Administrateur Splunk - Freelance

Administrateur Splunk - Centre mondial des opérations de sécurité

Descriptif du poste

En tant qu'administrateur Splunk au sein du Centre mondial des opérations de sécurité (GSOC), dans l'équipe « Détection et automatisation », vous jouerez un rôle essentiel dans l'identification, l'investigation et l'atténuation des menaces de cybersécurité au sein d'un environnement complexe et dynamique. Ce poste de haut niveau exige une connaissance approfondie des opérations de sécurité, de la réponse aux incidents et des dernières tendances en matière de cybermenaces.

En tant qu'expert Splunk au sein du GSOC, vous serez responsable de fournir un soutien complet afin de maintenir la fiabilité et l'efficacité des plateformes de surveillance de la cybersécurité. Ce poste englobe un large éventail de responsabilités, notamment l'intégration des sources et entités de données, la gestion des accès et des ressources, l'assurance qualité des données, la normalisation des journaux et la restauration de la collecte des journaux en cas d'interruption. Vous assurerez également le support aux utilisateurs finaux, la surveillance et la gestion de divers environnements Splunk (dont Splunk Core, Splunk Enterprise Security, Splunk ITSI et SC4S), le développement de nouvelles fonctionnalités de détection et de surveillance, l'automatisation des processus existants et la mise à jour continue de la documentation technique afin de répondre aux besoins opérationnels.

Compte tenu du fonctionnement 24h/24 et 7j/7 du GSOC, la participation à un système d'astreinte est requise. Les astreintes sont généralement planifiées à raison d'une semaine par mois, selon le plan de rotation défini par le responsable de la prestation de services.

Profil recherché

• Au moins 4 ans d'expérience pratique dans la gestion d'environnements de production Splunk complexes, notamment Splunk Enterprise Security, Splunk ITSI, Splunk Cloud et Splunk SC4S.

• Expérience avérée dans la conception, la mise en œuvre et l'optimisation des règles de détection.

• Solide expérience en développement de scripts d'automatisation et de support avec Python.

• Expérience des systèmes de gestion des tickets et des SLA.

Principales missions et activités

Travailler sur la plateforme Splunk (8 To de données par jour) en collaboration avec l'équipe et les experts Splunk. Les principales missions seront les suivantes :

• Administrer les applications et gérer les accès utilisateurs sur la plateforme Splunk.

• Assurer la maintenance régulière et la stabilité de la plateforme.

• Concevoir et générer des rapports et des tableaux de bord pour répondre aux besoins opérationnels et de sécurité.

• Gérer les processus d'ingestion de données et superviser l'intégration des sources de données et des équipements de journalisation dans Splunk.

• Garantir l'exactitude, la cohérence et la qualité des données ingérées.

• Restaurer la collecte des journaux en cas de perte ou d'interruption de données.

• Communiquer avec les équipes internes et les clients externes, principalement en français et en anglais.

• Contribuer à l'expansion et à l'évolution de la couverture de surveillance et de détection.

• Soutenir les efforts d'automatisation des flux de travail d'intégration des données et d'assurance qualité.

• Créer de la documentation technique et des guides d'utilisation à usage interne et externe.

• Participer à un système d'astreinte partagé (équipe de 6 personnes) pour Splunk et les outils associés.

• Contribuer aux initiatives de migration et de transformation liées à Splunk ou aux systèmes de collecte associés.

• Développer et déployer des algorithmes d'apprentissage automatique pour améliorer les capacités d'analyse et de détection.

• Contribuer à la création de règles de détection de cybersécurité et à la mise en œuvre de cas d'utilisation.

• Proposer en continu des améliorations aux outils, aux procédures et à la réponse aux incidents afin de renforcer la détection et l'atténuation des menaces.

• Créer des tableaux de bord et définir des indicateurs de sécurité et des KPI.

• Participer aux communautés de sécurité internes et contribuer au partage des connaissances entre les équipes.