Аналитик CERT L3

Мы ищем эксперта в области работы с инцидентами информационной безопасности в коммерческом центре мониторинга инцидентов ИБ, имеющего глубокую экспертизу в области выявления и противодействия кибератакам, способного формулировать функциональные и технические требования к разрабатываемой собственной SIEM.

Наши клиенты – Компании крупного и среднего бизнеса в области финансов, страхования, ритейла и других отраслей.

Обязанности:

• управление проектом создания среды разработки и тестирования правил нормализации/парсинга и правил детекции;
• проведение аналитики и повышение complexity нормализации сообщений от источников;
• формирование требований к фильтрации сообщений от источников и определение подхода и инструментария;
• внедрение новых правил детекции, анализ false positive и улучшение существующих правил детекции;
• анализ логов от различных источников событий ИБ, разработка нормализаторов логов во внутренний формат SIEM;
• исследование актуальных кибератак, участие в разработке и тестировании способов их детекции;
• обработка инцидентов и запросов, переданных с уровня L1/L2, помощь в расследовании;
• совершенствование процессов управления инцидентами, разработка плейбуков для реагирования на инциденты и сопроводительной документации.

Требования:

• опыт работы на аналогичной позиции от 3х лет;
• понимание принципов работы SIEM (нормализация, агрегация, корреляция) и опыт работы не менее чем с 2-мя различными SIEM;
• наличие проверенной базы правил нормализации/парсинга сообщений от различных источников событий ИБ и правил детекции инцидентов ИБ;
• владение методологией определения Severity инцидентов ИБ, наличие опыта ее внедрения и использования в работе SOC;
• владение методологией описания правил детекции инцидентов ИБ, наличие опыта ее внедрения и использования в работе SOC;
• навыки конфигурирования Windows и Linux систем, Active Directory;
• понимание основных способов аутентификации в ОС, SSO и подходов к настройке мониторинга безопасности;
• знание принципов работы протоколов и форматов передачи данных на различных уровнях OSI, их защиты и шифрования;
• понимание принципов работы SIEM, методов сбора и обработки событий и способов детекции вредоносной активности;
• навыки программирования на Python;
• знания SQL и опыт написания сложных запросов;
• понимание технической архитектуры и процессов SOC;
• знание основных инструментов для проведения исследований и проверок безопасности сети, анализа сетевого трафика;
• опыт расследования инцидентов, анализа дампов трафика для восстановления картины атак;
• понимание методологий MITRE ATT@CK, CyberKillChain, Diamond;
• опыт работы с одним из сетевых СЗИ (NGFW, IDS/IPS, WAF, и др.);
• знание различных видов сетевых атак, понимание принципов детекции и опыт расследования.

Приветствуются:

• опыт внедрения и эксплуатации SOAR;
• опыт работы с xDR решениями и написание сложных правил корреляции от различных источников событий;
• опыт разработки и эксплуатации правил детектирования для решений класса NTA/NDR;
• понимание преимуществ и недостатков различных SIEM;
• примеры успешных кейсов детекций и нейтрализаций кибератак, исследований;
• участие в CTF или опыт тестирований на проникновения;
• критическое мышление, умение ясно выражать свои мысли устно и при разработке документации.

Условия:

• ИТ-компания, аккредитованная при Министерстве цифрового развития, связи и массовых коммуникаций РФ.
• Участие в проекте по развитию отечественной SIEM-системы и сопутствующих систем.
• Быстрое обучение и интеграция в специфику нашей деятельности.
• Обучение и повышение квалификации за наш счет.
• Гибридный график.
• ДМС после испытательного срока.
• Офис, Москва, м. Павелецкая