Hoạch định cấu trúc rules, data rules và xây dựng, phát triển detection rules.
Tinh chỉnh, tối ưu rules và nghiên cứu khả năng tích hợp, log parser.
Cấu hình và quản trị cấu hình rule trên các hệ thống của khách hàng.
Nghiên cứu, giả lập các kỹ thuật tấn công
Tham gia nghiên cứu, giả lập kỹ thuật tấn công để đưa ra các khả năng hoặc tối ưu phương pháp phát hiện các tấn công, bổ sung vào Hunting checklist/Detection rule.
Tạo, xây dựng các content liên quan đến hệ thống SOC (Dashboard, playbook...)
Nghiên cứu, phân tích hạ tầng để xây dựng, bổ sung usecases/rules phù hợp cho từng khách hàng.
Báo cáo kết quả thực hiện công việc và kế hoạch công việc kế tiếp của cá nhân cho Trưởng phòng Purple Team.
Trao đổi, tổng hợp và trình bày kết quả thực hiện cho khách hàng trong trường hợp cần thiết.
Tốt nghiệp Đại học chuyên ngành An toàn Thông tin/Công nghệ Thông tin, từ 2 năm kinh nghiệm ở vị trí tương đương
Ưu tiên ứng viên có chứng chỉ bảo mật quốc tế liên quan đến tấn công hoặc điều tra, xử lý sự cố thuộc 1 trong 2 tổ chức Offensive hoặc SANs.
Có kiến thức cơ bản về các dịch vụ/giao thức mạng thông dụng (SMB, FTP, HTTP, HTTPS...), các rủi ro bảo mật đối với các giao thức thông dụng này.
Hiểu biết rõ OS windows/linux (process, autorun, task scheduler/crontab, service, ...), các hệ thống đặc thù như AD server, Web server (IIS, Apache, tomcat...).
Hiểu rõ về các tactic, technique trong MITRE ATT&CK Framework. Hiểu rõ các dấu hiệu bất thường theo từng tactic, bao gồm cả với các technique thuộc các tactic như Persistence, Privilege Escalation, Lateral Movement, Credential Access, Discovery, Exfiltration...)
Hiểu biết về các hành vi bất thường đối với người dùng hay kết nối mạng bất thường (UEBA).
Hiểu biết cơ bản về các giải pháp security, tính năng của các giải pháp
phục vụ việc bổ sung usecase/rule phù hợp.
Kỹ năng phân tích, phát triển và tinh chỉnh các log parser trên hệ thống SIEM, áp dụng Regex trong quá trình viết parser.
Kỹ năng lập trình một hoặc nhiều ngôn ngữ phục vụ quá trình phân tích (PowerShell, bash script, python, ...) là một lợi thế.
Kỹ năng Threat modeling, xác định các hành vi bất thường có thể xảy ra và ánh xạ việc detection với các threat/hành vi bất thường dựa vào các log source type - phục vụ cho việc viết detection với các log source type mới.