Аналитик SOC L1

Дата размещения вакансии: 17.07.2026
Работодатель: ITG Corporation
Уровень зарплаты:
з/п не указана
Город:
Санкт-Петербург
Литейный проспект 26
Требуемый опыт работы:
не требуется

О компании ITG Security: Компания в области информационной безопасности. Мы работаем по всему циклу: от оценки текущего состояния защищённости до круглосуточного мониторинга и реагирования на инциденты.

Направления:

  • Аудиты ИБ и оценки соответствия;
  • Внедрение и сопровождение процессов ИБ;
  • Тестирование на проникновение;
  • Коммерческий SOC.

В контуре мониторинга с десяток инфраструктур заказчиков. Такой объём разбирается только связной командой: сложный кейс не остаётся внутри одной смены, вывод превращается в правило или плейбук и работает дальше. Обратиться к коллеге за вторым взглядом здесь часть процесса, а не признак слабой квалификации. Кого мы ищем? В связи с расширением команды мониторинга мы ищем аналитика SOC L1. Мы ищем человека, который умеет думать над данными. Важно умение восстанавливать картину по разрозненным событиям, отличает совпадение от связи и не подменяет разбор догадкой и иметь аналитический склад ума.

Чем предстоит заниматься:

  • Мониторинг событий ИБ в SIEM (Elastic/ELK), первичный анализ и триаж срабатываний;
  • Выполнение анализа журналов, восстановление цепочки событий по телеметрии EDR, Windows Event Log, Sysmon, сетевым и firewall-логам;
  • Квалификация инцидентов, классификация по критичности, эскалация на L2 в рамках SLA;
  • Работа по плейбукам реагирования, обратная связь на их доработку;
  • Фиксация ложных срабатываний и предложений по тюнингу правил детектирования;
  • Ведение инцидентов в IRP: фиксация фактов, хронология, обоснование вердикта;
  • Разработка и доработка конфигураций журналирования/логирования событий ИБ;
  • Предоставление рекомендаций Заказчикам при локализации инцидента ИБ;
  • Взаимодействие с заказчиками по инцидентам в согласованных регламентах.

Требования:

  • Понимание архитектуры Windows и Active Directory: аутентификация, привилегии, механизмы аудита;
  • Базовые навыки работы с Linux (журналы, процессы, права);
  • Умение анализировать и сопоставлять события между собой в журналах: СЗИ, ОС, Network, СУБД;
  • Понимание принципов работы СЗИ и их отличия (Firewall, NGFW, IPS/IDS, VPN, WAF, AV/САВЗ, EDR, SIEM, WAF, NDR);
  • Знакомство с MITRE ATT&CK как рабочей моделью;
  • Понимание работы сетевых технологий (Модель OSI, TCP/IP), стек протоколов;
  • Аналитическое мышление;
  • Умение формулировать вердикт письменно: что произошло, чем подтверждается, что рекомендуется;
  • Знание английского на уровне чтения технической документации;
  • Готовность к сменному графику [2/2, день/ночь].

Будет плюсом:

  • Опыт разбора телеметрии EDR;
  • Опыт работы с Elastic Stack (KQL, ES|QL, EQL) или другим SIEM;
  • Навыки администрирования Windows/Linux;
  • Навык работы со скриптовыми языками (Bash, Python, PowerShell) умение качественного вайбкодинга так же приветствуется;
  • Умение пользоваться Google и поиском информации для решения проблемы;
  • Участие в CTF или площадках по типу: HackTheBox, TryHackMe, BlueTeamLabs и т.д;
  • Опыт в MSSP/аутсорс-модели;
  • Наличие ИТ и/или ИБ сертификатов;
  • Ключевое: техническая база, аналитическое мышление и способность доводить разбор до факта, а не до предположения.

Что мы можем предложить:

  • Работа в аккредитованной компании;
  • Отсутствие бюрократии и здравый смысл в процессах;
  • Систему адаптации – за новичком закрепляется ментор;
  • Высокий уровень дохода – фиксированный оклад и дополнительные регулярные премии по результатам работы;
  • Обучение за счет компании – курсы, сертификации, а также у нас есть внутреннее приватное облако, в котором ты сможешь разворачивать интересующие тебя тестовые стенды;
  • Очевидно, но тем не менее – работа полностью в белую по ТК РФ