Senior SOC Analyst - Dự án CNTT

1. Giám sát An ninh

• Thực hiện giám sát liên tục 24/7 (theo ca) các sự kiện, cảnh báo bảo mật trên hệ thống SIEM; phân tích, phân loại và xử lý toàn bộ ticket theo mức độ ưu tiên.
• Phân tích log từ các nguồn: tường lửa, IPS/IDS, WAF, EDR, máy chủ Windows/Linux, thiết bị mạng, Cloud AWS (GuardDuty, CloudTrail, Security Hub, VPC Flow Logs) để phát hiện hành vi bất thường.
• Thực hiện điều tra sơ bộ (Triage) và phân tích chi tiết các sự kiện nghi ngờ; phân biệt false positive với các mối đe dọa thực sự theo quy trình SOC.
• Theo dõi các chỉ số hiệu suất SOC: Mean Time to Detect (MTTD), Mean Time to Respond (MTTR); đảm bảo đáp ứng SLA đề ra.
• Ghi chép đầy đủ, chính xác toàn bộ các hành động điều tra, phân tích và xử lý sự kiện trên hệ thống ticket/SOAR.

2. Vận hành Hệ thống Bảo mật

• Vận hành, quản trị và đảm bảo hoạt động ổn định 24/7 của các hệ thống bảo mật được phân công, bao gồm:
  - Hệ thống SIEM / SOAR: cấu hình correlation rule, xây dựng Use Cases, dashboard theo dõi
  - Tường lửa ứng dụng: cấu hình, điều chỉnh rule, phân tích tấn công web.
  - Hệ thống ngăn chặn xâm nhập (IPS/IDS): cập nhật signature, tuning rule phát hiện tấn công.
  - Endpoint Security (Antivirus / EDR / APT / ATD): quản lý agent, xử lý cảnh báo endpoint.
  - Hệ thống chống thất thoát dữ liệu (DLP): vận hành policy, kiểm soát và xử lý vi phạm.
• Đảm bảo các hệ thống bảo mật được cập nhật đầy đủ bản vá, signature mới nhất theo lịch định kỳ.
• Thực hiện thủ tục gia hạn bản quyền, bảo hành mở rộng; lập báo cáo tình trạng license hệ thống.
• Thực hiện tuning định kỳ policy DLP để ngăn chặn thất thoát dữ liệu nhạy cảm (thẻ ngân hàng, dữ liệu khách hàng, thông tin nội bộ).

3. Phân tích & Ứng phó Sự cố (IR)

• Phối hợp với Tier 2/Tier 3 và Trưởng phòng trong quá trình điều tra, phân tích sự cố ATTT theo đúng Playbook ứng phó.
• Thực hiện phân tích Forensics cơ bản: thu thập và bảo toàn bằng chứng số, phân tích memory dump, log, timeline sự kiện.
• Tham gia thực hiện các bước cô lập, ngăn chặn và khắc phục khi xảy ra sự cố (containment, eradication, recovery).
• Lập báo cáo sự cố đầy đủ (Incident Report): mô tả diễn biến, nguyên nhân, tác động và khuyến nghị khắc phục.
• Cập nhật và hoàn thiện Playbook, quy trình xử lý sự cố dựa trên thực tiễn.

4. Nghiên cứu & Cập nhật Kỹ thuật

• Nghiên cứu, cập nhật liên tục các kỹ thuật tấn công mới, mối đe dọa mới nổi, IoC/TTP từ các nguồn Threat Intelligence uy tín.
• Đề xuất bổ sung Use Cases, detection rule mới trên SIEM/SOAR dựa trên phân tích mối đe dọa thực tế.
• Nghiên cứu và đề xuất triển khai các giải pháp bảo mật mới để nâng cao hiệu quả giám sát và vận hành.
• Tham gia các buổi đào tạo, chia sẻ kỹ thuật nội bộ và cộng đồng ATTT chuyên ngành.

• Tốt nghiệp Đại học chuyên ngành An toàn Thông tin, Công nghệ Thông tin, Điện tử Viễn thông hoặc các ngành kỹ thuật liên quan
• Tối thiểu 2–3 năm kinh nghiệm vận hành SOC hoặc quản trị hệ thống bảo mật.
• Kinh nghiệm thực tế quản trị ít nhất một trong các hệ thống: SIEM, SOAR, WAAP, IPS, EDR, DLP.
• Kiến thức nền tảng vững về an toàn thông tin: CIA triad, mô hình OSI, các giao thức mạng (TCP/IP, HTTP/S, DNS, SMTP...).
• Hiểu biết về các kỹ thuật tấn công mạng phổ biến: phishing, malware, ransomware, SQL injection, XSS, DDOS, lateral movement.
• Có kiến thức về hệ điều hành Windows Server, Linux; kỹ năng đọc hiểu và phân tích log hệ thống.
• Hiểu biết cơ bản về kiến trúc mạng: VLAN, routing, NAT, firewall, load balancer.
• Kiến thức về Cloud AWS Security: IAM, VPC, CloudTrail, GuardDuty, Security Groups.
• Tư duy phân tích tốt, khả năng xử lý khối lượng cảnh báo lớn, ưu tiên hóa và ra quyết định chính xác.
• Kỹ năng viết báo cáo kỹ thuật rõ ràng, mạch lạc; kỹ năng giao tiếp liên phòng ban tốt.
• Tiếng Anh chuyên ngành đủ đọc hiểu tài liệu kỹ thuật, advisory, threat report tiếng Anh.