SOC Detection Lead Expert

Le Security Operations Center (SOC) capacités suivantes : détection d’incidents de sécurité, chasse aux menaces, réponse aux incidents et renseignement sur les menaces. La philosophie fondamentale

Nous croyons que le meilleur service pour élaborer une règle de détection est celui qui connaît parfaitement comment la contourner. Nous recherchons un Red Teamer souhaitant évoluer vers notre Stratégiste principal en détection. Vous serez responsable de la qualité et de l’orientation de notre logique de détection : évaluer notre posture en matière de télémétrie et de journalisation, identifier les lacunes de visibilité, définir les besoins en détection et rédiger des contenus de détection précis et résistant aux techniques de contournement du monde réel.

Vous ferez le lien entre les techniques offensives et les résultats du SOC, en traduisant le comportement des attaquants en détections durables et exploitables.

Objectifs et livrables

• Focus principal : Ingénierie de la détection


• Responsabilité principale : Garantir que chaque mouvement d’adversaire soit détecté. Vous passerez la majorité de votre temps dans notre SIEM, en élaborant des alertes de haute précision basées sur votre analyse des tactiques, techniques et procédures (TTP) offensives.


• Création de logique : Rédiger des requêtes KQL complexes pour repérer des comportements avancés (par exemple, manipulation de tokens, jitter C2, etc.), plutôt que de simples correspondances d’indicateurs de compromission (IOC).


• Analyse de la télémétrie : Examiner en profondeur les logs bruts provenant de l’EDR, des fournisseurs d’identités et de l’infrastructure cloud pour identifier les données manquantes et définir les politiques de journalisation adéquates.


• Réduction des faux positifs : Utiliser votre connaissance des comportements normaux versus malveillants pour ajuster et affiner les règles existantes, afin d’éviter une surcharge d’alertes pour le SOC.


• Focus secondaire : Emulation ciblée d’adversaires


• Vous continuerez à réaliser des attaques, mais avec un objectif différent : générer des données. Vous exécuterez des séquences d’attaque manuelles pour vérifier le déclenchement des nouvelles règles, puis analyserez et simulerez des techniques spécifiques (cadrées selon le cadre MITRE ATT&CK) afin d’identifier et de combler les lacunes de notre détection.

Responsabilités clés du service :

• Traduire le renseignement sur les menaces complexes et les techniques de Red Team en logique de détection exploitable (KQL).


• Revoir et optimiser la bibliothèque de règles de détection existante pour garantir leur précision et leur couverture.


• Collaborer avec l’équipe de réponse aux incidents pour comprendre pourquoi certaines attaques ont été manquées, et concevoir des règles pour empêcher leur récidive.

Compétences :

• Expertise en Sécurité Offensive (Red Teaming et Penetration Testing) avec plus de 4 ans d'expérience.


• Expérience de 2 ans en Ingénierie de la Détection et en opérations de Blue Team.


• Connaissance approfondie des concepts de contournement, notamment l'obfuscation de payloads, l'exécution en mémoire et les techniques d'anti-analyse.


• Excellentes compétences en exploitation d'Active Directory ainsi qu'en mouvements latéraux discrets.


• Maîtrise des outils offensifs standard de l'industrie, avec la capacité de les personnaliser afin de réduire la détection et la similarité des signatures.


• Expérience dans la conception et la gestion de frameworks et infrastructures de Command & Control (C2), en appliquant des pratiques rigoureuses d'OPSEC et d'obfuscation du trafic.


• Compétences en développement de scripts et outils légers pour soutenir les missions, en utilisant principalement Python, PowerShell ou C/C++.


• Maîtrise de Sentinel et du Kusto Query Language (KQL).


• Bonne compréhension des concepts de détection et de la méthodologie MITRE ATT&CK.


• Forte capacité de résolution de problèmes et d'optimisation de solutions complexes.

Note : Expérience requise dans un contexte et environnement anglophone.

(L'ensemble de cette description ne doit pas dépasser 3000 caractères, espaces compris.)