Инженер-аналитик L1 мониторинга SOC

Мы компания «Бастион»: помогаем компаниям справляться с вызовами в области кибербезопасности. Входим в состав крупнейшего холдинга страны — Икс Холдинг. Имеем все необходимые лицензии ФСБ и ФСТЭК России для работы в сфере защиты информации. Являемся центром ГосСОПКА класса «А».

У нас нет места бюрократии и шаблонным решениям: каждый проект — уникален, а работа — вызов и возможность стать лучше. Мы ценим знания, инициативу и честность.

Сейчас мы в поиске специалиста с опытом работы в SOC на позицию L1 в городе Москве. Рассматриваем кандидатов из Москвы, так как необходимо 1-2 раза в 2 недели посещать офис.

График работы 5/2 — без ночных смен, но в будущем они могут появиться.

Чем предстоит заниматься:

• Мониторинг и расследование инцидентов, фильтрация исключений, создание запросов на доработку и оптимизацию контента SIEM по результатам (правила, регулярные выражения);
• Проведение базовой диагностики работы MaxPatrol SIEM и сбора событий;
• Предоставление рекомендаций заказчику по расследованию и реагированию на инцидент ИБ;
• Участие в доработке сценариев выявления инцидентов ИБ.

Мы ожидаем:

• Опыт работы с SIEM MaxPatrol, SOAR в качестве оператора;
• Понимание методов действий злоумышленников и способов противодействия;
• Понимание основных концепций FW, PROXY, SIEM, NTA, EDR, AV, SOAR;
• Знание сетевых технологий на уровне, достаточном для сдачи экзаменов CCNA или аналогичных (модель OSI, маршрутизация, IPv4, IPv6, TCP, UDP, OSPF, SNMP, NTP, DHCP, VLAN);
• Опыт расследования инцидентов и анализа событий с использованием продуктов PT;
• Опыт работы с событиями, фильтрами, знание полей таксономии;
• Опыт работы с ОС Windows и Linux в части поиска логов и анализа событий;
• Знание основных тактик и техник атак злоумышленников (MITRE ATT&CK);
• Знание регулярных выражений.

Будет плюсом:

• Опыт разработки парсеров/нормализации для нестандартных источников событий;
• Опыт разработки сценариев обнаружения инцидентов или проведения тестирования на проникновение;
• Опыт анализа сетевого трафика, скомпрометированных систем и образцов вредоносного ПО;
• Опыт работы администратором систем защиты информации или системным администратором.

Мы предлагаем:

• Зарплата — по результатам собеседования;
• Работа в аккредитованной IT-компании;
• Оформление по ТК РФ с первого дня;
• ДМС со стоматологией после испытательного срока;
• Отсутствие тайм-трекеров — мы не следим за временем. Главное — успевать по дедлайнам и выполнять задачи;
• Развитие и обучение — компенсируем внешнее обучение и участие в профильных конференциях;
• Активная жизнь внутри компании — мероприятия, которые помогут отвлечься от задач и зарядиться энергией;
• Система мотивации — бонусы за активность: написание статей на Хабр, менторство на стажировках, участие в подкастах и другие.