Contexte : L'équipe sécurité souhaite être immédiatement informée si un antivirus est désactivé sur un poste utilisateur. Le Problème : Les logs remontent dans le SIEM, mais aucune règle n'est configurée pour détecter cet événement critique. Contraintes : La règle doit cibler uniquement les événements indiquant la désactivation ou l'arrêt du service antivirus. Les mises à jour normales ne doivent pas déclencher d'alerte. Livrable attendu : Mettre en place une règle de corrélation simple permettant de détecter et d'alerter sur la désactivation d'un agent de sécurité.