محلل فرز الحوادث

توفير الاتصال والتصعيد طوال الحادث وفقًا لعملية إدارة الحوادث الأمنية
تحديد الأولويات والتمييز بين محاولات التطفل المحتملة وتحديد التعامل مع التنبيه باعتباره حادثًا أمنيًا وتعيين مستوى خطورة لتطبيق التخفيف المناسب بناءً على خطورته
جمع المعلومات السياقية لإغلاق الحادث الأمني أو تصعيده إلى وظيفة الاستجابة للحوادث لإجراء مزيد من التحقيق للعثور على السبب الجذري
تقديم تعليقات متسقة ودقيقة بشأن الحوادث لمراقبة الحوادث ودعم الطب الشرعي وتوثيق الأحداث وتحليل البرامج الضارة كما هو مطلوب للحفاظ على سلامة التحقيق
مراقبة وتحليل حركة مرور الشبكة والأحداث الأمنية والسجلات لأنظمة كشف التطفل/أنظمة منع التطفل (IDS/IPS)، وجدران الحماية، وبوابات أمان البريد الإلكتروني، ومراقبة سلامة الملفات، ومراقبة قاعدة البيانات، وحلول الوكيل، وسجلات أحداث Windows، وسجلات أنظمة AIX/Linux، سجلات التطبيقات، حلول أمان نقطة النهاية، حلول منع تسرب البيانات
حدد الإيجابيات الكاذبة واعمل مع أعضاء الفريق المناسبين لضبط التنبيه
إجراء مراجعة جودة التذاكر للتأكد من دقة التوثيق والتحقق من صحة سياق التذكرة
الدعم في الوضع الأمني اليومي والشهري والربع سنوي والسنوي ومركز العمليات الأمنية (SOC) والتقارير التنفيذية ولوحات المعلومات
قم بتطوير أدوات أو نصوص برمجية لأتمتة المهام المتكررة، لتبسيط العملية اليدوية، من أجل دعم التحقيق الأمني
تعزيز قدرات الكشف من خلال تقديم توصيات لأجهزة مراقبة الأمان مثل IDS/IDS ومعلومات الأمان وإدارة الأحداث (SIEM)
مراجعة السجلات الأولية بشكل استباقي بحثًا عن النشاط الشاذ من مصادر مختلفة
المشاركة في تقييم الحلول الأمنية والتوصية بها لضمان تلبية متطلبات التسجيل والمراقبة في أي نظام لتحقيق أهداف SOC الأساسية
العمل مع Threat Intelligence لكتابة وتحسين Runbooks وتحديث الوثائق
مراقبة جميع نبضات مصادر السجل والإبلاغ/التحقيق في المشكلات لضمان الحفاظ على سجلات سليمة لتجنب أي فشل في جمع البيانات والتأثير على وظيفة مراقبة SOC الأساسية
اتبع جميع سياسات القسم والعمليات وإجراءات التشغيل القياسية والتعليمات ذات الصلة بحيث يتم تنفيذ العمل بطريقة خاضعة للرقابة ومتسقة
متابعة العمليات اليومية المتعلقة بالوظائف الخاصة بالقسم لضمان استمرارية العمل