Créer un monitor
Configurer une règle de surveillance sur le flux de fuites en direct. Filtres, threshold, re-notification et canaux de livraison.
Un monitor est une règle appliquée à votre flux de fuites en direct. Le scheduler évalue chaque monitor toutes les 10 minutes et déclenche en cas de match.
Ouvrir le formulaire
Depuis la sidebar gauche, ouvrez Monitoring et cliquez sur New monitor.
Vous pouvez aussi créer un monitor directement depuis n'importe quelle page Insight (Internal, External, Keyword) en cliquant sur Create alert en haut à droite. Les filtres de la vue Insight courante sont préremplis dans le nouveau monitor.
Filtres
Les filtres définissent le périmètre du monitor. Seuls les credentials qui matchent tous les filtres comptent dans le threshold.
| Filtre | Valeurs |
|---|---|
| Domaine racine | Un domaine de votre watchlist (par exemple acme.com) |
| Sous-domaine | Un sous-domaine spécifique (par exemple portal.acme.com), optionnel |
| Mot-clé | Un mot-clé surveillé (par exemple acme), optionnel |
| Type de fuite | combo list, infostealer, ou les deux |
| Source | Une famille de stealer ou un flux source spécifique |
Vous pouvez cumuler plusieurs filtres. Le compteur matched_count sur le formulaire se met à jour en direct, vous pouvez voir combien de credentials matchent actuellement avant de sauvegarder.
Threshold de trigger
Le threshold est le nombre de fuites correspondantes requis pour
déclencher l'événement. Par défaut 1, ce qui signifie que chaque
nouvelle fuite correspondante déclenche.
Pour les domaines à fort volume où vous ne vous intéressez qu'aux pics,
augmentez le threshold (par exemple 10) pour éviter la fatigue de
notification. Le monitor restera silencieux jusqu'à ce que 10 fuites
nettes nouvelles soient arrivées depuis sa dernière évaluation.
Re-notification
Une fois qu'un événement est ouvert, Stealed doit décider quand vous re-notifier sur l'activité en cours. Deux mécanismes :
- Re-notification temporelle : rappel toutes les N heures (par défaut : 24 h).
- Re-notification volumique : rappel quand N nouvelles fuites correspondantes sont arrivées depuis la dernière notification (par défaut : 10), avec un plancher de 15 minutes.
Les deux peuvent coexister. Le premier des deux thresholds atteint déclenche le rappel. Voir Re-notification pour les détails.
Canaux de livraison
Sélectionnez un ou plusieurs canaux attachés à votre organisation. La même alerte est envoyée simultanément sur chaque canal sélectionné. Vous pouvez mixer les canaux (par exemple Slack pour l'équipe d'astreinte + email pour le responsable sécurité).
Si vous n'avez encore aucun canal configuré, le sélecteur de canal renvoie vers la page de création de canal. Voir Recevoir des notifications.
Sauvegarder et valider
Après sauvegarde, le monitor évalue immédiatement. Le compteur
matched_count sur la page du monitor affiche le résultat de la
première évaluation en quelques secondes. Si le threshold est déjà
atteint, un événement se déclenche immédiatement.
Éditer un monitor avec un événement ouvert
Si vous changez les filtres d'un monitor qui a un événement ouvert, Stealed avance correctement la baseline anti-replay pour que l'événement ouvert continue de tracker le nouveau périmètre à partir de ce point. Vous n'avez pas besoin de fermer et recréer l'événement manuellement.
La suite
- Recevoir des notifications : configurer où les alertes arrivent.
- Déduplication : comprendre pourquoi un monitor ne produit qu'un seul événement ouvert à la fois.
Aperçu du Monitoring
Comment fonctionne le système d'alerting de Stealed : du pattern matching à la clôture d'incident, avec notifications multi-canaux, déduplication et timeline d'audit.
Recevoir des notifications
Configurez Slack, Microsoft Teams, des webhooks personnalisés et l'email pour que les alertes Stealed atterrissent là où votre équipe travaille.