Аналитик SOC (L2)

Чем предстоит заниматься:

• Реагировать на инциденты информационной безопасности, участвовать в расследовании инцидентов;

• Разрабатывать новые и совершенствовать действующие правила детектирования в SIEM;

• Анализировать возможные источники событий в инфраструктуре для сбора логов под разрабатываемые правила детектирования;

• Разрабатывать/совершенствовать правила аудита на источниках (auditd, sysmon, kubernetes audit и т.п.) под разрабатываемые правила детектирования;

• Участвовать в разработке сценариев реагирования (playbooks).

Что для этого нужно:

• Умение структурировано мыслить и выстраивать логические цепочки;

• Опыт работы с любой из популярных SIEM систем в качестве аналитика;

• Опыт поиска и устранения уязвимостей в инфраструктурных сервисах и веб-приложениях;

• Опыт расследования инцидентов в корпоративной инфраструктуре и понимание действий злоумышленника;

• Наличие базовых навыков администрирования ОС Linux, Windows. Понимание основных принципов работы и механизмов безопасности ОС;

• Умение автоматизировать свою деятельность с помощью PS/Bash/Python/Golang.

Будет плюсом:

• Опыт участия в процессах Threat Hunting;

• Понимание стека ELK, OpenSearch;

• Глубокое понимание механизмов Linux в направлениях безопасности (audit, namespaces, cgroups, apparmor/selinux и др) и Windows (audit, authentification, authorization, ace, security descriptor, integrity level, privileges, kerberos и др);

• Опыт нормализации и приведения подключаемых к SIEM данных к собственной, либо общедоступной схеме;

• Наличие профессиональных сертификатов (пройденных курсов) в области offensive и defensive безопасности;

• Опыт участия в CTF-соревнованиях (Hack-the-Box, TryHackMe и др.), Bug Bounty, R&D проектах по своему направлению;

• Опыт работы с Kubernetes.