Специалист по информационной безопасности (Sandbox, EDR)

НТЦ «Вулкан» - российская аккредитованная IT-компания. Наши проекты связаны с оказанием сервисных ИТ/ИБ-услуг, разработкой прикладного ПО, созданием VR/AR-приложений, заказной разработкой электроники, анализом защищенности embedded-устройств.
Наши клиенты – крупные коммерческие компании (Сбербанк, Лукойл, Мегафон и другие), а также государственные структуры.

Какие основные задачи Вы будете решать:
1. Sandbox (Windows):

• проектировать/улучшать сценарии обнаружения;
• собирать артефакты и поведенческие индикаторы(IoC/IoA/TTP);
• настраивать/развивать интеграции с TI/SIEM/SOAR и внутренними сервисами.

2. EDR / Compromise Assessment:

• развивать сбор endpoint-телеметрии (процессы, сеть, автозагрузка, WMI, события);
• искать следы атак и подтверждать/опровергать компрометацию;
• повышать качество детектирования и снижать шум/нагрузку.

3. Автоматизация:

• писать инструменты на Python/Bash/PowerShell (парсинг логов, обогащение, API, прототипы детектов/модулей).

Стек проекта: Sandbox, EDR,TI/SIEM/SOAR.

Требования:

• от 3-х лет активной практики в ИБ: SOC / DFIR / threat hunting или внедрение/развитие Sandbox/EDR;
• сильная Windows-база: процессы/службы, реестр, WMI, PowerShell, Security Log / Sysmon;
• практический опыт в одном или двух направлениях: sandbox / malware analysis (Cuckoo, Drakvuf, ANY.RUN или аналоги) и/или EDR/DFIR/CA (Velociraptor, OSquery, Sysmon или коммерческие EDR/XDR);
• желание и умение автоматизировать все на Python, Bash, PowerShell;
• понимание сетевой активности: DNS, HTTP(S), SMB, TCP/IP.

Будет плюсом:

• SIEM/SOAR/TIP интеграции, нормализация и обогащение данных;
• YARA/Sigma, проверка гипотез, настройка Sysmon-конфигов;
• администрирование Windows/Linux для поддержки стендов и сервисов.