岗位摘要
该职位为运维工程师,专注于SIEM运营,要求具备3-8年安全相关经验,必须熟悉CrowdStrike SIEM或同类产品。职责包括日志接入与解析、检测规则编写与优化、告警分级与降噪、仪表盘建设,以及协同响应与自动化推动。需熟练使用查询语言,理解常见日志源,并关注数据质量治理。加分项包括深度实践CrowdStrike或Splunk、Sigma规则经验等。工作模式为远程。
技能要求:
公司简介
Top Dex公司,整体团队技术和业务强劲
岗位职责
SIEM 运营:负责 CrowdStrike Next-Gen SIEM/LogScale 的日常运营与优化(日志接入、解析与字段规范、数据质量/延迟/丢失监控、索引/存储与成本治理);持续维护检测规则、关联分析、白名单/抑制策略与资产/身份/终端画像。规则与告警:基于攻击链与 MITRE ATT&CK 编写与调优检测规则;建设仪表盘与可视化;进行告警分级、降噪与有效性验证,跟踪 MTTD/MTTR 等指标并持续改进。日志对接:整合各类系统与安全产品日志到 SIEM(示例:CrowdStrike Falcon、Cloudflare Zero Trust/WARP/Access/Gateway、防火墙/代理、网络设备 Syslog/VPC、业务系统 等);熟悉 Syslog/HTTP API/filebeat/ 等采集方式。分析与响应:协同现有告警通道开展初筛、溯源与证据留存;输出周/月报、风险盘点、用例覆盖与策略优化建议;沉淀 SOP/Playbook,推动自动化(可对接 SOAR)。终端与支持:推动用户电脑标准化落地,远程协助安装 CrowdStrike Falcon 与 Cloudflare WARP,处理基础入离职与设备支持;其余 MDM/Entra ID 能力可后续按需扩展。
岗位要求
经验背景:3–8 年安全相关经验(安全运营、应用安全、渗透/红队、或区块链安全等方向之一具备实际经验即可)。SIEM 经验(必须):具备 CrowdStrike SIEM(LogScale/Next-Gen SIEM)或同类 SIEM 的运营经验;可独立完成数据接入、字段映射与解析、索引与生命周期管理、查询与性能调优;理解检测用例设计与攻击检测思路。查询与规则:熟练使用至少一种查询/规则语言(如 LogScale Query Language、Splunk SPL、Lucene/Sigma),能将需求转化为检测规则、抑制与告警路由,并进行回溯验证与 A/B 对比。日志与数据:理解常见日志源与协议(Windows Event/Sysmon、Linux Audit、DNS/HTTP/Proxy、EDR/EPP、Cloudflare Access/Gateway、网络设备 Syslog 等),关注时序、采样、卡点与数据质量治理。加分项:深度实践 CrowdStrike(Falcon Telemetry、Next-Gen SIEM/LogScale)或 Splunk(SPL/ES);有 Sigma 规则、ATT&CK 覆盖度度量、检测工程化经验。具备其他 SIEM(Sentinel/QRadar/Elastic/Exabeam 等)或 SOAR/自动化编排落地经验
福利待遇
Base+季度奖金