Аналитик CERT L2

Мы ищем эксперта в области работы с инцидентами информационной безопасности в коммерческом центре мониторинга инцидентов ИБ, имеющего хорошую экспертизу в области выявления и противодействия кибер-атакам.

Наши клиенты – Компании крупного и среднего бизнеса в области финансов, страхования, ритейла и других отраслей.

Обязанности:

• создание подсистемы инвентаризации и учета активов (источников событий ИБ) в составе разрабатываемой SIEM;
• анализ логов от различных источников событий ИБ, разработка нормализаторов логов во внутренний формат SIEM;
• проведение аналитики и повышение complexity нормализации сообщений от источников;
• фильтрация сообщений от источников событий ИБ;
• разработка и внедрение новых правил корреляции;
• согласование и определение требований к новому корреляционному правилу, разрабатываемому по запросу клиента;
• регулярная оптимизация от False-Positive;
• подготовка рекомендаций по реагированию;
• сопровождение обмена информацией с ГосСОПКА;
• определение корректности настройки системы аудита и наличия необходимых событий для корреляционных правил;
• сбор данных и формирование ежемесячных/квартальных отчетов или отчетов по требованию Заказчика;
• прием эскалации от аналитиков 1-й линии;
• наставничество 1-й линии, развитие программы обучения.

Требования:

• опыт работы на аналогичной позиции от 2х лет;
• опыт работы с ruSIEM не мнее года;
• на базе ruSIEM владение методологией описания правил корреляции инцидентов ИБ, наличие опыта ее внедрения и использования в работе SOC;
• навыки конфигурирования Windows и Linux систем, Active Directory;
• понимание основных способов аутентификации в ОС, SSO и подходов к настройке мониторинга безопасности;
• знание принципов работы протоколов и форматов передачи данных на различных уровнях OSI, их защиты и шифрования;
• знания SQL и опыт написания сложных запросов;
• понимание технической архитектуры и процессов SOC;
• опыт расследования инцидентов, анализа дампов трафика для восстановления картины атак;
• понимание методологий MITRE ATT@CK, CyberKillChain, Diamond;
• знание различных видов атак, понимание принципов детекции и опыт расследования.

Приветствуются:

• знание основных инструментов для проведения исследований и проверок безопасности сети, анализа сетевого трафика;
• приветствуется опыт работы с одним из сетевых СЗИ (NGFW, IDS/IPS, WAF, и др.);
• опыт внедрения и эксплуатации SOAR;
• опыт работы с xDR решениями и написание сложных правил корреляции от различных источников событий;
• примеры успешных кейсов детекций и нейтрализаций кибератак, исследований;
• участие в CTF или опыт тестирований на проникновения;
• критическое мышление, умение ясно выражать свои мысли устно и при разработке документации.

Условия:

• Заработная плата от 200 тысяч рублей на руки, по результатам собеседования.
• ИТ-компания, аккредитованная при министерстве цифрового развития, связи и массовых коммуникаций РФ.
• Обучение и повышение квалификации за наш счет.
• Гибридный график.
• ДМС после испытательного срока.
• Офис, Москва, м. Павелецкая.
• Возможен проектный формат работы.