Инженер по обнаружению угроз

Чем предстоит заниматься:

• Разработка и внедрение правил обнаружения угроз (создание, тестирование, оптимизация)
• Подключение и интеграция новых источников данных (организация подключения, настройка парсеров, фильтров и нормализации данных)
• Формирование гипотез для Threat Hunting (анализ данных, формирование гипотез/intake идей)
• Документирование и сопровождение (каталог контента: правила по детектированию угроз, подключенные источник, парсеры)
• Мониторинг и оптимизация правил детектирования (анализ FP, снижение уровня "шума", аудит и актуализация существующего контента, управление исключениями)

Мы ожидаем:

• Опыт работы в сфере информационной безопасности (желательно в SOC)
• Понимание принципов работы SIEM‑систем (ELK, MP, KUMA и пр,)
• Опыт написания и отладки правил обнаружения
• Знание MITRE ATT&CK Framework и умение применять его на практике
• Опыт работы с логами различных систем: ОС (Windows, Linux), сети (Firewall, Proxy, DNS), EDR, приложения
• Навыки парсинга и нормализации логов (регулярные выражения, grok‑паттерны, JSON/XML парсинг)