Alarmes et routage
Sources
| Source | Exemple |
|---|---|
| Dépassé de seuil | CPU > 90% pendant 5 minutes |
| Anomalie AI | p99 latence 5 fois la base |
| Silence du cœur | Pas de cœur en 90 s |
| Piège Honeypot | Processus lit /root/.aws/credentials-backup |
| Match CVE | Nouveau CVSS ≥ 7.0 sur un package installé |
Routage
Configuré via Paramètres → Notifications. Par ligne : type d’événement, canaux, délai.
| Événement | Canaux | Quand |
|---|---|---|
| Incident critique | tous les canaux | immédiatement |
| Piège Honeypot | Slack #sécurité + ntfy | immédiatement |
| Silence du cœur | Slack + ntfy | ≥ 90 s |
| Incident de warning | Slack + e-mail | ≥ 5 minutes ouvert |
| Anomalie AI (confiance élevée) | Slack #insights AI | immédiatement |
Fenêtres d’atténuation
Suspendre chaque alerte (1h, 4h, 24h, fin de l’incident) ou par serveur. Un incident atténué ne se propage pas à PagerDuty.