• 执行高级监控、分析和调查安全警报和事件。
• 作为复杂事件的升级点,支持L1/L2分析师。
• 领导事件响应活动,包括遏制、根除、恢复和根本原因分析。
• 通过分析日志、网络流量和端点行为进行威胁狩猎。
• 微调SIEM用例、检测规则和警报,以提高威胁可见性。
• 与IT、网络、应用程序和云团队协调修复活动。
• 支持漏洞管理和风险评估计划。
• 协助安全审计、合规活动和监管要求。
• 为管理层准备详细的事件报告、仪表板和指标。
• 及时了解新兴威胁、漏洞和攻击技术。
要求
• 5年以上网络安全运营或SOC角色的经验。
• 对网络威胁、攻击向量和MITRE ATT&CK框架有深入理解。
• 拥有SIEM平台(Splunk、QRadar、Sentinel、ArcSight)的实际操作经验。
• 具备EDR/XDR、电子邮件安全和网络安全工具的经验。
• 具备Windows和Linux操作系统的扎实知识。
• 对网络基础知识(TCP/IP、DNS、HTTP/S)有良好理解。
• 具备事件响应、恶意软件分析(基础)和日志分析的经验。
优先技能
• 具备云安全监控(AWS、Azure、GCP)的经验。
• 接触过SOAR工具和安全自动化。
• 基本脚本编写技能(Python、PowerShell)。
• 具备指导初级分析师的经验。
优先认证
• CEH、CySA+或Security+
• CISSP(优先但非必需)
• GIAC认证 – 额外优势
