安全运营中心调查专家

角色概述

Mercor正在为高速发展的科技企业及构建下一代SOC自动化与AI驱动调查系统的合作伙伴招聘安全运营中心调查专家。该岗位适合具备实战经验的SOC分析师，能够运用真实场景调查判断力，在SIEM、终端、云环境和身份体系中开展高质量安全调查的审查、验证与构建工作。

主要职责

• 根据预定义场景和标准，审查、监控并评估SOC告警及调查结果
• 通过验证调查证据和告警上下文，区分真实事件与误报
• 按需执行端到端安全调查，包括日志分析、实体关联、时间线重建和证据关联
• 评估自动化或人工流程生成的SOC调查结果的准确性、完整性和质量
• 在识别多种有效调查路径的前提下保持一致的调查判断
• 做出明确的二元判定（如ACCEPT/PASS），并按需输出详细的基准调查报告
• 深度使用Splunk进行日志、实体和时间线关联分析，包括SPL查询的解读与推理
• 维护清晰准确的调查步骤、假设、证据和结论文档
• 与项目负责人及其他专家标注员协作确保调查与标注质量标准
• 在长期任职或担任标注负责人时，指导或支持其他分析师

任职要求

• 3年以上一线SOC环境实战经验（优先考虑Tier 2及以上级别）
• 深入理解告警分类、事件调查流程及时间约束下的证据决策机制
• 必须具备Splunk实战经验，包括：
  • 使用Splunk开展调查
  • 阅读、理解并推理SPL查询
  • 在日志、实体和时间线间进行关联分析
• 具备评估SOC调查结果有效性的能力，能判断结论的正确性、完整性与错误性
• 出色的调查判断力，能够做出果断评估
• 英语流利（书面及口语），具备优秀的文档撰写与沟通能力

优先条件

• 具备终端检测与响应（EDR）工具使用经验，如CrowdStrike Falcon、Microsoft Defender for Endpoint或SentinelOne
• 具备云安全日志分析经验：
  • AWS（CloudTrail, GuardDuty）
  • Azure（Activity Log, Defender for Cloud）
  • GCP（Cloud Audit Logs）
• 熟悉身份与访问管理平台，如Okta Identity Cloud或Microsoft Entra ID（Azure AD）
• 具备邮件安全工具（如Proofpoint或Mimecast）使用经验
• 具备SOC领导或指导经验
• 基础脚本编写能力（Python或同类语言）
• 安全认证（非强制）：GCIA、GCIH、GCED、Splunk认证、Security+、CCNA或云安全相关认证

为什么加入

• 参与前沿SOC自动化与AI驱动调查系统的建设
• 运用实战SOC经验塑造未来安全团队的威胁调查与响应模式
• 主导高影响力的调查评估与基准安全案例
• 与资深SOC从业者、安全工程师及AI团队协作
• 加入Mercor全球认证安全专家网络