Contexte : Le SIEM génère de nombreuses alertes liées à des scans internes, y compris ceux provenant d'outils d'inventaire IT. Le Problème : La règle actuelle déclenche une alerte pour toute connexion vers plus de 10 ports différents en 1 minute. Configuration actuelle : Trigger if distinct_ports > 10 in 60 seconds Cela inclut des outils légitimes. Contraintes : Adapter la règle pour distinguer scans malveillants et outils d'administration connus. Conserver une capacité de détection efficace. Livrable attendu : Proposer une logique de filtrage ou d'exception permettant de réduire les faux positifs sans affaiblir la détection réelle.