Главный специалист в направление SIEM (L2 SOC)

Блок информационной безопасности (ИБ) - это драйвер культуры и технологий информационной безопасности в Ростелеком, один из лидеров отрасли обеспечения мер информационной безопасности в России. Блок объединяет более 350 профессионалов в области информационной безопасности.

Мы ищем Главного специалиста в направление L2 SOC в команду Департамента мониторинга и реагирования на киберугрозы

Что нужно делать:

• IR (расследовать инциденты информационной безопасности, фиксировать материалы при расследовании)
• Аналитика контента, разработка сценариев обнаружения и реагирования на инциденты, создание списков исключений
• Сбор данных по инциденту и передача на L3
• Разработка инструкций и плейбуков
• Реагирование и ликвидация последствий, предотвращение повторного возникновения инцидентов
• Участие в процессе контроля качества разбора инцидентов на L1
• Профилирование FP в SIEM системах
• Тестирование новых use-case, информационных систем и вывод их в PROD
• Наставничество и обучение новых сотрудников L1
• Подготовка различной отчетности по работе направления, разобранным инцидентам ИБ
• Участие в совершенствовании процессов ИБ

Что ждем от тебя:

• Опыт администрирования ОС Linux/Windows;
• Опыт настройки аудита ОС Linux/Windows;
• Понимание сетевой модели OSI, стека TCP/IP, сетевых протоколов HTTP/HTTPS, DNS, DHCP, ARP и т.п;
• Понимание модели Cyber-Kill Chain, способов реализации атак на всех этапах модели;
• Опыт разработки и тестирования Use-Case сценариев;
• Опыт работы с SIEM-системами (PT SIEM, KUMA, Qradar, OpenSearch, ArcSight) не менее 1 года с умениями: поиска событий, профилирование FP, постановка и выведение хостов с мониторинга;
• Расследования и реагирования на нетипичные инциденты ИБ;
• Опыт разработки инструкций, процедур, плейбуков для L1 - линии SOC (Центр мониторинга и реагирования на инциденты ИБ);
• Желателен опыт работы с SOAR-системами;
• Умение использовать инструменты для анализа инцидентов: Wireshark, Volatility, Hayabusa, KAPE, Registry Explorer и т.д;
• Желателен опыт разработки сценариев реагирования на инциденты ИБ;
• Знание принципов работы средств защиты информации NGFW, IDS\IPS, EDR, WAF, антивирусов и т.д.;
• Знание основных методов атак и способов защиты среды Active Directory.

Мы предлагаем:

• Работа в Ростелекоме — это официальное оформление и широкий соцпакет, а ещё уникальная среда и возможность отточить свое мастерство на масштабных проектах, которыми можно гордиться.
• Стабильный и прозрачный доход: оклад и годовая премия.
• График работы: 5/2 офис, возможен гибридный формат.
• Адрес офиса: Новосибирск, 2-я улица Союза Молодёжи, 33/1 В офисе есть всё необходимое для продуктивной и комфортной работы.
• Профессиональный рост: реальная возможность получить повышение или горизонтальную ротацию в первый год благодаря опытным коллегам, наставникам и бесплатным консультациям с менторами и карьерными консультантами.
• Медстраховка после испытательного срока (телемедицина, обследования), жилищная и пенсионные программы, дополнительные выплаты (к отпуску, вступление в брак, рождение ребенка).
• Насыщенная жизнь внутри компании: спортивные событиями турниры, лидерские программы, киберспорт, конкурсы и яркие праздники, волонтерство и благотворительность.
• Скидки на услуги Ростелекома, выгодные предложения от партнеров: рестораны и магазины, фитнес-центры, банки, отели и базы отдыха.