A. MÔ TẢ CÔNG VIỆC:
1. Nội dung chi tiết:
a. Triển khai và vận hành nền tảng SOC
- Thiết kế, triển khai và vận hành nền tảng SOC phục vụ giám sát an toàn thông tin cho hệ thống server, endpoint, network, cloud, application và dịch vụ nội bộ.
- Triển khai, cấu hình và vận hành các giải pháp SOC như Wazuh SIEM/XDR, Shuffle SOAR, TheHive, Cortex, ELK/OpenSearch.
- Xây dựng kiến trúc thu thập log từ nhiều nguồn: Linux, Windows, firewall, IDS/IPS, VPN, proxy, web server, database, cloud service, application log và endpoint agent.
- Cấu hình log pipeline, parser, decoder, index, dashboard và alerting rule để phục vụ phát hiện sự kiện bảo mật.
- Tích hợp SIEM với SOAR, case management, ticketing, email, chat, firewall, EDR/XDR hoặc các hệ thống nội bộ thông qua API/webhook.
- Đảm bảo hệ thống SOC hoạt động ổn định, có khả năng mở rộng, dễ bảo trì và hỗ trợ phân tích sự cố.
b. Detection Engineering và tối ưu rule/content
- Xây dựng, cập nhật và tối ưu detection rule, correlation rule, alert logic, dashboard, use case giám sát.
- Tinh chỉnh rule nhằm giảm false positive, cải thiện chất lượng cảnh báo và tăng khả năng phát hiện hành vi tấn công.
- Phát triển detection content cho các kịch bản như brute force, malware, phishing, suspicious login, privilege escalation, lateral movement, persistence, data exfiltration, suspicious PowerShell, command & control.
- Mapping detection use case theo MITRE ATT&CK, IOC, TTP, Cyber Kill Chain.
- Phân tích log thực tế để đánh giá hiệu quả rule, điều chỉnh threshold, whitelist, blacklist, suppression và enrichment logic.
- Xây dựng dashboard theo từng nhóm use case: authentication, endpoint, network, web attack, cloud, vulnerability, compliance và incident tracking.
- Định kỳ review rule/content để loại bỏ rule không hiệu quả, bổ sung rule mới và cải thiện mức độ bao phủ detection.
c. SOAR automation và incident workflow
- Xây dựng và duy trì SOAR playbook/runbook cho các kịch bản xử lý sự cố.
- Tích hợp Wazuh/SIEM với Shuffle SOAR và TheHive để tự động hóa quy trình tạo case, enrichment IOC, phân loại cảnh báo và điều phối xử lý sự cố.
- Tự động hóa các bước như kiểm tra IP/domain/hash, tra cứu threat intelligence, gửi cảnh báo, tạo ticket, block IP/domain, disable account, isolate endpoint hoặc yêu cầu xác minh từ system/network team.
- Thiết kế workflow xử lý sự cố theo mức độ nghiêm trọng: Low, Medium, High, Critical.
- Phối hợp với SOC Analyst, System, Network, DevOps, Cloud và Application team trong quá trình điều tra, containment và khắc phục sự cố.
- Theo dõi các chỉ số vận hành như alert volume, false positive rate, MTTA, MTTR, case SLA và đề xuất cải tiến.
d. Điều tra sự cố và cải tiến vận hành SOC
- Hỗ trợ phân tích cảnh báo, xác minh sự kiện, xây dựng timeline và điều tra nguyên nhân gốc của sự cố.
- Thực hiện threat hunting dựa trên log, IOC, TTP và hành vi bất thường trong hệ thống.
- Viết báo cáo kỹ thuật, báo cáo sự cố, post-incident review và đề xuất biện pháp phòng ngừa.
- Xây dựng tài liệu triển khai, tài liệu vận hành, playbook, checklist và hướng dẫn sử dụng cho SOC team.
- Nghiên cứu, đánh giá và tích hợp thêm các giải pháp open-source hoặc commercial trong hệ sinh thái SOC.
2. Thời gian làm việc: 08h30 - 17h30 (Thứ Hai - Thứ Sáu, nghỉ Thứ Bảy + Chủ nhật)
3. Địa điểm làm việc: Tòa nhà G-Group, 5 Nguyễn Thị Duệ, Cầu Giấy, Hà Nội