Contexte : Votre organisation utilise Active Directory et centralise les logs Kerberos dans le SIEM. Un exercice Red Team a démontré qu'une attaque Golden Ticket pourrait passer inaperçue. Le Problème : Les règles actuelles ne surveillent que les échecs d'authentification et ignorent les anomalies dans les tickets Kerberos valides. Contraintes : Corréler les événements Kerberos (TGT, TGS), analyser les durées de validité anormales, détecter l'utilisation de SID privilégiés inhabituels et identifier les tickets émis sans authentification préalable cohérente. Livrable attendu : Définir une stratégie de détection détaillée incluant indicateurs techniques précis et logique de corrélation permettant d'identifier un Golden Ticket actif.