职位描述
负责事件响应工作,进行全面的取证调查,主动在网络和系统中寻找威胁并缓解安全事件。
职责
- 监控和分析威胁情报源、安全博客和行业新闻,以了解新出现的威胁和漏洞。
- 针对网络安全事件进行取证调查,包括数据泄露、高级持续性威胁(APT)、勒索软件和内部威胁。
- 使用取证工具和技术收集和分析证据,确保证据处理的安全性和合规性,符合法律和监管标准。
- 对来自多个来源的安全事件进行深入分析,如SIEM、IDS/IPS、防火墙日志、终端检测工具和网络流量数据。
- 开发和执行高级威胁狩猎查询和自定义搜索,以检测可能逃避标准检测系统的恶意活动,并改进检测规则。
- 在各种平台上进行主机级取证分析,包括Windows、Linux、macOS和移动设备。
- 使用NDR、安全洋葱等平台进行网络级取证。
- 进行初步恶意软件分析以评估潜在风险。
- 通过识别妥协指标(IOCs)和对手使用的战术、技术和程序(TTPs),主动在组织的网络中寻找威胁。
- 构建和完善威胁狩猎剧本和操作手册,以标准化和增强威胁狩猎操作。
- 通过详细的高质量报告和演示向安全团队、管理层和相关利益相关者传达调查结果。
- 熟悉FTK、Encase、Oxygen、Cellebrite等取证工具。
- 为受损环境制定补救策略。
- 开发自定义脚本以自动化安全日志分析。
- 在Azure和AWS上进行云事件响应。
- 利用MITRE ATT&CK框架映射检测到的威胁并增强威胁狩猎能力。
- 确保事件按时关闭,符合SLA要求。
资格
必备:
- 网络安全、计算机科学或相关领域的学士学位(或同等工作经验)
- DFIR相关认证。
- 在Windows和Linux环境中有实际操作经验,能够有效阅读和解释Windows或Linux日志。
- 拥有事件响应和数字取证的丰富实践经验。
- 实际调查经验(端到端案件处理或证据处理经验)。
- 调查背景不能仅限于EDR和SIEM工具。需要主机级调查经验。
- Docker或Kubernetes。
- 拥有相关的SANS认证,最好有使用SIEM平台(如Microsoft Sentinel和Splunk)的经验。
- 能够使用KQL(Kusto查询语言)编写和执行复杂查询。
- SANS GCFA、GCFE和GCIH。
- 在数字取证、事件响应或威胁狩猎方面至少有6年的经验。
- 在数字取证、事件响应和威胁狩猎方面的专业知识。
优先条件:
- 对EnCase、FTK、Oxygen、Cellebrite、Volatility等取证工具有深入了解。
- 具有AWS和Microsoft Azure等平台的云取证经验。
- 擅长脚本编写(如Python、PowerShell)以自动化取证和事件响应任务。
- 了解MITRE ATT&CK框架以分类和响应对手技术。
- 能够有效地向技术和非技术受众传达复杂的技术发现。
- 具有较强的分析和问题解决能力,注重细节和准确性。
- 自驱力强,能够在高压环境中有效工作,同时处理多个事件。
- 展示了独立工作和团队协作的能力。
