Contexte : L'organisation souhaite détecter immédiatement la création de nouveaux comptes administrateurs. Le Problème : Les événements de création de comptes sont collectés mais ne sont pas corrélés avec l'attribution de privilèges élevés. Contraintes : Détecter la création d'un compte suivie de son ajout à un groupe administrateur dans un court intervalle de temps. Limiter les faux positifs liés aux processus RH normaux. Livrable attendu : Définir une règle de corrélation simple permettant de détecter la création et l'élévation rapide d'un compte utilisateur.