Аналитик SIEM

Мы Центр информационной безопасности МО - подведомственная организация Министерству государственного управления, информационных технологий и связи Московской области.

Занимаемся созданием и развитием информационных систем по защите информации, выявлению нарушений информационной безопасности и путей их устранения, проводим мероприятия по обнаружению и предупреждению компьютерных атак на информационные ресурсы Московской области.

Наша команда обеспечивает безопасность таких цифровых продуктов и социально значимых сервисов как портал Государственных услуг Московской области, портал «Моя школа» Московской области, Добродел и других значимых государственных информационных систем в Московской области.

Сейчас мы усиливаем команду и ищем специалиста на роль Аналитик SIEM:

• мониторинг и анализ событий из различных видов источников и информационных систем;
• участие в разработке новых и улучшении существующих правил выявления инцидентов в SIEM-системе;
• улучшение процессов мониторинга и управления инцидентами;
• разработка сценариев реагирования, совершенствование процессов управления инцидентами, разработка плейбуков реагирования на инциденты и рекомендаций по расследованию для сотрудников 2 линии мониторинга и системы SOAR;
• расследование сложных и нетиповых инцидентов;
• участие в расследовании и реагировании на инциденты (3 линия), подготовка рекомендаций по расследованию и реагированию для других линий;
• выявление инфраструктурных недостатков ИС в области ответственности;
• подготовка рекомендаций по усилению мер защиты и контроль их исполнения;
• подключение типовых и нетиповых источников: разработка и поддержка нормализаций, написание SQL-запросов;
• участие в интеграциях SIEM с внешними системами: IRP, SOAR, Threat Intelligence Platform, Ticketing.

• опыт работы в SOC (inhouse или MSSP);
• опыт разработки правил для PT MaxPatrol SIEM (нормализация, корреляция, оптимизация под высокий поток событий);
• опыт работы с событиями Windows, Sysmon, auditd (linux), настройки и тестировании конфигураций аудита;
• опыт анализа и разбора событий систем, ранее не заведенных на мониторинг;
• знание сетевых технологий на уровне, достаточном для сдачи CCNA или подобных экзаменов;
• опыт работы с MaxPatrol SIEM в разрезе анализа событий и расследования инцидентов;
• умение автоматизировать рутинные задачи (bash, powershell, python);
• знание SQL на уровне составления запросов средней степени сложности.

• прием на работу в соответствии с ТК РФ;
• оформление в аккредитованной IT компании;
• график работы - 5/2, гибридный или удаленный формат работы;
• комфортный офис в 10 минутах от м. Мякинино (БЦ «Кубик");
• возможность обучения за счет работодателя;
• дружный профессиональный коллектив;
• возможность участия в крупных проектах регионального и федерального уровня.