Contexte : Plusieurs alertes faibles ont été observées sur différentes semaines : exécution PowerShell encodée, connexions RDP inhabituelles et trafic sortant vers un domaine rare. Le Problème : Aucune règle isolée ne déclenche une alerte critique, mais l'ensemble suggère une attaque persistante avancée. Contraintes : Corréler des événements provenant d'EDR, pare-feu, DNS et authentification. Définir une fenêtre temporelle large tout en limitant les faux positifs. Implémenter un scoring progressif basé sur l'accumulation d'indicateurs. Livrable attendu : Concevoir une règle de corrélation avancée capable de détecter une séquence d'événements faible individuellement mais significative globalement.