Contexte : Plusieurs alertes corrélées indiquent des authentifications anormales sur des contrôleurs de domaine ainsi que la création d'un compte administrateur inattendu. Le Problème : Vous devez déterminer si l'environnement Active Directory est compromis et identifier le point d'entrée initial. Contraintes : Vous disposez des logs d'authentification Kerberos/NTLM, des événements de création de comptes, des modifications de groupes sensibles et des connexions réseau associées. Aucune coupure immédiate des services AD n'est autorisée sans justification. Livrable attendu : Reconstituer la chronologie de l'attaque potentielle, identifier les comptes compromis et proposer un plan d'action incluant confinement, réinitialisation des identifiants et surveillance renforcée.