角色和职责:
领导和协调对关键和复杂安全事件的响应,指导SOC L1和L2分析师进行调查。进行高级事件分析并提供可操作的建议以遏制事件。主动在客户网络中寻找高级威胁、APT和复杂攻击模式。执行深入的网络威胁分析,以了解威胁行为者使用的攻击向量和战术、技术和程序(TTPs)。进行高级数字取证和内存分析以确定根本原因并进行事后调查。进行详细的恶意软件分析和逆向工程以了解恶意软件行为和能力。将来自各种来源的威胁情报整合到MSSP的安全操作中,以提高威胁检测和响应的有效性。与威胁情报团队合作以增强MSSP的威胁情报能力。开发和更新事件响应手册和标准操作程序(SOPs)以应对新兴威胁。为客户提供网络安全咨询和顾问服务,提供有关安全最佳实践和风险管理的战略指导。作为主要联系人与关键客户沟通,确保有效沟通并清楚了解他们的安全需求。通过了解客户的业务目标并相应调整MSSP服务来建立牢固的客户关系。建立和跟踪关键SOC绩效指标、事件趋势和关键绩效指标(KPIs)。向MSSP管理层、客户和利益相关者提供定期报告。为SOC L1和L2分析师提供强有力的领导,营造协作和高绩效的团队环境。指导初级分析师,指导他们的职业发展并提高他们的技术技能。与内部MSSP团队(如威胁情报、威胁狩猎和工程)合作,以增强整体客户安全态势。
技术技能:
深入了解网络概念、TCP/IP、网络协议、安全架构和现代安全技术。熟练使用SIEM、IDS/IPS、防火墙、EDR和其他安全工具。具备自动化和分析的脚本和编程语言高级技能。具备强大的分析能力以调查复杂的安全事件并制定有效的解决方案。具备优秀的口头和书面沟通能力,以记录事件、撰写报告并与团队成员、利益相关者和客户互动。具有领导和管理网络安全专业团队的经验。深入了解威胁情报来源、威胁行为者和高级网络攻击技术。具有领导复杂事件响应工作的经验。具有数字取证、内存分析和高级恶意软件分析的丰富经验。
资格:
教育:通常需要计算机科学、网络安全、信息技术或相关领域的学士学位。
认证:持有一个或多个认证,如GCFA、GCIA、GCIH、GREM。
经验:至少5年或以上的网络安全角色的渐进经验,并在SOC环境中具有丰富的实际操作经验。
