à consommer des ressources système de manière
excessive, générer une alerte et enquêter sur l'activité de l'application.
 ➔ Scénarios 12: Détection d'intrusions réseau :

Si un grand nombre de requêtes HTTP provenant d'une même adresse IP sont envoyées à
un serveur web en un court laps de temps, cela peut indiquer une attaque par déni de
service (DDoS) en cours.