Contexte : Les comptes de service sont exclus de nombreuses règles pour éviter les faux positifs. Le Problème : Un compte de service compromis pourrait être utilisé de manière interactive sans être détecté. Contraintes : Surveiller les connexions interactives des comptes de service. Détecter toute connexion depuis un poste utilisateur ou en dehors des serveurs autorisés. Livrable attendu : Définir une règle de corrélation capable d'identifier une utilisation anormale d'un compte de service sans perturber les opérations applicatives normales.