Retour aux alertes
ssh_brute_forcePipeline 300s

Force brute SSH

Force brute SSH : une IP, compte root ciblé, volume d’échecs élevé.

Criticité

Élevé

Début

dimanche 1 février 2026 à 06:00:00 UTC

Fin

dimanche 1 février 2026 à 06:10:00 UTC

Analyse détaillée

Récit — 2026-02-01 06:00–06:10 UTC : une source unique mène une campagne d’échecs SSH répétés contre le compte root. Volume et fenêtre courte compatibles avec une attaque automatisée par dictionnaire ou credential reuse ; les incidents agrégés montrent une concentration des échecs sur cette paire source/victime. Actions : contrôler les journaux d’auth, verrouiller root si exposé, filtrer la source.

Remédiation proposée

1) Bloquer 198.51.100.1 en entrée SSH/WAF. 2) Désactiver l’auth par mot de passe pour root ou restreindre aux clés. 3) Activer MFA sur les comptes privilégiés. 4) Passer en revue les connexions réussies sur la fenêtre ±1 h.

Détail modèle — détection, confiance, justification

Scénario / corrélation

ssh_brute_force

93%

challenge_id = attack_type pour corrélation playbook.

Niveau de criticité (score)

Élevé

88%

Justification niveau high selon impact et surface (voir incidents agrégés).

Résumé opérationnel (score)

Force brute SSH : une IP, compte root ciblé, volume d’échecs élevé.

87%

Résumé dérivé du type d’attaque, des acteurs et des indicateurs clés.

Proposition de remédiation (score)

1) Bloquer 198.51.100.1 en entrée SSH/WAF. 2) Désactiver l’auth par mot de passe pour root ou restreindre aux clés. 3) Activer MFA sur les comptes privilégiés. 4) Passer en revue les connexions réussies sur la fenêtre ±1 h.

84%

Bloquer la source au pare-feu SSH, renforcer l’auth (MFA, clés), auditer les sessions réussies post-fenêtre.

Fenêtre d’agrégation (secondes)

300 s

100%

Constante pipeline (300).

Type d’attaque

ssh_brute_force

92%

Échecs SSH concentrés sur une IP et un compte privilégié, volume compatible brute force.

Adresses IP sources

198.51.100.1

91%

Source unique dominante sur la fenêtre d’agrégation.

Comptes ou identités ciblés

root

90%

Compte le plus frappé par les échecs SSH successifs.

Début de la fenêtre d’attaque

dimanche 1 février 2026 à 06:00:00 UTC

88%

Min des timestamps d’échec significatifs.

Fin de la fenêtre d’attaque

dimanche 1 février 2026 à 06:10:00 UTC

87%

Max des timestamps avant retombée du débit.

Indicateurs et signaux

Nombre d’échecs : 250

86%

failures agrège le nombre d’échecs comptabilisés par les règles.

Jeu de démonstration — format aligné sur l’API modèle