Аналитик SIEM

Мы Центр информационной безопасности МО - подведомственная организация Министерству государственного управления, информационных технологий и связи Московской области.

Занимаемся созданием и развитием информационных систем по защите информации, выявлению нарушений информационной безопасности и путей их устранения, проводим мероприятия по обнаружению и предупреждению компьютерных атак на информационные ресурсы Московской области.

Наша команда обеспечивает безопасность таких цифровых продуктов и социально значимых сервисов как портал Государственных услуг Московской области, портал «Моя школа» Московской области, Добродел и других значимых государственных информационных систем в Московской области.

Сейчас мы усиливаем команду и ищем специалиста на роль Аналитик SIEM:

• Мониторинг и анализ событий из различных видов источников и информационных систем;
• Участие в разработке новых и улучшении существующих правил выявления инцидентов в SIEM-системе;
• Улучшение процессов мониторинга и управления инцидентами;
• Разработка сценариев реагирования, совершенствование процессов управления инцидентами, разработка плейбуков реагирования на инциденты и рекомендаций по расследованию для сотрудников 2 линии мониторинга и системы SOAR;
• Расследование сложных и нетиповых инцидентов;
• Участие в расследовании и реагировании на инциденты (3 линия), подготовка рекомендаций по расследованию и реагированию для других линий;
• Выявление инфраструктурных недостатков ИС в области ответственности;
• Подготовка рекомендаций по усилению мер защиты и контроль их исполнения;
• Подключение типовых и нетиповых источников: разработка и поддержка нормализаций, написание SQL-запросов;
• Участие в интеграциях SIEM с внешними системами: IRP, SOAR, Threat Intelligence Platform, Ticketing.

• Опыт работы в SOC (inhouse или MSSP);
• Опыт разработки правил для PT MaxPatrol SIEM (нормализация, корреляция, оптимизация под высокий поток событий);
• Опыт работы с событиями Windows, Sysmon, auditd (linux), настройки и тестировании конфигураций аудита;
• Опыт анализа и разбора событий систем, ранее не заведенных на мониторинг;
• Знание сетевых технологий на уровне, достаточном для сдачи CCNA или подобных экзаменов;
• Опыт работы с MaxPatrol SIEM в разрезе анализа событий и расследования инцидентов;
• Умение автоматизировать рутинные задачи (bash, powershell, python);
• Знание SQL на уровне составления запросов средней степени сложности.

• Прием на работу в соответствии с ТК РФ;
• Оформление в аккредитованной IT компании;
• График работы - 5/2, гибридный или удаленный формат работы;
• Комфортный офис в 10 минутах от м. Мякинино (БЦ «Кубик");
• Дружный профессиональный коллектив;
• Возможность участия в крупных проектах регионального и федерального уровня.