Contexte : Le SIEM génère de nombreuses alertes indiquant des tentatives de brute force sur un service web interne. Le Problème : Après analyse préliminaire, il semble que ces alertes proviennent d'un outil interne de supervision qui teste régulièrement la disponibilité du service. Extrait de log : Multiple failed login attempts from 10.0.0.15 Contraintes : Vous ne devez pas désactiver totalement la règle de détection. Il faut ajuster la corrélation pour éviter les faux positifs tout en conservant la capacité de détecter une attaque réelle. Livrable attendu : Identifier la cause du faux positif et proposer une modification de règle ou d'exception permettant de conserver une surveillance efficace.