Contexte : Un exercice Red Team démontre qu'une attaque Golden Ticket n'a pas été détectée par le SOC. Le Problème : Les règles actuelles surveillent les échecs d'authentification mais pas les anomalies dans les tickets Kerberos. Configuration actuelle : Alert if failed_kerberos_auth > threshold Aucune vérification des durées de validité ou SID suspects. Contraintes : Vous devez proposer une règle capable de détecter des tickets Kerberos anormalement longs ou utilisant des SID privilégiés inhabituels. Livrable attendu : Définir une logique de détection adaptée aux attaques Golden Ticket et expliquer les indicateurs clés surveillés.