Retour aux alertes
exfiltrationPipeline 300s

Exfiltration

Transfert sortant volumineux depuis compte backup vers zones atypiques.

Criticité

Critique

Début

dimanche 1 février 2026 à 10:00:00 UTC

Fin

dimanche 1 février 2026 à 10:30:00 UTC

Analyse détaillée

Récit — 10:00–10:30 UTC : le compte backup_svc associé à 198.51.100.200 présente un transfert sortant volumineux vers des régions atypiques. Scénario exfiltration possible : couper les flux, vérifier clés API et buckets, forensic sur la chaîne backup.

Remédiation proposée

1) Suspendre immédiatement les transferts et les credentials backup_svc. 2) Inspecter buckets et politiques IAM. 3) Bloquer destinations unknown-cn au pare-feu sortant. 4) Conserver preuves pour enquête ; restaurer depuis sauvegardes saines si compromission.

Détail modèle — détection, confiance, justification

Scénario / corrélation

exfiltration

82%

Aligné sur exfiltration (volume sortant anormal).

Niveau de criticité (score)

Critique

86%

Justification niveau critical selon impact et surface (voir incidents agrégés).

Résumé opérationnel (score)

Transfert sortant volumineux depuis compte backup vers zones atypiques.

87%

Résumé dérivé du type d’attaque, des acteurs et des indicateurs clés.

Proposition de remédiation (score)

1) Suspendre immédiatement les transferts et les credentials backup_svc. 2) Inspecter buckets et politiques IAM. 3) Bloquer destinations unknown-cn au pare-feu sortant. 4) Conserver preuves pour enquête ; restaurer depuis sauvegardes saines si compromission.

78%

Couper les flux sortants suspects, révoquer clés S3/API, forensic image disque et buckets, notifier CERT interne.

Fenêtre d’agrégation (secondes)

300 s

100%

Constante pipeline.

Type d’attaque

exfiltration

81%

Transferts volumineux vers destinations atypiques pour le compte backup_svc.

Adresses IP sources

198.51.100.200

80%

Pair réseau associé au flux sortant dominant.

Comptes ou identités ciblés

backup_svc

77%

Compte service impliqué dans les opérations de transfert agrégées.

Début de la fenêtre d’attaque

dimanche 1 février 2026 à 10:00:00 UTC

76%

Début du pic de bytes sortants.

Fin de la fenêtre d’attaque

dimanche 1 février 2026 à 10:30:00 UTC

75%

Fin du transfert consolidé sur la fenêtre.

Indicateurs et signaux

Volume transféré (estimation) : 1200000 · Zones de destination : ["unknown-cn"]

72%

bytes_estimate et dest_regions résument l’ampleur et la géolocalisation approximative des destinations.

Jeu de démonstration — format aligné sur l’API modèle