→ view projects → get in touch
I focus on practical infrastructure and security engineering with emphasis on visibility, monitoring, and operational simplicity. Most projects start in a homelab environment where I test architecture decisions, telemetry pipelines, hardening approaches, and automation workflows before trusting them long-term.
I prefer systems that are observable, reproducible, and easy to recover. Good infrastructure should not depend on tribal knowledge or constant manual intervention. My goal is to understand how systems behave under failure, not only when everything works.
Analýza bezpečnostních událostí, investigace alertů, tuning detekcí a práce se SIEM platformami. Součástí práce je také validace detekční logiky, vyhodnocování bezpečnostních incidentů a zlepšování detekčního pokrytí.
Monitoring bezpečnostních událostí, triáž alertů a podpora bezpečnostního dohledu.
Komunikace se zákazníky, poradenství při výběru IT a spotřební elektroniky a podpora provozu prodejny. Součástí práce byla také správa skladových zásob, zpracování objednávek a řešení zákaznických požadavků.
Studium na FIT ČVUT zaměřené na informační bezpečnost, ochranu dat a síťové systémy.
Specializace na správu počítačových sítí, síťovou infrastrukturu a administraci.
Laboratorní prostředí navržené pro simulaci více zákaznických lokalit s centralizovaným monitoringem, sběrem logů a bezpečnostním dohledem. Slouží k ověřování architektonických rozhodnutí, testování detekcí a integraci bezpečnostních nástrojů v podmínkách blízkých reálnému provozu.
Prostředí tvoří centrální lokalita a dvě oddělené zákaznické sítě propojené pomocí IPSec VPN. Každá lokalita obsahuje vlastní síťovou infrastrukturu, bezpečnostní monitoring a sběr telemetrie. Centrální vrstva zajišťuje správu, monitoring a korelaci událostí napříč celým prostředím.
pfSense, Wazuh, Suricata, Zabbix, iTop a centralizovaný log management. Součástí prostředí jsou VLAN segmentace, VPN komunikace, síťová detekce, monitoring infrastruktury a správa bezpečnostních událostí.
Nasazení jednotlivých nástrojů je relativně jednoduché. Skutečnou výzvou je jejich integrace, správa vztahů mezi lokalitami a udržení konzistentní viditelnosti napříč celým prostředím.
Observability vrstva navržená pro sledování stavu infrastruktury, síťových prvků a bezpečnostních systémů. Zaměřená na centralizovaný sběr metrik, logů a provozních událostí.
Monitoring hostů, služeb a síťových zařízení pomocí Zabbixu doplněný o centralizovaný sběr provozních dat. Prostředí poskytuje jednotný pohled na dostupnost, výkon a chování systémů.
Alerting navržený s důrazem na relevanci a provozní použitelnost. Cílem je minimalizace šumu a rychlá identifikace problémů ovlivňujících dostupnost nebo stabilitu prostředí.
Neodhalíš, co nevidíš. Kvalita rozhodnutí je přímo závislá na kvalitě telemetrie a schopnosti propojit metriky, logy a události do jednoho kontextu.
Nasazení a provoz Wazuh prostředí pro centralizovaný sběr logů, bezpečnostní monitoring a správu bezpečnostních událostí napříč více lokalitami.
Sběr a normalizace telemetrie ze serverů, pracovních stanic, síťových zařízení a bezpečnostních systémů. Prostředí je navrženo s důrazem na kvalitu dat, konzistenci logů a dlouhodobou provozní použitelnost.
Centralizovaný monitoring bezpečnostních událostí, korelace dat z různých zdrojů a podpora analýzy incidentů. Součástí prostředí je také validace ingestovaných dat a průběžná kontrola detekčního pokrytí.
Kvalita SIEMu není dána počtem pravidel, ale kvalitou telemetrie a schopností poskytnout analytikovi relevantní kontext. Bez kvalitních dat nelze vytvářet spolehlivé detekce ani efektivně vyšetřovat incidenty.
Prostředí určené pro vývoj, testování a validaci detekčních pravidel nad reálnou telemetrií. Zaměřené na identifikaci podezřelého chování, zlepšování detekčního pokrytí a snižování počtu false positives.
Vývoj vlastních Wazuh pravidel a Suricata signatur zaměřených na procesní anomálie, persistence mechanismy, síťové události a další bezpečnostně relevantní aktivity. Součástí procesu je také mapování detekcí na MITRE ATT&CK techniky.
Ověřování detekcí nad reálnými daty s důrazem na srozumitelnost, použitelnost a kvalitu generovaných alertů. Každá detekce je posuzována nejen podle schopnosti zachytit aktivitu, ale také podle její hodnoty při následné analýze.
Dobrá detekce není ta, která pouze generuje alert. Skutečná hodnota vzniká ve chvíli, kdy poskytne analytikovi dostatek kontextu pro rychlé pochopení události a správné rozhodnutí.
Alerts are hypotheses, not answers. Every detection rule should describe specific behavior, not a vague indicator. If you can't explain in one sentence what the rule detects, it needs more work.
Systém, který neumíš obnovit, není spolehlivý. Automatizované nasazení, zdokumentovaná obnova a pravidelné testování recovery scénářů mají větší hodnotu než týdny bez výpadku.
Detekce, investigace i threat hunting jsou omezené kvalitou dostupných dat. Chybějící telemetrie nevytváří jen slepá místa v monitoringu, ale omezuje schopnost pochopit, co se v systému skutečně stalo.
Šum je důsledkem špatného návrhu detekcí, ne jen jejich ladění. Pokud SIEM produkuje více alertů, než je tým schopný vyšetřit, bývá příčinou chybějící korelace, nedostatečný enrichment nebo nízká kvalita detekční logiky. Kvalita detekčního pokrytí není dána počtem pravidel, ale jejich použitelností v provozu.
Infrastruktura není sbírka nástrojů, ale soustava vzájemně propojených rozhodnutí. Změna firewallu ovlivní detekční pokrytí. Změna logovací pipeline ovlivní dobu reakce na incident. Každá změna má dopad i mimo komponentu, ve které vznikla.
Komplexita narůstá rychleji, než většina lidí očekává. Každá další služba, závislost nebo automatizace zvyšuje provozní režii. Preferuji infrastrukturu, které rozumím, dokážu ji obnovit a troubleshootovat bez závislosti na křehkých abstrakcích.