工作总结
高级安全工程师 – Securonix(下一代SIEM解决方案和UEBA)的部署和内容开发。
要求
• 能够有效地与来自不同背景或文化的个人沟通和合作。
• 对事件管理和响应有良好的理解
• 具有安全设备管理和SIEM的经验
• 深入了解网络攻击和技术、威胁向量、风险管理、事件管理等安全概念
• 具有威胁管理经验
• 了解包括但不限于Windows、Linux、Unix在内的各种操作系统
• 了解应用程序、数据库、中间件,以应对针对它们的安全威胁。
• 优秀的沟通能力
• 能够在关键利益相关者面前处理高压情况
• 良好的分析能力、问题解决能力和人际交往能力
• 熟悉并有使用MS Office的经验,精通Excel和PowerPoint。
专业能力
• 实际部署安全信息和事件管理(SIEM)和用户及实体行为分析(UEBA)解决方案
• 至少5年以上部署和管理SIEM解决方案(如Securonix、Exabeam、Splunk、LogRhythm、AlienVault、ArcSight、QRadar和Nitro ESM)的工作经验
• 至少3年以上内容开发领域的工作经验,并曾在Securonix、Splunk、AlienVault、ArcSight、QRadar、Nitro ESM上交付和/或构建内容
• 具有开发自定义解析器的经验
• 扎实的网络基础知识
• 在Linux/Unix操作环境(配置和故障排除)方面有丰富经验
• 强大的分析能力,能够理解数据并提出用例以增强检测
• 对防火墙、VPN、入侵检测工具、恶意软件工具、身份验证工具、终端技术和云安全工具等信息安全技术有深入了解
• 对APT杀链框架(如MITRE、洛克希德·马丁等)有深入了解
• 具有网络安全技术和概念的经验,如内部威胁、恶意软件、横向移动、信标、勒索软件、数据盗窃、欺诈
• 具有使用正则表达式和了解YARA规则的经验
• 具有强大的编程背景,具备Java、MySQL、Hadoop的高级技能者优先。
• 具有使用Core Java及相关技术、脚本语言(如Bash、Python等)进行编码的经验
• 具有使用Hadoop/关系数据库/SQL查询的经验。
• 在快速变化的技术环境中,具备技术写作、口头沟通、咨询和问题解决的能力
• 具有团队导向和自我激励的经验,具备敏锐的注意力。
工作职责
员工可以预期但不限于以下职责:
• 文档化SIEM的实施和部署
• 创建与SIEM和SOC相关的操作文档
• 与其他分析师和团队整合和共享信息
• 提供威胁和漏洞分析以及安全咨询服务
• 定期对SIEM基础设施和数据收集节点进行健康检查
• 根据需要实施各种安全解决方案
• 管理与内部和外部客户的互动
• 支持SOC团队和客户的事件响应过程
• 分析和响应先前未公开的软件和硬件漏洞
• 对摄取的数据进行数据质量检查
• 排查并解决Securonix SIEM解决方案中的数据质量问题
• 管理SIEM后端基础设施
• 为SIEM和UEBA模块开发Securonix Snypr平台的内容
• 开发可以在SIEM解决方案中用于威胁检测的网络威胁模型,基于SOC团队的输入
• 管理日常SIEM操作任务
• 排查并解决SIEM基础设施相关问题
• 进行根本原因分析,记录发现并与技术/流程所有者合作以防止未来发生
• 参与文档编制过程,以确保对团队成功至关重要的文档的准确性
• 实施Securonix和其他SIEM解决方案
• 为新客户进行入职
• 从不同的日志源向SIEM解决方案进行数据摄取
• 排查并解决数据摄取问题
• 协助开发新内容并调整现有内容以适应SIEM、IDS和其他安全技术
• 与其他IT人员互动,有时是不同国籍的人员。
