Contexte : Le SIEM génère de nombreuses alertes liées à des scans internes, y compris ceux provenant d'outils d'administration IT légitimes. Le Problème : La règle actuelle déclenche dès qu'un poste contacte plus de 20 ports différents en 1 minute. Configuration actuelle : Trigger if distinct_ports > 20 in 60 seconds Cela inclut des outils de supervision internes. Contraintes : Réduire les faux positifs tout en conservant une capacité de détection des scans malveillants réels. Livrable attendu : Adapter la règle en intégrant des exceptions ou un seuil plus pertinent afin d'améliorer la précision de détection.