Описание:
Мы ищем эксперта в области работы с инцидентами информационной безопасности в коммерческом центре мониторинга инцидентов ИБ, имеющего хорошую экспертизу в области выявления и противодействия кибер-атакам. Наши клиенты – Компании крупного и среднего бизнеса в области финансов, страхования, ритейла и других отраслей.
Требования:
опыт работы на аналогичной позиции от 2х лет; опыт работы с ruSIEM не мнее года; на базе ruSIEM владение методологией описания правил корреляции инцидентов ИБ, наличие опыта ее внедрения и использования в работе SOC; навыки конфигурирования Windows и Linux систем, Active Directory; понимание основных способов аутентификации в ОС, SSO и подходов к настройке мониторинга безопасности; знание принципов работы протоколов и форматов передачи данных на различных уровнях OSI, их защиты и шифрования; знания SQL и опыт написания сложных запросов; понимание технической архитектуры и процессов SOC; опыт расследования инцидентов, анализа дампов трафика для восстановления картины атак; понимание методологий MITRE ATT@CK, CyberKillChain, Diamond; знание различных видов атак, понимание принципов детекции и опыт расследования. Приветствуются: знание основных инструментов для проведения исследований и проверок безопасности сети, анализа сетевого трафика; приветствуется опыт работы с одним из сетевых СЗИ (NGFW, IDS/IPS, WAF, и др.); опыт внедрения и эксплуатации SOAR; опыт работы с xDR решениями и написание сложных правил корреляции от различных источников событий; примеры успешных кейсов детекций и нейтрализаций кибератак, исследований; участие в CTF или опыт тестирований на проникновения; критическое мышление, умение ясно выражать свои мысли устно и при разработке документации.
Обязанности:
создание подсистемы инвентаризации и учета активов (источников событий ИБ) в составе разрабатываемой SIEM; анализ логов от различных источников событий ИБ, разработка нормализаторов логов во внутренний формат SIEM; проведение аналитики и повышение complexity нормализации сообщений от источников; фильтрация сообщений от источников событий ИБ; разработка и внедрение новых правил корреляции; согласование и определение требований к новому корреляционному правилу, разрабатываемому по запросу клиента; регулярная оптимизация от False-Positive; подготовка рекомендаций по реагированию; сопровождение обмена информацией с ГосСОПКА; определение корректности настройки системы аудита и наличия необходимых событий для корреляционных правил; сбор данных и формирование ежемесячных/квартальных отчетов или отчетов по требованию Заказчика; прием эскалации от аналитиков 1-й линии; наставничество 1-й линии, развитие программы обучения.
Условия:
Заработная плата от 200 тысяч рублей на руки, по результатам собеседования. ИТ-компания, аккредитованная при министерстве цифрового развития, связи и массовых коммуникаций РФ. Обучение и повышение квалификации за наш счет. Гибридный график. ДМС после испытательного срока. Офис, Москва, м. Павелецка
