我们正在寻找一位经验丰富的高级SOC L3分析师,具备在Microsoft Sentinel/Splunk/IBM Q radar SIEM方面的深厚专业知识,以领导安全监控、威胁检测和事件响应。此角色涉及处理高级网络威胁、优化SIEM功能、指导SOC团队并推动安全自动化。主要职责包括:高级威胁检测事件响应:作为关键安全事件的最终升级点。进行深入的取证分析、恶意软件分析和跨混合环境的威胁狩猎。调查高级持续性威胁(APT)、零日漏洞和内部威胁。开发和优化自定义KQL查询、检测规则和Sentinel分析,以实现精确的威胁检测。领导事件后的取证、根本原因分析(RCA)和纠正行动计划。使用SOAR剧本自动化和简化事件响应。SIEM管理优化:配置、优化和微调Microsoft Sentinel SIEM,以实现最大可见性和效率。设计和实施自定义检测规则、日志解析器和警报机制。将Azure Defender、Microsoft Defender和第三方威胁情报源集成到Sentinel中。使用基于AI/ML的技术增强日志收集、关联和异常检测。威胁狩猎威胁情报:使用行为分析和基于KQL的查询进行主动威胁狩猎。利用MITRE ATTCK、网络杀伤链和钻石模型框架进行对手追踪。实施威胁情报平台(TIPs)并与SIEM/SOAR解决方案集成。识别和减轻新兴威胁,包括无文件攻击、权限升级和供应链攻击。合规性安全治理:确保符合行业标准(ISO 27001、NIST、PCI DSS、GDPR、SOC2)。开发和维护用于高管和合规报告的SIEM报告仪表板。协助审计准备、风险评估和安全态势改进计划。领导力指导:指导和指导SOC L1 L2分析师进行高级安全调查技术。为SOC团队开发事件响应剧本、操作手册和SOPs。进行网络安全培训、桌面演练和红蓝队演习。与CISO、IT、DevOps和风险团队合作,以增强整体安全态势。要求:具备SOC运营、事件响应和威胁狩猎的实际经验。精通Microsoft/Splunk/IBM Q radar 精通Microsoft Sentinel SIEM(规则创建、自动化、集成)。对EDR、IDS/IPS、防火墙、网络安全和云安全(Azure、AWS、GCP)有深入了解。熟练使用Kusto Query Language(KQL)、PowerShell、Python进行安全自动化。深入理解MITRE ATTCK、网络杀伤链、基于TTP的威胁建模。具备威胁情报、恶意软件逆向工程和取证调查的经验。具备SOAR平台和安全自动化工作流的实际经验。10年以上SOC运营、事件响应和威胁狩猎的实际经验。精通Microsoft Sentinel SIEM(规则创建、自动化、集成)。对EDR、IDS/IPS、防火墙、网络安全和云安全(Azure、AWS、GCP)有深入了解。熟练使用Kusto Query Language(KQL)、PowerShell、Python进行安全自动化。深入理解MITRE ATTCK、网络杀伤链、基于TTP的威胁建模。具备威胁情报、恶意软件逆向工程和取证调查的经验。具备SOAR平台和安全自动化工作流的实际经验。优先认证:SC 200、CISSP、CISM、CISA、GIAC(GCFA、GCIH、GCIA)、CEH、OSCP。
