TTech_TH-Threat Hunter

Tu misión será encontrar de forma proactiva amenazas que pudiera haber en las infraestructuras.

Tu día a día:

• Propuesta, diseño, planificación y ejecución de trabajos de Hunting.
• Aplicación de metodologías y frameworks de Threat Hunting, cuando se requiera.
• Generación de hipótesis basadas en información de inteligencia.
• Elaboración de playbooks de los trabajos llevados a cabo, bitácoras e informes de resultados (técnicos y ejecutivos) en base a las pautas establecidas.
• Análisis y gestión de tickets, llamadas o correos electrónicos provenientes del escalado de Operacion BAU que requieran especial atención por estar fuera de procedimientos y/o posibles incidentes que deban ser respondidos de manera experta.
• Análisis de triages, adquisiciones de ficheros así como identificación de incidente asignando la criticidad adecuada y tomando las medidas oportunas para contener de forma óptima la amenaza. Análisis de artefactos de complejidad media/alta adquiridos con el EDR, así como de volcados y extracciones diversas (normalmente logs).
• Búsquedas en el parque de comportamientos específicos dentro de la telemetría de la que se dispone, normalmente en el contexto de un incidente o de una situación de alerta, validando e investigando los hits.
• Registro de todos los hallazgos encontrados durante los Hunts en los correspondientes tickets. Seguimiento de la evolución de los mismos y actualización de la información proporcionada.
• Identificación y recopilación de información relevante para la elaboración de nuevas hipótesis (o mejora de las existentes).
• Recopilación y registro de lecciones aprendidas o acciones de mejora.
• Recopilación y registro de Indicadores de Compromiso y Ataque y compartición con los equipos interesados.
• Participación en la respuesta de incidentes, colaborando con el equipo que se encargue de la misma y documentando todas las acciones y descubrimientos del servicio en la bitácora. Esto implica asistencia a las reuniones de gestión del incidente donde se aportará la información de la que se dispone y se recogerán las tareas a realizar.
• Análisis de Casos de Uso con volumetría elevada o Falsos Positivos recurrentes para afinación o gestión de excepciones.
• Registro de actividad propia de la operativa del servicio mediante la herramienta de ticketing.
• Revisión y mejora de los tickets propios de las tareas de desarrollo del servicio.
• Colaboración con otros servicios como por ejemplo para la definición o realización de ejercicios Purple Team, Defense Readiness, etc. bajo petición del Service Operations o Service Owner.
• Se puede requerir la colaboración o elaboración de documentos relacionados con incidentes, amenazas, tendencias, avances o nuevas capacidades del servicio, tanto de forma puntual como recurrente (por ejemplo apuntes en las newsletters mensuales).
• Apoyo y participación en pruebas tales como los simulacros de Planes de Continuidad y Contingencia.

Al menos 2 años de experiencia en Threat Hunting.

El equipo de debe contar con experiencia en Hunting sobre, al menos, las siguientes materias:

EndPoint (tanto estaciones de trabajo como servidores y dispositivos móviles).

Redes y comunicaciones.

Ciberinteligencia de amenazas.

Ingeniería inversa de malware.

DevOps / desarrollo de herramientas.

Conocimientos/expertise:

• Amplia experiencia en análisis de ataques (determinación del origen, evaluación de equipos afectados y medidas de contención/erradicación).
• Certificaciones y cursos que acrediten su experiencia en el ámbito. A modo de referencia: GCFA, GCFE, GASF, GREM, GCIH, GSEC, GNFA, CHFI, certificaciones de fabricantes forenses.
• Conocimientos altos de seguridad ofensiva (hacking, red teaming), comportamiento delictivo (APTs) y TTPs.
• Amplia experiencia en investigaciones de Threat Hunting.
• Conocimiento alto de investigaciones forenses tradicionales.
• Amplia experiencia en análisis masivo de información de ataques y amenazas.
• Conocimientos de análisis de datos (Searching, Grouping, Stack Counting, Clustering, etc.), utilizando métodos automáticos y manuales de recolección y análisis e incluyendo el uso de técnicas de análisis basadas en Ciencia de datos.
• Experiencia en gestión de incidentes acompañando como hunter a un equipo de IH durante la investigación de un incidente.
• Conocimiento avanzado de OpenIOC y YARA.

Capacidad de realizar búsquedas (comprobaciones de hipótesis) a múltiples equipos de forma paralela.

Conocimiento avanzado en el uso de consolas/API de herramientas EDR y SIEM.

Capacidad alta en la elaboración de informes técnicos y ejecutivos. Nivel alto de escritura.

Capacidad alta en la elaboración de presentaciones. El correcto reporting interno es fundamental en el desarrollo de los incidentes y las investigaciones.

Capacidad de analizar informes de inteligencia con modus operandi de ataques.

Dominio del inglés, hablado y escrito, con conocimientos de lenguaje técnico que permitan mantener una reunión con un tercero, asistir a una charla y redactar notificaciones o documentación.

• Medidas de conciliación y flexibilidad horaria.
• Formación continua y certificaciones.
• Modelo híbrido de teletrabajo.
• Atractivo paquete de beneficios sociales.
• Excelente ambiente de trabajo dinámico y multidisciplinar.