Специалист SOC L2

• Работа с SIEM;
• Работа с логами (auditd, k8s, tetragon, osquery, waf);
• Написание скриптов на (Python, Go, Bash);
• Cyber Kill Chain и MITRE, понимание тактик и техник, умение определить на каком этапе находится атака;
• Threat hunting в инфраструктуре на основе источников событий. Аналитика по возможным обогащениям данных и подключению новых источников;
• Разработка дефектов на атаку или цепочку атак;
• Внедрять и развивать концепцию Detection as a Code;
• Искать и фильтровать события, собирать таймлайны, находить первопричину и связанные события;
• Анализировать дампы трафика;
• Участие в расследовании реальных инцидентов.

• Опыт работы 1.5+;
• Опыт работы с SIEM: практический опыт с одним из продуктов: MP SIEM, Elasticsearch, QRadar, ArcSight, Splunk;
• Работа с источниками логов: уверенное понимание и практический опыт анализа логов минимум 3 из списка: auditd, Kubernetes, Tetragon, osquery, WAF;
• Написание скриптов и автоматизация: умение писать рабочие скрипты/утилиты для анализа/обогащения/автоматизации (Python/Go/Bash).

Будет плюсом:

• ​​​​​​​​​​​​​​Опыт работы с k8s;
• Знание Cyber Kill Chain и MITRE;
• Способность определять тактики/техники и этап атаки по наблюдаемым событиям/артефактам;
• Threat Hunting: опыт поиска паттернов атак в инфраструктуре в событиях, формирование гипотез и проверка их по данным;
• Понимание принципов проведения атаки, какие уязвимости инфраструктуры использует атакующий для достижения своей цели (способы проникновения, закрепления, эскалации привилегий);
• Развитие мониторинга: умение анализировать, какие обогащения данных нужны (контекст активов/пользователей/сетей/TI), и предлагать подключение новых источников;
• Detection Engineering: опыт разработки детектов под отдельную атаку или цепочку атак (правила/корреляции/поисковые запросы), включая базовый тюнинг (исключения, пороги сработок);
• Навыки расследования: умение искать и фильтровать события, собирать таймлайны, выявлять связанные активности;
• Сетевой анализ: опыт анализа дампов трафика с использованием Wireshark/tshark;
• Опыт работы с инструментами форензики.

• Работа в Сербии (Белград);
• Возможность развивать свои компетенции и применять знания на практике;
• Возможность поработать на крупных проектах;
• Оплачиваемый отпуск и больничные, 4 дополнительных выходных дня в год;
• Компания заинтересована в развитии своих сотрудников: готовы привлекать наставников и оплачивать курсы для повышения квалификации;
• Отсутствие бюрократии, быстрое согласование необходимых вещей;
• Частичная компенсация английского или сербского языка;
• Компенсация спортзала, корпоративное питание (завтраки и обеды), корпоративные скидки на изучение языков (английский/сербский);
• Современное оборудование, работа в сильной русскоязычной команде над интересными задачами.