Contexte : Votre organisation collecte désormais les logs Active Directory, pare-feu et EDR dans le SIEM. Les alertes actuelles sont isolées et peu contextualisées. Le Problème : Une compromission peut passer inaperçue si chaque événement est analysé séparément (échecs d'authentification, exécution suspecte, connexion réseau anormale). Contraintes : Vous devez corréler au minimum trois sources différentes sur une fenêtre temporelle de 15 minutes. La règle doit limiter les faux positifs liés aux activités administratives normales. Livrable attendu : Définir une règle de corrélation multi-événements capable de détecter une séquence suspecte cohérente indiquant une compromission potentielle.