Задачи:
- мониторинг и анализ событий информационной безопасности;
- развитие и сопровождение инфраструктуры SOC (SIEM, SOAR/IRP, EDR и др.);
- подключение новых источников данных в SIEM;
- участие в инвентаризации информационных активов;
- взаимодействие с внутренними командами и сервисами;
- документирование конфигураций, интеграций и инструкций;
- разработка и оптимизация правил нормализации и фильтрации телеметрии;
- внедрение и настройка механизмов детектирования;
- доработка правил корреляции с учетом инфраструктуры и ведение базы исключений;
- расследование и эскалация инцидентов ИБ.
Требования:
- хорошее знание операционных систем Linux или Windows;
- знание и понимание систем виртуализации и контейнеризации;
- владение скриптовыми языками (Bash, Python);
- навыки работы с регулярными выражениями;
- понимание тактик и техник MITRE ATT&CK;
- умение работать в команде и действовать самостоятельно.
Будет плюсом:
- опыт расследования инцидентов ИБ;
- опыт администрирования Windows и *nix систем;
- опыт работы инженером SOC;
- навыки сбора событий с инфраструктурных сервисов (MS AD, Windows, Linux, Endpoint и др.) и средств защиты (NGFW, WAF, AV, NTA, Sandbox и др.);
- глубокие знания и опыт работы с SIEM, SOAR, IRP, EDR, XDR;
- опыт работы с ELK-стеком.