岗位描述
职责:
1. 实时监控与告警处理
- 使用SIEM、EDR、NDR等工具对安全告警进行7x24小时监控,执行初步验证与分类。
- 根据标准操作流程(SOP)处置常见告警(如暴力破解、恶意软件、异常登录、API异常调用)。
- 准确记录告警信息、处置过程和调查结果,确保日志完整可追溯。
2. 深入调查与事件响应
- 对复杂告警或疑似入侵事件进行深入调查,分析主机、网络、应用日志,定位攻击源和受影响范围。
- 参与应急响应,协助遏制威胁、清除恶意痕迹、恢复系统,并撰写事件分析报告。
- 与二线分析师、区块链取证团队协作,共同应对涉及链上资产的安全事件。
3. 威胁检测优化
- 基于攻击手法和威胁情报,持续优化检测规则和告警策略,减少误报。
- 参与威胁狩猎活动,主动发现未知威胁和异常行为模式。
4. 跨部门协作
- 与IT运维、研发、风控团队保持沟通,确保事件响应流程顺畅。
- 参与内部红蓝演练、钓鱼模拟等安全测试,提升团队实战能力。
技能要求:
基础经验:1-3年安全运营、安全分析或相关岗位经验,有SOC工作背景者优先。
技术能力:
- 熟悉主流安全工具(如Splunk、ELK、CrowdStrike、SentinelOne等)。
- 掌握Windows/Linux系统日志分析、网络流量分析基础。
- 了解常见攻击技术(如Web应用攻击、钓鱼、勒索软件、权限提升)。
- 具备至少一种脚本语言(Python/PowerShell)的基本编写能力,能自动化处理简单任务。
安全思维:具备良好的分析能力和逻辑思维,能快速定位问题核心。
沟通协作:能够清晰记录和汇报事件,与团队成员高效配合。