Инженер SOC (L2)

Чем предстоит заниматься:

• Автоматизировать действия в рамках реагирования на инциденты;
• Автоматизировать и настраивать алертинг по направлению Digital Risk Protction;
• Участвовать и помогать в рамках IRT;
• Интегрировать информационные системы и средства защиты с SOC, подключать и нормализовывать новые источники;
• Взаимодействовать с MSSP провайдером в рамках решения возникших проблем с подключенными источниками;
• Участвовать в процессах внедрения средств СЗИ, технически сопровождать и поддерживать внедренные решения;
• Взаимодействовать с аналитиками SOC в рамках доработки или нормализации логов с поступающих источников;
• Взаимодействовать с инженерами по реагированию в рамках автоматизации процессов по реагированию, доработке сценариев реагирования (playbooks);
• Взаимодействовать с инженерами по поиску угроз в рамках построения и автоматизации процесса по получению фидов.

Что для этого нужно:

• Умение структурированно мыслить и выстраивать логические цепочки;
• Опыт работы с любой из популярных SIEM систем в качестве инженера;
• Умение читать логи, понимание, как можно использовать конкретный лог для security analytics;
• Умение анализировать журналы регистрации событий в различных системах (ОС, СЗИ, сетевое оборудование, прикладное ПО и т.д.);
• Опыт поиска и устранения уязвимостей в инфраструктурных сервисах и веб-приложениях;
• Опыт работы со средствами защиты информации IPS/FW/SIEM/DLP/Антивирус и др.;
• Понимание основных векторов атак на корпоративные сети и способов противодействия. Знание современных методов классификации тактик и техник атакующих, основных векторов атак, способов их обнаружения и противодействия;
• Наличие базовых навыков администрирования ОС Linux, Windows. Понимание основных принципов работы и механизмов безопасности ОС;
• Умение автоматизировать свою деятельность с помощью PS/Bash/Python/Golang.