Poste analyste SOC

Centre d’opérations

Vue d’ensemble pour démarrer un shift : volume d’alertes par criticité, tendance temporelle du catalogue, puis indicateurs SIEM 24 h et accès rapides.

lundi 4 mai 202614:06Heure locale navigateur

Alertes par criticité

Données du catalogue (GET /api/v1/alerts). Faible inclut low, info et autres niveaux.

Chargement…

Critique

critical

Élevé

high

Moyen

medium

Faible

low, info, autres

Nombre d’alertes dans le temps

Agrégation par jour UTC · detection.attack_start_time (ou fin d’attaque si début absent)

Indicateurs 24 h

Événements

—

fenêtre glissante

Débit moyen

—

lissé sur 24 h

IP sources uniques

—

périphérie observée

Rafraîchissement

…

côté API

Accès rapides

Logs

Recherche & corrélation sur le brut S3

Analytics SIEM

Volume, IP sources, timeline 24 h

File d’alertes

Triage & fiches incidents modèle

Assistant IA

Synthèse & questions sur les logs

Rappels shift

Triage critique

Prioriser sévérité haute et échecs d’authentification avant élargissement.

Fenêtre d’observation

Aligner timeline SIEM et logs normalisés sur le même fuseau (UTC / local).

Chaîne de preuve

Conserver raw_ref (S3, ligne) pour toute escalade ou rapport.

Playbooks & wiki

Vérifier procédures d’investigation avant actions destructrices.