L3 SIEM Admin

يتولى مسؤول إدارة SIEM من المستوى الثالث (L3 SIEM Admin) قيادة عمليات الإدارة والتكوين والتحسين والتشغيل المتقدم لمنصات SIEM الخاصة بالمنظمة، مع التركيز بشكل أساسي على دعم منصة Splunk SIEM، بالإضافة إلى دعم البيئات التي تستخدم تقنيات SIEM الأخرى مثل QRadar وArcSight. يهدف هذا الدور إلى ضمان فعالية استيعاب السجلات، والكشف عن الهجمات، وتحليل التهديدات، ودعم تحقيق الحوادث، وتحسين قدرات مراقبة مركز العمليات الأمنية (SOC) بشكل مستمر.

المهام والمسؤوليات الرئيسية:

• إدارة وتكوين وصيانة وتحسين منصات SIEM المؤسسية في بيئات الإنتاج.
• إجراء ضبط معماري لمنصات SIEM، وتحسين الأداء، وإدارة السعة.
• تكوين وصيانة قواعد الترابط، والتنبيهات، ولوحات المعلومات، وسياسات الكشف لدعم الكشف المتقدم عن التهديدات.
• قيادة عملية إدخال، وتحليل، وتطبيع السجلات من البنية التحتية، والتطبيقات، والنقاط النهائية، والشبكة، وخدمات السحابة.
• إجراء تحليل متقدم للسجلات والهجمات لدعم الكشف عن التهديدات والتحقيقات في مركز العمليات الأمنية.
• العمل كنقطة تصعيد للحوادث المعقدة التي تتطلب تحليلًا عميقًا للسجلات والمنصة.
• دعم أنشطة الاستجابة للحوادث من خلال توفير المعلومات المتعلقة بالسجلات والمساعدة في التحقيقات والأنشطة الجنائية عند الحاجة.
• معالجة مشكلات منصة SIEM ودعم حل المشكلات التشغيلية.
• تنسيق التحقيقات والأنشطة التشغيلية عبر فرق SOC واستجابة الحوادث وإدارة الثغرات والبنية التحتية والتطبيقات.
• تطوير سكربتات أوتوماتيكية وعمليات تكامل باستخدام لغات البرمجة لتحسين كفاءة عمليات مركز العمليات الأمنية.
• دعم مبادرات الانتقال أو الهجرة لمنصة SIEM بما في ذلك إدخال مصادر البيانات، والتحقق، وتوافق حالات الكشف.
• ضمان توفر منصة SIEM وقابليتها للتوسع وكفاءة تخزين البيانات.
• الحفاظ على الوثائق الفنية، وإجراءات التشغيل، ومعايير التكوين.
• دعم متطلبات التدقيق، والامتثال، والمراقبة التنظيمية من خلال تحليل السجلات والتقارير.

المتطلبات والمؤهلات:

• درجة بكاليوس في الأمن السيبراني، أو علوم الحاسوب، أو تكنولوجيا المعلومات، أو مجال ذي صلة.
• شهادات احترافية مثل:
  • مدرب معتمد من Splunk Enterprise (إلزامي).
  • معمار Splunk Enterprise المعتمد.
  • مدرب معتمد في أمن Splunk Enterprise.
  • محلل الدفاع السيبراني من Splunk.
  • شهادات CISSP، GCIH، GCIA، أو ما يعادلها من شهادات GIAC.
  • شهادات GSEC أو شهادات متعلقة بمركز العمليات الأمنية.

المهارات المطلوبة:

• خبرة تتراوح بين 5 إلى 7 سنوات في عمليات الأمن السيبراني، مع خبرة عملية لا تقل عن 3 سنوات في إدارة منصات Splunk SIEM.
• تجربة في عمليات مركز العمليات الأمنية وتحقيق الحوادث.
• خبرة في إدارة SIEM المؤسسية في بيئات الإنتاج.
• القدرة على التنسيق مع فرق البنية التحتية والأمن.
• مهارات تحليل السجلات والهجمات باستخدام Splunk، QRadar، أو ArcSight.