Задачи по мониторингу событий ИБ: выявление, анализ и реагирование на инциденты, включая сложные и целевые атаки; также развитие системы мониторинга на уровне архитектуры, источников, логики корреляций и процессов реагирования.
Обязанности подробнее:
1. Мониторинг событий ИБ и сопровождение системы детектирования угроз.
2. Анализ, адаптация и поддержка правил корреляции, тестирование и контроль их эффективности.
3. Выявление слабых мест в процессах мониторинга и реагирования, предложение улучшений.
4. Расследование инцидентов, в том числе нетиповых и скрытых (APT, Insider Threats).
5. Настройка сценариев реагирования и координация действий с внешним SOC.
6. Подключение новых источников событий и поддержка актуального состояния инвентаризации активов.
7. Контроль задач compliance-аудита и управление процессами устранения уязвимостей.
8. Участие в масштабировании системы мониторинга и развитии внутренних процессов SOC.
9. Участие в активном поиске угроз (Threat Hunting), формулирование и проверка гипотез на основе TTPs.
0. Готовность к офисному режиму работы.
1. Опыт работы в аналогичной роли не менее 3 лет.
2. Опыт работы с AD, DNS, DHCP, ОС Windows и Linux (на уровне - как генерируется DNS запрос, какие типы DNS запросов существуют. Какие системные процессы, а какие несистемные процессы в Windows и Linux).
3. Практический опыт с одной из SIEM-систем: KUMA, RuSIEM или Wazuh, или аналогичной (задачи на уровне: Logstash, навык работы с регулярными выражениями).
4. Понимание принципов управления инцидентами и уязвимостями.
5. Опыт анализа журналов событий с различных типов систем (СЗИ, ОС, СУБД, сетевое оборудование).
6. Знание методов атаки и техник их обнаружения (MITRE ATT&CK, Cyber Kill Chain).
7. Умение читать сетевой трафик, базовое понимание стеков TCP/IP и структуры пакетов.
8. Навыки написания скриптов (PowerShell, Python и др.) для автоматизации задач.
Преимущества:
1. Опыт расследования инцидентов уровня L3, включая длительные и скрытые атаки.
2. Участие в построении или адаптации процессов Threat Hunting.
3. Знание принципов работы песочниц и средств анализа вредоносного кода.
4. Участие в профильных мероприятиях (конференции, CTF, Blue Team/Red Team).
5. Сертификаты в сфере информационной безопасности или от вендоров решений.
6. Опыт взаимодействия с SOC, CSIRT или внешними группами реагирования.
Что мы предлагаем:
-
Оформление в соответствии с ТК РФ.
- ДМС с первого дня + стоматология после 3-х месяцев.
- Пересмотр индивидуального плана развития 2 раза в год.
- Оборудование от компании, рабочее место в кабинете ИБ.
- Корпоративные скидки в фитнес-клуб World Class.
- Корпоративный тариф на абонементы FITMOST.
- Спортивные мероприятия (турниры по футболу, волейболу, киберспорт, забеги).
- Курсы английского языка, в том числе с носителем языка.
- Возможность участия в профессиональных конференциях в России и за рубежом.
- Внешние курсы, сертифицированное обучение, которые вы выбираете сами.
- Экскурсии в Музей криптографии Москвы, для сотрудников и их семей