Обязанности:
-
Непрерывный мониторинг событий информационной безопасности в системах: SIEM, EDR, NTA и других средствах защиты информации;
-
Первичная обработка инцидентов информационной безопасности: выявление, регистрация, классификация по типу, приоритету и критичности;
- Фильтрация ложноположительных срабатываний;
-
Выполнение стандартных расследований по утверждённым RunBook: анализ базовых логов, проверка хостов, пользователей, IP-адресов, анализ первичных признаков компрометации;
-
Сбор первичных артефактов по инциденту: системные и прикладные логи, информация о процессах, пользователях, сетевых соединениях;
-
Эскалация инцидентов на второй уровень (L2) в установленные SLA;
-
Контроль выполнения ИТ-подразделениями стандартных мероприятий реагирования по типовым инцидентам в соответствии с утверждёнными RunBook;
-
Ведение и актуализация карточек инцидентов в SIEM-системе;
-
Закрытие инцидентов информационной безопасности в системе учёта после выполнения утверждённых мероприятий реагирования и получения подтверждения от старшего специалиста (L2);
-
Эксплуатационная поддержка SIEM, контроль корректности поступления логов в SIEM, состояния активов, коллекторов и интеграций;
-
Участие в тестировании новых правил корреляции и сценариев реагирования.
Требования:
-
Высшее профильное образование (информационная безопасность), Высшее образование ИТ + переквалификация ИБ;
- Опыт работы в SOC / L1 от 1 года или общий опыт работы в области информационной безопасности от 3 лет;
- Понимание архитектуры корпоративных ИТ-инфраструктур: доменная инфраструктура Active Directory, клиент–серверные системы, сетевые сегменты, VLAN, DMZ, межсетевые экраны;
-
Знание сетевых протоколов и сервисов на уровне анализа трафика: TCP/IP, UDP, DNS, HTTP(S), SMTP, FTP, SMB, RDP;
-
Знание принципов формирования и анализа событий безопасности: Windows Security Events, Syslog, логи сетевых устройств, серверных приложений, средств защиты;
-
Навыки работы с SIEM-системами: анализ коррелированных событий, работа с инцидентами, поиск по журналам, фильтрация и агрегация событий;
-
Понимание принципов работы и назначения: антивирусных и EDR-решений, NTA, WAF;
-
Знание основных тактик и техник атак согласно MITRE ATT&CK на уровне: начального доступа, закрепления, бокового перемещения, обхода средств защиты, управления и контроля;
-
Навыки первичного анализа: сетевых сессий (IP, порты, протоколы), процессов и командных строк, активности учетных записей;
-
Понимание базовых принципов реагирования на инциденты: изоляция, блокировка, ограничение распространения, сбор артефактов;
-
Навыки работы с ОС: Windows (службы, журналы, процессы, учетные записи), Linux (базовые команды, журналы, процессы);
-
Умение работать по формализованным процедурам: RunBook, стандартные сценарии реагирования, регламент сменной работы SOC.
Условия:
- Оформление в соответствии с ТК РФ, работа в аккредитованной ИТ компании;
- Компания с большим штатом ИТ работников, расширение штата;
- Официальная заработная плата, своевременные выплаты. Окончательные условия определяются на собеседовании с руководителем;
- Социальные льготы и гарантии (оплачиваемые отпуска и больничные);
- Работа в сменном графике (12/12, 2/2), включая ночные смены;
- Удаленный формат работы;
- Очное присутствие на совещаниях в головной компании по адресу: Краснодарский край, ст. Выселки, ул. Степная, 1 (1-2 раза в месяц).
