Инженер-аналитик (Требования к интеграции с SIEM)

Дата размещения вакансии: 18.11.2024
Работодатель: Датаджайл
Уровень зарплаты:
з/п не указана
Город:
Санкт-Петербург
проспект Стачек 47
Требуемый опыт работы:
Более 6 лет

Datagile - продуктовая компания. Основное наше направление - это разработка продуктов в сфере информационной безопасности, автоматизации и баз данных.

Мы разрабатываем систему Ankey SIEM с 2018 года для централизованного управления безопасностью, событиями и информацией, которая эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры. Команда за это время довольно сильно разрослась с 6 до 60+ человек.

Задачи:

  • Развёртывание стендов с программными комплексами (источниками событий), которые необходимо подключить к SIEM.
  • Изучение реализованных в источниках событий механизмов обеспечения информационной безопасности (управления пользователями, правами, настройки режимов и т.п.) на основе документации и моделирования событий на стенде.
  • Самостоятельно получение выборки со стенда с использованием всех поддерживаемых SIEM способов сбора событий (syslog, plain text, sql, rest api).
  • Взаимодействие с организациями, эксплуатирующими или планирующими внедрение источников событий с целью получения образцов логов (выгрузки с объекта), включая консультирование по методам сбора сообщений.
  • Выделение уникального набора сообщений из полученных с объекта или со стенда выборок (дедупликация).
  • Выделение из уникального набора сообщений, относящихся к событиям информационной безопасности.
  • Анализ возможных векторов атаки на источник событий и формирование набора событий ИБ, подлежащих обработке в SIEM, на основе публичных ресурсов ИБ (MITRE, CVE, OWASP top 10 и т.п), а также внутренних наработок компании.
  • Выделение в теле сообщений значимых параметров (например, имени пользователя, адреса, наименования системы и т.п.), описание их назначения и установление соответствия между этими параметрами и полями данных внутренней базы данных SIEM (маппинг).
  • Описание полученных в ходе исследования источника событий знаний в виде стандартизованного описания (Тех. Задания) для передачи в команду разработки.
  • Взаимодействие с командой разработки по задачам создания механизмов обработки событий (уточнение требований и курирование вопросов интеграций)
  • Участие в планировании работ по профилю (в направлении интеграций с SIEM)
  • Участие в развитии направления (исследования новых технологий и оценка перспектив развития ПО в секторе ИТ/ИБ)

Для нас важно:

  • Опыт работы с Linux Server/Windows Server
  • Опыт работы с сетевым оборудованием (управляемые свитчи, маршрутизаторы)
  • Опыт работы с CУБД (SQL)
  • Опыт работы с инфраструктурными сервисами (DNS/DHCP/AD/NTP/SMTP, гипервизоры, системы мониторинга и резервирования, системы резервного копирования, CMDB и пр.)
  • [КАЮ1] [КАЮ2] Навыки преобразования бизнес-требований в технические задачи
  • Понимание принципов работы SIEM (желателен опыт подключения к SIEM информационных систем, не поддерживаемых «из коробки», то есть самостоятельное изучение источника + написание нормализатора + правил корреляции, понимание механизмов сбора событий (SQL,RestFull API, Syslog, SNMP, OPSEC, JSON, SCP (SSH), FTP))
  • Навыки обработки текстовой информации (regular expressions, запросы SQL, обработка данных средствами Excel, группировка, выделение фрагментов данных, фильтрация и т.п.)

Дополнительным плюсом будет:

  • Опыт работы с Git
  • Опыт работы с СрЗИ (AV/DLP/FW/IPS&IDS/SOAR/IRP/)
  • Навыки работы с Docker (K8S как доп. преимущество)
  • Навыки работы со скриптовыми языками программирования (Bash, PowerShell, Python, Curl и пр.)
  • Опыт в написании кейсов ИБ (логическое описание сигнатур)
  • Знания принципов, методов, техник и инструментов проведения современных компьютерных атак (понимание тактик и техник фреймворка MITRE).
  • Знание основных нормативных требований Федерального законодательства и регуляторов в области защиты информации
  • Наличие сертификатов по направлению ИТ/ИБ

Работа в Datagile это:

Развитие: Наставничество, работа в команде экспертов, внешнее обучение и профессиональные конференции за счет компании, компенсация занятий иностранным языком;

Работа с комфортом: формат на выбор - удаленно из любой точки РФ, офис, гибрид. Гибкое начало рабочего дня (обязательные часы присутствия с 11-16 по МСК), техника для работы;

Забота о здоровье: ДМС с психологом, офисный врач, компенсация занятий спортом, хобби или любых других увлечений, зона отдыха в офисе (чай/кофе/печеньки);

Забота о близких: Подарки детям на праздники, дотации на приобретение детских путевок в лагерь, материальная поддержка в важные периоды жизни;

Для общения: Корпоративные мероприятия, сквош, футбол, настольные игры в офисе;

Стабильность: Аккредитованная ИТ компания, официальное трудоустройство по ТК РФ, ежеквартальные премии, работа над масштабными проектами.