Bonjour,

Voila ce n'est pas un exercice technique mais plutôt de logique : j'ai implémenté un IDS (Suricata), et affiché les alertes relevées par Suricata dans un serveur web jusque la aucun souci.
Ce qu'il faudrait, c'est alerter la direction technique lorsqu'il y a vraiment besoin.

J'ai donc établi la liste suivante des conditions requises pour alerter la direction technique en temps réel :

  • Suricata relève une alerte applicative en entrée et une trame est renvoyée en sortie (ce qui veut dire que le serveur a traité la requête ayant relevée une alerte), sauf pour de l'authentification
  • Un des serveurs répond à une IP ayant fait un scan de port.
  • Une IP réussit à se connecter après X essais infructueux ou bien une IP tente plusieurs ogin/mdp infructueux en un temps donné.
  • Utilisation d’un protocole non utilisé dans l'infrastructure.
  • Attaque de type DOS/DDOS
  • une IP est souvent sujette à alertes


Si vous avez d'autres idées je suis preneur.

Merci !