Expert Splunk

il y a 2 semaines

FontenaysousBois, France CONSORT GROUP Temps plein

Mission
**Contexte**:
Vous intégrez le SOC du groupe qui est en charge des activités opérationnelles de détection, réponse à incidents et prévention sur le périmètre d'auprès des partenaires métiers que sont ITIM, IRBS, GBSU et les directions centrales.
**Descriptif de la mission**:
? Participer à différents projets nécessitant la mise en place de collecte de logs (logs internes et / ou logs provenant de AWS ou Azure) sur Splunk via le suivi et la gestion technique de la mise en place des collectes, écriture de parseurs et fourniture des pré-requis SOC pour la bonne intégration.
? Mettre en place le RUN de l'entité, en fournissant de l'expertise sur les infras SIEM (Splunk en particulier), le CI/CD associé, et la collecte de logs.
? Mettre en place des tâches d'amélioration continue de la détection via adaptation des parseurs, dashboards, uses case de détection en fonction des demandes des analystes N2/N3 ; toutes les tâches d'administration de Splunk se font via CI/CD.
? Améliorer les performances du SIEM Splunk en étant force de proposition sur les chantiers à mener (ex : identification de logs, parseurs, enrichissement, utilisation de fonctionnalités natives SIEM utiles, accélération des données...)
? Optimiser le modèle de données du SOC et à l'écriture de sa documentation.
? Améliorer le monitoring des outils du SOC (principalement basés sur Grafana et des scripts Python) et de la collecte de logs.
? Améliorer les process de l'entité et des bonnes pratiques d'utilisation des outils.
? Développer une app Splunk permettant de valider la non-régression des alertes et des parseurs lors d'un passage en production de nouveaux logs et / ou use case de détection.
**Environnement technique**: AWS, Git Hub, Jenkins, Splunk
**Livrables attendus**:
? Faire des Tickets Jira contenant la description des tâches
? Nouvelles typologies de logs ingérées, bien indexées et accélérées dans le SIEM Splunk
? Modèle de données du SOC documenté
? Faire des compte-rendus des réunions planifiées
? Créer de la documentation technique à jour suite à des changements mise en place sur les outils
? Participer à des tickets ITSM des changes mise en place et des incidents traités
Profil
**Expertises attendues**:
? Expertise sur le SIEM Splunk
? Collecte de logs (syslog, relais et collecteurs, agents beats, Event Hub Azure, Cloud Watch AWS)
? AWS, Terraform, Ansible, CI/CD Jenkins