Vue d'ensemble temps réel de la posture de sécurité. Les KPI montrent les dernières 24h. La timeline et les alertes se rafraîchissent toutes les 60s.
Workflow : Identifiez les pics → cliquez sur une alerte → investiguez l'IP → classifiez.
Sources : ml_detected_anomalies, ml_all_scores, http_logs
Courbes empilées par niveau de menace. Un pic soudain indique une attaque en cours ou un nouveau pattern détecté.
Action : Cliquez sur un pic pour filtrer les détections de cette heure.
Source : ml_detected_anomalies GROUP BY hour, threat_level
Dernières détections HIGH/CRITICAL/KNOWN_BOT. Cliquez sur une IP pour démarrer l'investigation.
Source : ml_detected_anomalies ORDER BY detected_at DESC
Répartition des sessions par niveau : CRITICAL (score >0.70), HIGH (>0.40), MEDIUM (>0.10), NORMAL, LEGITIMATE_BROWSER, KNOWN_BOT.
Action : Cliquez sur un segment pour filtrer les détections.
Source : ml_all_scores.threat_level
Identification via dictionnaire JA4 → browser_family. Les navigateurs légitimes sont exemptés du scoring ML.
Source : ml_all_scores.browser_family
IPs avec le plus grand nombre de détections sur 24h. Le score indique le pire score observé.
Action : Cliquez sur une IP pour l'investiguer en profondeur.
Source : ml_detected_anomalies GROUP BY src_ip
| IP | Dét. | Score | Threat | ASN | Pays |
|---|
ASN les plus représentés. Couleur : ISP (résidentiel), Datacenter, Hosting.
Action : Cliquez pour voir les détails réseau.
Source : view_ai_features_1h.asn_org
Treemap par pays et type d'ASN. La taille indique le nombre de sessions.
Source : view_ai_features_1h.country_code
Groupes d'IPs présentant des patterns comportementaux similaires, identifiés par clustering HDBSCAN sur les features ML.
Action : Une campagne multi-IP indique une attaque coordonnée (botnet, scraping distribué).
Source : ml_detected_anomalies.campaign_id