Functieomschrijving
Als Security Incident Analist maak je deel uit van het Security Operations Center (SOC) en bewaak je samen met het team de systemen en netwerken van ODC‑Noord/DUO.
Je bent vaak de eerste die afwijkend gedrag signaleert: je beoordeelt meldingen, onderzoekt verdachte gebeurtenissen en bepaalt of er sprake is van een daadwerkelijke dreiging.
Bij incidenten stel je het incident vast, schat je de impact in, neem je indammingsmaatregelen en schakel je de juiste collega’s en teams in om beschikbaarheid en veiligheid te herstellen.
Je draagt actief bij aan het verbeteren van detectie en processen: je vertaalt dreigingsinformatie naar detectieregels, vermindert false positives en ontwikkelt use cases voor SIEM/tooling.
Daarnaast deel je kennis, legt je bevindingen vast en help je het SOC doorlopend te verbeteren; houd rekening met consignatie-/piketdiensten.
Werkomgeving: ODC‑Noord levert datacenter- en clouddiensten binnen de Rijksoverheid en opereert vanuit DUO in Groningen binnen een compacte, wendbare organisatie.
Vereist profiel
- Opleiding: afgeronde mbo+/hbo-opleiding in ICT, security of vergelijkbaar; relevante werkervaring kan een opleiding compenseren.
- Ervaring: aantoonbare werkervaring in een SOC, als incident responder of in een vergelijkbare securityrol.
- Technische vaardigheden: praktische kennis van SIEM-platforms, netwerk- en endpointforensisch onderzoek, loganalyse, en detectieregels (Yara/Sigma/ETC).
- Tooling en scripting: ervaring met monitoring- en forensische tooling, en basisvaardigheden in scripting (bijv. Python, PowerShell) voor automatisering van detectie en response.
- Analytisch vermogen: snel feiten verzamelen, correlaties leggen en prioriteren in tijdkritische situaties.
- Communicatie: duidelijke rapportage van bevindingen, samenwerken met technische en niet-technische stakeholders en bijdragen aan werkinstructies.
- Persoonlijk: stressbestendig, nauwkeurig, leergierig en bereidheid tot consignatie/piketdiensten.
- Talen: goede beheersing van Nederlands en Engels, zowel mondeling als schriftelijk.
- Pré’s: kennis van threat intelligence, ervaring binnen (rijks)overheidsomgevingen, en relevante certificeringen (bijv. GCIH, GCIA, CEH of vergelijkbaar).
- Standplaats: Groningen; inzet binnen de Rijksoverheid en samenwerking met meerdere overheidsorganisaties is onderdeel van de functie.
Eisen
- HBO werk- en denkniveau (in een richting als cybersecurity, netwerk- en securitybeheer of (technische) informatica)
- Relevante securitycertificering, zoals Blue Team Level 1, CompTIA CySA+, CISSP, OSCP of vergelijkbaar
- 3 jaar aantoonbare en recente ervaring binnen een SOC: het onderzoeken, analyseren en opvolgen van security-incidenten
- 3 jaar aantoonbare ervaring met een SIEM/EDR-omgeving, inclusief het zelf opstellen van zoekopdrachten/queries
- 3 jaar aantoonbare kennis van het MITRE ATT&CK-framework en van aanvalstechnieken en malwaregedrag, en kennis van netwerken en van zowel Linux als Windows, inclusief virtualisatie en containerisatie
Wensen
- Ervaring met detection engineering: het zelf bouwen van detectieregels (bijvoorbeeld Sigma) en het onboarden/parsen van nieuwe logbronnen
- Ervaring met threat hunting en threat intelligence (IOC's, STIX)
- Offensieve ervaring (pentesten, vulnerability management) met tooling als Nessus, OpenVAS, Burp Suite of Nmap, ingezet om detectie te versterken
- Ervaring met scripten en automatiseren (Python, Bash of PowerShell) van terugkerende SOCwerkzaamheden
- Kennis van security-normen en wet- en regelgeving (ISO 27001, CIS Benchmarks, BIO, AVG, NIS2)
Competenties
- Analytisch
- Kritisch en gedetailleerd
- Communicatief vaardig
- Teamspeler die ook zelfstandig werkt
- Leergierig en flexibel
- Vertrouwd met het Agile/Scrum-framework