Contexte : Une tentative de brute force réussie n'a pas été détectée par le SIEM malgré plusieurs échecs suivis d'une connexion réussie. Le Problème : La règle actuelle détecte uniquement les échecs répétés sans corréler avec une authentification réussie. Configuration actuelle : Trigger if failed_logins > 5 within 5 minutes Aucune condition ne vérifie la réussite ultérieure. Contraintes : Modifier la règle pour détecter une séquence "plusieurs échecs suivis d'un succès". Éviter les faux positifs liés aux erreurs utilisateur légitimes. Livrable attendu : Proposer une logique de corrélation améliorée permettant de détecter les compromissions potentielles après brute force.