Vue complète de l'infrastructure réseau : ASN, pays, fingerprints JA4, rotation de fingerprints, brute-force et menaces persistantes.
Workflow : Identifiez les ASN suspects → vérifiez la rotation JA4 → contrôlez le brute-force → investiguez les IPs récurrentes.
Sources : view_ai_features_1h, view_host_ip_ja4_rotation, view_form_bruteforce_detected, view_ip_recurrence
Taille = nombre de sessions. Regroupé par type : ISP (résidentiel), Datacenter, Hosting, CDN.
Action : Un ASN datacenter avec beaucoup de sessions mérite investigation.
Source : view_ai_features_1h
Niveau 1 : pays. Niveau 2 : type d'ASN. Identifiez les pays avec forte proportion datacenter.
Source : view_ai_features_1h
IPs utilisant plusieurs fingerprints TLS distinctes sur une fenêtre horaire. Indique une tentative d'évasion de détection (rotation de client TLS).
Seuil critique : ≥ 3 JA4 distincts par IP/host/heure.
Source : view_host_ip_ja4_rotation
| IP | Host | JA4 distincts | Hits | Fenêtre |
|---|
IPs envoyant ≥10 requêtes POST par host sur 24h. Indique du credential stuffing ou du brute-force de formulaires.
Source : view_form_bruteforce_detected
| IP | Host | POSTs | Paths | Première | Dernière |
|---|
IPs détectées sur plusieurs fenêtres horaires. Récurrence élevée = acteur persistant. Le score indique le pire score observé.
Source : view_ip_recurrence
| IP | Réc. | Score | Threat |
|---|
Chaque combinaison unique de paramètres TLS génère un hash JA4. Les navigateurs courants partagent des fingerprints connues.
Indicateurs : Velocity élevée + browser score bas = bot probable.
Source : view_ai_features_1h GROUP BY ja4
| JA4 | Sessions | Hits | Velocity | Fuzz | Browser | Label | Bot |
|---|
| ASN Org | Label | Pays | Sessions | Hits | Velocity | Fuzz |
|---|