Retour au changelog
Nouveau

Lancement du Monitoring : tout le système d'alerting en un module

Pattern matching, notifications multi-canal, système de gestion d'alerte avec déduplication, gestion d'incidents collaborative, audit trail.

Pipeline du Monitoring Stealed : du moteur de détection à l'incident audité, en passant par le match, la notification et l'audit trail chronologique

Le module Monitoring est disponible. Vous configurez ce que Stealed surveille, où vous voulez être prévenu, et comment piloter chaque alerte une fois déclenchée.

Pattern matching

Un monitor est une règle appliquée au flux de fuites en temps réel. Le scheduler l’évalue toutes les 10 minutes et déclenche dès qu’un nouveau leak correspond.

Ce que vous configurez :

  • Filtres : domaine racine, sous-domaine, mot-clé, type de leak (combo list / infostealer), source.
  • Seuil de déclenchement : nombre de leaks matchants avant alerte.
  • Re-notification temporelle : rappel toutes les 24 h par défaut.
  • Re-notification volumétrique : rappel dès que N nouveaux leaks matchants depuis la dernière notif (défaut : 10), avec un plancher de 15 min entre deux rappels.
  • Canaux de diffusion : un ou plusieurs par monitor.

Les deux mécanismes de re-notification peuvent cohabiter sur un même monitor : le premier seuil atteint l’emporte.

Formulaire de création d'un monitor : filtres, seuil, re-notification et sélection des canaux

Pendant la configuration, le compteur de leaks qui matchent la règle est mis à jour en direct. Vous voyez la portée du monitor avant même de l’enregistrer.

Prévisualisation des leaks qui matchent le monitor en cours de configuration, affichée à côté du formulaire

Pour aller plus vite, un monitor peut aussi être créé directement depuis une page Insight : les filtres se préremplissent à partir du contexte affiché.

Création d'un monitor depuis la page External Insight, avec le bouton "Create Alert" et l'aperçu des leaks correspondants

Notifications multi-canal

Quand un monitor déclenche, l’alerte est diffusée simultanément sur les canaux que vous avez configurés :

Slack
Microsoft Teams
Webhook
Email

Chaque canal accepte une option Notifier sur les changements d’état : à chaque acquittement, résolution ou réouverture d’un événement, une notification légère est envoyée. Utile pour suivre la coordination de l’équipe sans rouvrir Stealed.

Création d'un canal de notification : configuration et options "changements d'état"

Système de gestion d’alerte

Chaque match génère un événement sur lequel votre équipe peut agir :

  • Afficher son contexte (monitor d’origine, leaks matchants, date du trigger).
  • Assigner à un membre de l’équipe.
  • Acquitter : marquer comme vu / pris en charge.
  • Commenter pour documenter une décision ou un handoff.
  • Mettre en sourdine le monitor sous-jacent (15 min, 1 h, 4 h, 24 h ou date custom).
  • Fermer une fois l’incident résolu.

Toutes ces actions, ainsi que les notifications envoyées et les transitions d’état, alimentent une timeline d’activité chronologique propre à chaque événement. Elle constitue un audit trail directement exploitable pour NIS2 / DORA.

Alerte déclenchée et page d'événement avec les actions disponibles (assigner, acquitter, fermer)

Détection de doublon

Quand plusieurs leaks matchent le même monitor, Stealed n’ouvre pas un événement par leak :

  • Tant qu’un événement reste ouvert, les nouveaux leaks matchants viennent l’enrichir. Le compteur monte, aucun doublon n’est créé.
  • Une fois l’événement fermé, un nouveau leak matchant ouvre un nouvel événement, mais avec uniquement les nouveaux hashes : les credentials déjà tracés ne sont pas re-comptés.

Conséquence : vos alertes signalent uniquement les fuites réellement nouvelles, jamais du bruit historique.

Prévisualisation des leaks

Pour chaque événement, la liste détaillée des credentials qui ont déclenché l’alerte est consultable avec deux affichages :

  • Au déclenchement : figé, leaks qui matchaient au moment exact du trigger.
  • En continu : live, leaks qui continuent de matcher tant que l’événement est ouvert.

Prévisualisation des leaks d'un événement Stealer avec les deux onglets et la timeline d'activité

Voir tous les monitors

Tous les monitors sont disponibles sur la page Monitoring, avec leur statut (actif, en sourdine, déclenché) et le compteur d’événements ouverts.

Liste des monitors actifs avec leur statut et le compteur d'événements ouverts

Autres releases
Voir tout le changelog
Retour au changelog