CÓMO SERÁ TU DÍA A DÍA?
Tu misión será encontrar de forma proactiva amenazas que pudiera haber en las infraestructuras.
Tu día a día :
Propuesta, diseño, planificación y ejecución de trabajos de Hunting.
Aplicación de metodologías y frameworks de Threat Hunting, cuando se requiera.
Generación de hipótesis basadas en información de inteligencia.
Elaboración de playbooks de los trabajos llevados a cabo, bitácoras e informes de resultados (técnicos y ejecutivos) en base a las pautas establecidas.
Creación de scripts para automatización de búsquedas.
Análisis y gestión de tickets, llamadas o correos electrónicos provenientes del escalado de Operacion BAU que requieran especial atención por estar fuera de procedimientos y/o posibles incidentes que deban ser respondidos de manera experta.
Análisis de triages, adquisiciones de ficheros así como identificación de incidente asignando la criticidad adecuada y tomando las medidas oportunas para contener de forma óptima la amenaza.
Análisis de artefactos de complejidad media / alta adquiridos con el EDR, así como de volcados y extracciones diversas (normalmente logs).
Búsquedas en el parque de comportamientos específicos dentro de la telemetría de la que se dispone, normalmente en el contexto de un incidente o de una situación de alerta, validando e investigando los hits.
Registro de todos los hallazgos encontrados durante los Hunts en los correspondientes tickets. Seguimiento de la evolución de los mismos y actualización de la información proporcionada.
Identificación y recopilación de información relevante para la elaboración de nuevas hipótesis (o mejora de las existentes).
Recopilación y registro de lecciones aprendidas o acciones de mejora.
Recopilación y registro de Indicadores de Compromiso y Ataque y compartición con los equipos interesados.
Participación en la respuesta de incidentes, colaborando con el equipo que se encargue de la misma y documentando todas las acciones y descubrimientos del servicio en la bitácora.
Análisis de Casos de Uso con volumetría elevada o Falsos Positivos recurrentes para afinación o gestión de excepciones.
Registro de actividad propia de la operativa del servicio mediante la herramienta de ticketing.
Revisión y mejora de los tickets propios de las tareas de desarrollo del servicio.
Colaboración con otros servicios como por ejemplo para la definición o realización de ejercicios Purple Team, Defense Readiness, etc. bajo petición del Service Operations o Service Owner.
Se puede requerir la colaboración o elaboración de documentos relacionados con incidentes, amenazas, tendencias, avances o nuevas capacidades del servicio, tanto de forma puntual como recurrente (por ejemplo apuntes en las newsletters mensuales).
Apoyo y participación en pruebas tales como los simulacros de Planes de Continuidad y Contingencia.
Y PARA ELLO, CREEMOS QUE SERÍA IDEAL QUE CONTARAS CON:
- Al menos 2 años de experiencia en Threat Hunting.
- El equipo debe contar con experiencia en Hunting sobre, al menos, las siguientes materias:
EndPoint (tanto estaciones de trabajo como servidores y dispositivos móviles)
Cloud
Redes y comunicaciones
Ciberinteligencia de amenazas
Ingeniería inversa de malware
DevOps / desarrollo de herramientas
Conocimientos / expertise :
- Amplia experiencia en análisis de ataques (determinación del origen, evaluación de equipos afectados y medidas de contención / erradicación).
- Certificaciones y cursos que acrediten su experiencia en el ámbito. A modo de referencia: GCFA, GCFE, GASF, GREM, GCIH, GSEC, GNFA, CHFI, certificaciones de fabricantes forenses.
- Conocimientos altos de seguridad ofensiva (hacking, red teaming), comportamiento delictivo (APTs) y TTPs.
- Amplia experiencia en investigaciones de Threat Hunting.
- Conocimiento alto de investigaciones forenses tradicionales.
- Amplia experiencia en análisis masivo de información de ataques y amenazas.
- Conocimientos de análisis de datos (Searching, Grouping, Stack Counting, Clustering, etc.), utilizando métodos automáticos y manuales de recolección y análisis e incluyendo el uso de técnicas de análisis basadas en Ciencia de datos.
- Experiencia en gestión de incidentes acompañando como hunter a un equipo de IH durante la investigación de un incidente.
- Conocimiento avanzado de OpenIOC y YARA.
- Capacidad de realizar búsquedas (comprobaciones de hipótesis) a múltiples equipos de forma paralela.
- Conocimiento avanzado en el uso de consolas / API de herramientas EDR y SIEM.
- Capacidad alta en la elaboración de informes técnicos y ejecutivos. Nivel alto de escritura.
- Capacidad alta en la elaboración de presentaciones. El correcto reporting interno es fundamental en el desarrollo de los incidentes y las investigaciones.
- Capacidad de analizar informes de inteligencia con modus operandi de ataques.
- Idiomas: Dominio del inglés, hablado y escrito, con conocimientos de lenguaje técnico que permitan mantener una reunión con un tercero, asistir a una charla y redactar notificaciones o documentación.
QUÉ OFRECEMOS?
- Medidas de conciliación y flexibilidad horaria.
- Formación continua y certificaciones.
- Modelo híbrido de teletrabajo.
- Atractivo paquete de beneficios sociales.
- Excelente ambiente de trabajo dinámico y multidisciplinar.
- Programas de voluntariado.
#J-18808-Ljbffr
