Rôle d'ingénieur N3 : onboarding des logs "métiers" dans Splunk En tant qu'ingénieur cyber N3, votre mission principale est de renforcer la capacité de détection du SOC en intégrant des sources de logs stratégiques, notamment les logs "core" ou "métier", dans notre plateforme SIEM Splunk. Cette initiative vise à étendre la visibilité au-delà des infrastructures standard pour identifier des menaces plus sophistiquées et spécifiques à l'entreprise. Description de la mission Votre rôle est à la fois technique et stratégique. Il ne se limite pas à la configuration de Splunk ; il s'agit d'un véritable projet qui exige de la communication, de la rigueur et une compréhension approfondie des risques de l'entreprise. Pilotage de l'onboarding : Vous êtes le moteur de cette initiative. Vous identifiez, en collaboration avec les architectes et les RSSI (HoC), les applications et les produits métiers critiques. Votre objectif est de déterminer quelles sources de logs apporteront la plus grande valeur ajoutée en matière de détection. Cette phase nécessite d'excellentes compétences en priorisation pour focaliser les efforts sur les cibles les plus pertinentes. Communication et collaboration : Vous agissez comme un pont entre le SOC et les équipes de développement (I-tracing) ou d'infrastructure(équipe diverse). Vous devez être capable de communiquer clairement les besoins techniques du SOC (format des logs, champs requis, méthode d'envoi) et de surmonter les obstacles techniques et organisationnels. Vous n'êtes pas un simple exécutant, mais un conseiller technique qui guide les équipes pour s'assurer que les logs sont envoyés de manière optimale. Ingestion et parsing des logs dans Splunk : Une fois les logs reçus, vous êtes responsable de leur intégration technique dans Splunk. Cela implique de créer des règles de parsing (Splunk Technology Add-ons ou TAs) pour extraire les informations pertinentes et de les normaliser afin qu'elles soient exploitables par les analystes du SOC. Développement d'éléments de détection : L'intégration des logs n'est qu'une première étape. Votre responsabilité principale est de traduire les risques métier en règles de corrélation, alertes et tableaux de bord de détection. Vous devez avoir une forte maturité technique pour concevoir des détections pertinentes et à faible taux de faux positifs, en vous basant sur la connaissance des menaces propres à l'environnement de l'entreprise. En résumé, cette mission fait de vous un architecte de la détection, transformant des données brutes en informations de sécurité actionnables pour protéger les actifs les plus précieux de l'organisation.