Contexte : Une simulation d'attaque utilise uniquement des outils natifs du système (PowerShell, WMI, certutil) sans malware externe. Le Problème : Les règles actuelles déclenchent uniquement sur la détection de fichiers malveillants connus. Configuration actuelle : Alert if malware_signature_detected == true Aucune corrélation comportementale n'est configurée. Contraintes : Proposer des règles basées sur comportements anormaux (exécution inhabituelle d'outils système, téléchargements externes, encodage suspect). Livrable attendu : Définir une stratégie de détection comportementale adaptée aux attaques Living-off-the-Land.