告警监控与初步分析 • 负责SIEM、EDR/XDR、DLP等系统的告警监控与分析 • 对告警进行研判、分类和优先级判断 • 对可疑或复杂告警进行初步调查,并推动后续处理
安全事件调查与分析 • 参与或主导复杂安全事件的调查与分析工作 • 基于日志、终端、网络等多维数据进行关联分析 • 还原事件过程,分析攻击路径或异常行为链路 • 明确事件影响范围及根因,并提出改进建议
内部威胁与数据泄露相关场景分析 • 分析内部人员异常行为及潜在风险 • 关注数据访问、使用及外传等异常情况 • 结合DLP告警判断是否存在实际数据泄露风险 • 协助识别现有数据保护或监控中的不足
检测优化与经验沉淀 • 基于调查经验优化告警规则,减少误报 • 参与DLP策略与规则的调优,提升告警有效性与准确性 • 结合实际案例优化数据外传、敏感数据识别等相关检测规则 • 总结典型案例,完善调查方法和流程 • 支持相关自动化或检测能力的优化