Contexte : Un attaquant a supprimé des journaux sur plusieurs serveurs afin d'effacer ses traces avant d'agir. Le Problème : Les règles actuelles analysent les suppressions de logs par serveur individuellement sans corrélation globale. Configuration actuelle : Alert if log_deletion_detected == true Aucune corrélation multi-hôtes. Contraintes : Détecter la suppression coordonnée sur plusieurs systèmes dans une courte fenêtre temporelle. Exclure les opérations planifiées de maintenance. Livrable attendu : Proposer une règle de corrélation avancée permettant d'identifier une tentative coordonnée d'effacement de traces sur l'infrastructure.