运维工程师（SIEM 运营）

Top Dex公司，整体团队技术和业务强劲

SIEM 运营：负责 CrowdStrike Next-Gen SIEM/LogScale 的日常运营与优化（日志接入、解析与字段规范、数据质量/延迟/丢失监控、索引/存储与成本治理）；持续维护检测规则、关联分析、白名单/抑制策略与资产/身份/终端画像。规则与告警：基于攻击链与 MITRE ATT&CK 编写与调优检测规则；建设仪表盘与可视化；进行告警分级、降噪与有效性验证，跟踪 MTTD/MTTR 等指标并持续改进。日志对接：整合各类系统与安全产品日志到 SIEM（示例：CrowdStrike Falcon、Cloudflare Zero Trust/WARP/Access/Gateway、防火墙/代理、网络设备 Syslog/VPC、业务系统 等）；熟悉 Syslog/HTTP API/filebeat/ 等采集方式。分析与响应：协同现有告警通道开展初筛、溯源与证据留存；输出周/月报、风险盘点、用例覆盖与策略优化建议；沉淀 SOP/Playbook，推动自动化（可对接 SOAR）。终端与支持：推动用户电脑标准化落地，远程协助安装 CrowdStrike Falcon 与 Cloudflare WARP，处理基础入离职与设备支持；其余 MDM/Entra ID 能力可后续按需扩展。

经验背景：3–8 年安全相关经验（安全运营、应用安全、渗透/红队、或区块链安全等方向之一具备实际经验即可）。SIEM 经验（必须）：具备 CrowdStrike SIEM（LogScale/Next-Gen SIEM）或同类 SIEM 的运营经验；可独立完成数据接入、字段映射与解析、索引与生命周期管理、查询与性能调优；理解检测用例设计与攻击检测思路。查询与规则：熟练使用至少一种查询/规则语言（如 LogScale Query Language、Splunk SPL、Lucene/Sigma），能将需求转化为检测规则、抑制与告警路由，并进行回溯验证与 A/B 对比。日志与数据：理解常见日志源与协议（Windows Event/Sysmon、Linux Audit、DNS/HTTP/Proxy、EDR/EPP、Cloudflare Access/Gateway、网络设备 Syslog 等），关注时序、采样、卡点与数据质量治理。加分项：深度实践 CrowdStrike（Falcon Telemetry、Next-Gen SIEM/LogScale）或 Splunk（SPL/ES）；有 Sigma 规则、ATT&CK 覆盖度度量、检测工程化经验。具备其他 SIEM（Sentinel/QRadar/Elastic/Exabeam 等）或 SOAR/自动化编排落地经验。

Base+季度奖金