Мы ищем эксперта в области работы с инцидентами информационной безопасности в коммерческом центре мониторинга инцидентов ИБ, имеющего хорошую экспертизу в области выявления и противодействия кибер-атакам, способного формулировать функциональные и технические требования к разрабатываемой собственной SIEM.
Наши клиенты – Компании крупного и среднего бизнеса в области финансов, страхования, ритейла и других отраслей.
Обязанности:
- создание подсистемы инвентаризации и учета активов (источников событий ИБ) в составе разрабатываемой SIEM;
- анализ логов от различных источников событий ИБ, разработка нормализаторов логов во внутренний формат SIEM;
- проведение аналитики и повышение complexity нормализации сообщений от источников;
- фильтрация сообщений от источников событий ИБ;
- разработка и внедрение новых правил корреляции;
- согласование и определение требований к новому корреляционному правилу, разрабатываемому по запросу клиента;
- регулярная оптимизация от False-Positive;
- подготовка рекомендаций по реагированию;
- сопровождение обмена информацией с ГосСОПКА;
- определение корректности настройки системы аудита и наличия необходимых событий для корреляционных правил;
- сбор данных и формирование ежемесячных/квартальных отчетов или отчетов по требованию Заказчика;
- прием эскалации от аналитиков 1-й линии;
- наставничество 1-й линии, развитие программы обучения;
Требования: - опыт работы на аналогичной позиции от 2х лет;
- понимание принципов работы SIEM (нормализация, агрегация, корреляция) и опыт работы с SIEM;
- владение методологией описания правил корреляции инцидентов ИБ, наличие опыта ее внедрения и использования в работе SOC;
- навыки конфигурирования Windows и Linux систем, Active Directory;
- понимание основных способов аутентификации в ОС, SSO и подходов к настройке мониторинга безопасности;
- знание принципов работы протоколов и форматов передачи данных на различных уровнях OSI, их защиты и шифрования;
- понимание принципов работы SIEM, методов сбора и обработки событий и способов детекции вредоносной активности;
- навыки программирования на Python;
- знания SQL и опыт написания сложных запросов;
- понимание технической архитектуры и процессов SOC;
- опыт расследования инцидентов, анализа дампов трафика для восстановления картины атак;
- понимание методологий MITRE ATT@CK, CyberKillChain, Diamond;
- опыт работы с одним из сетевых СЗИ (NGFW, IDS/IPS, WAF, и др.);
- знание различных видов атак, понимание принципов детекции и опыт расследования.
Приветствуются:
- знание основных инструментов для проведения исследований и проверок безопасности сети, анализа сетевого трафика;
- опыт внедрения и эксплуатации SOAR;
- опыт работы с xDR решениями и написание сложных правил корреляции от различных источников событий;
- опыт разработки и эксплуатации правил детектирования для решений класса NTA/NDR;
- понимание преимуществ и недостатков различных SIEM;
- примеры успешных кейсов детекций и нейтрализаций кибератак, исследований;
- участие в CTF или опыт тестирований на проникновения;
- критическое мышление, умение ясно выражать свои мысли устно и при разработке документации.
Условия: - Заработная плата от 200 тысяч рублей на руки, по результатам собеседования.
- ИТ-компания, аккредитованная при министерстве цифрового развития, связи и массовых коммуникаций РФ.
- Участие в проекте по развитию отечественной SIEM-системы и сопутствующих систем.
- Быстрое обучение и интеграция в специфику нашей деятельности.
- Обучение и повышение квалификации за наш счет.
- Гибридный график.
- ДМС после испытательного срока.
- Офис, Москва, м. Павелецкая.