{% extends "base.html" %} {% block title %}JA4 SOC — Cluster #{{ cid }}{% endblock %} {% block page_title %} Cluster #{{ cid }}

Investigation Cluster

Analyse complète d'un cluster détecté par HDBSCAN. Un cluster regroupe des IPs aux comportements similaires (features ML proches), indiquant une campagne coordonnée.

Workflow : Vérifiez la convergence JA4/ASN → analysez les cibles → classifiez le cluster entier.

Sources : ml_detected_anomalies WHERE campaign_id=…

 {% endblock %} {% block header_actions %}
← Tous les clusters
{% endblock %} {% block content %}
Timeline du cluster

Activité temporelle

Détections et IPs actives par heure. Les bursts synchronisés confirment la coordination.

Source : ml_detected_anomalies GROUP BY hour
Menaces
Convergence JA4

Empreintes TLS du cluster

Répartition des JA4 dans le cluster. Une seule JA4 dominante = même outil/framework. Diversité JA4 = evasion ou rotation.

Action : Cliquez sur une JA4 pour l'investiguer.

Source : ml_detected_anomalies GROUP BY ja4
Infrastructure (ASN)

Systèmes autonomes

D'où viennent les IPs du cluster. Un seul ASN datacenter = hébergé. ASN ISP variés = botnet distribué.

Source : ml_detected_anomalies GROUP BY asn_org
Hosts ciblés
Membres du cluster

IPs membres

Toutes les IPs rattachées à ce cluster par HDBSCAN. Triez par score pour prioriser l'investigation.

Action : Cliquez pour investiguer l'IP. Utilisez « Classifier tout le cluster » pour un traitement en masse.

Source : ml_detected_anomalies WHERE campaign_id=…
IPScoreThreatJA4 HitsVelocityFuzz HostASNPaysBrowserBotDate
{% endblock %} {% block scripts %} {% endblock %}