Аналитик SOC L1

Обязанности

  • Мониторинг событий безопасности с использованием Wazuh и MaxPatrol SIEM;
  • Анализ и классификация инцидентов ИБ, определение их критичности;
  • Взаимодействие с другими отделами для уточнения контекста инцидентов;
  • Ведение журналов инцидентов, формирование отчётов и документирование процессов;
  • Выполнение задач в рамках компетенции аналитика SOC по указанию руководителя;
  • Поддержание актуальных знаний в области кибербезопасности и используемых технологий;
  • Мониторинг событий безопасности, полученных с помощью оповещений SIEM или других инструментов безопасности;
  • Назначение начальных приоритетов для входящих сообщений (начальная оценка приоритетов событий, определение инцидентов ИБ, определение потенциального риска и урона или эскалация запроса в соответствующие подразделения);
  • Мониторинг состояния потенциальных инцидентов и соответствующих им зависимостей;
  • Уведомление L2 об инцидентах с высоким приоритетом;
  • Эскалация инцидентов на L2;
  • Мониторинг очереди инцидентов;
  • Мониторинг и эскалация ложноположительных срабатываний на технический отдел;
  • Знание текущей политики реагирования на инциденты;
  • Выявление и анализ инцидентов ИБ с использованием SIEM и других инструментов мониторинга инцидентов;
  • Формирование предложений логики сценариев SIEM;
  • Анализ дашбордов на выявление аномалий, мониторинг работоспособности SIEM;
  • Прием обращений работников по подозрениям на инциденты ИБ;
  • Проверка ПО в изолированных средах на наличие вредоносного содержимого с помощью автоматизированных СЗИ;
  • Анализ и реагирование на инциденты информационной безопасности;
  • Эксплуатация систем класса SIEM, NTA, WAF;
  • Выявление и анализ инцидентов информационной безопасности в дежурной смене с использованием SIEM платформ (ELK, MP) и прочих инструментов;
  • Инициирование заявок на блокирование и противодействие инциденту;
  • Выполнение расследований типовых инцидентов информационной безопасности;
  • Наполнение и поддержание актуальности базы типовых инцидентов информационной безопасности;
  • Определение ложных срабатываний и предложение рекомендаций для их исключения;
  • Контроль состояния SIEM систем;
  • Сортировка первого уровня оповещений для проверки;
  • Соблюдение правил по устранению последствий и эскалации;
  • Открытие и сопровождение проблем в системе сопровождения инцидентов в соответствии с внутренними процедурами компании;
  • Генерация отчетов по окончании смены для передачи последующим специалистам смены;
  • Выявлять и анализировать инциденты ИБ с использованием SIEM и иных инструментов;
  • Анализ и мониторинг событий информационной безопасности в SIEM;
  • Эскалировать инциденты ИБ на вышестоящие линии;
  • Выполнять расследования типовых инцидентов ИБ;
  • Анализировать данные систем мониторинга на предмет недоступности СЗИ;
  • Взаимодействовать с другими подразделениями в рамках реагирование на инциденты и обработки событий информационной безопасности;
  • Подготовка аналитических справок по инциденту;
  • Регистровать, классифицировать и расследовать инциденты ИБ;
  • Участвовать во взаимодействии со смежными подразделениями при возникновении угроз;
  • Подготавливать отчёты по результатам инцидента, разрабатывать рекомендации;
  • Участвовать во внутренних ИТ-проектах в качестве специалиста по ИБ;
  • Мониторинг и первичная обработка событий/алертов кибербезопасности;
  • Приём и первичная обработка обращений об инцидентах от пользователей/клиентов (Call-центр);
  • Регистрация и ведение инцидентов в системе управления инцидентами (IRP);
  • Сбор первичной информации в рамках реагирования на нестандартные инциденты;

Знания и навыки

  • Знания стандартов в области ИБ (СТО БР, PCI DSS), нормативных и руководящих документов ФСТЭК, ФСБ;
  • Знание нормативных требований в области ИБ (ФЗ-152, ISO 27001, ПДн);
  • Знание архитектур основных настольных и серверных ОС;
  • Знание стека TCP/IP, понимание основных принципов построения защищенных сетей;
  • Знание Log Management;
  • Представление о типах журналов Windows;
  • Знание типовых сетевых атак на инфраструктуру на различных уровнях модели OSI;
  • Знание основных атак, техник и тактик применяемые злоумышленниками (MITRE ATT&CK, CyberKillChain);
  • Знание принципов работы операционных систем Windows/Linux, принципов построения систем сетевой безопасности;
  • Знание Windows, Linux на уровне продвинутого пользователя;
  • Знание принципов и сценариев реализации компьютерных атак;
  • Знания по реагированию на инциденты (IR) и следование playbook;
  • Знание основ сетевых технологий (модель OSI, протоколы прикладного и транспортного уровня), WEB-технологий (базовое понимание клиент-серверной архитектуры и архитектуры WEB-приложений, коды ответа HTTP и методы HTTP запросов), технологий виртуализации;
  • Представление об актуальных угрозах информационной безопасности;
  • Умение определить АРМ по данным из потенциального инцидента или заявки;
  • Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД;
  • Навыки администрирования Firewall/IDS/IPS;
  • Навыки администрирования ОС Linux/Windows, Microsoft AD, GPO, принципов и методов их защиты;
  • Навык проведения разведки по открытым источникам (OSINT);
  • Навыки работы с популярными ОС семейств Windows Unix/Linux;
  • Навыки анализа логов, событий безопасности и инцидентов в Wazuh/MP10;
  • Умение интерпретировать собранные данные, выявлять аномальную активность, атаки, уязвимости;
  • Умение настраивать правила, корреляции и дашборды в Wazuh/MP10;

Понимание

  • Понимание процесса расследования инцидентов ИБ;
  • Понимание принципа работы SIEM систем;
  • Понимание структуры журналов ИС и их назначение;
  • Понимание сетевых сервисов (web, mail, DNS, authentication);
  • Понимание существующих средств защиты АРМ (HIDS, AV, FW);
  • Понимание тактики компьютерных атак и их обнаружения;
  • Понимание принципов работы SIEM систем;
  • Понимание принципов работы различных типов систем/средств ИБ и технической защиты информации, в особенности SIEM, Application Firewall, IDS/IPS, NGFW;
  • Понимание принципов сетевых технологий (модель OSI, DNS, DHCP, NAT, Proxy, VPN);
  • Понимание принципов работы средств защиты информации (NFGW, WAF, AV, EDR, NTA и др.);
  • Понимание работы базовых сетевых технологий и протоколов (DHCP);

Опыт

  • Опыт написания скриптов на Python, PowerShell, написание SQL-запросов;
  • Опыт работы с системой класса NTA;
  • Опыт расследования инцидентов информационной безопасности;
  • Опыт работы с любой из SIEM-системам (Splunk, MaxPatrol, QRadar, Elastic, ArcSight, KUMA);
  • Опыт администрирования IPS/IDS систем (Symantec, Check Point, Cisco, McAfee, SNORT и т.д.);
  • Опыт участия в разборе атак;
  • Опыт работы с системами мониторинга, EDR, IDS/IPS, сетевыми фильтрами;

Дополнительно

  • Знание современных тактик и техник атакующих, основных векторов атак, способов их обнаружения будет преимуществом;
  • Представление о векторах атаки, различных методах и инструментах, используемых злоумышленниками;
  • Представление об управлении логированием в Linux, политиках аудита Windows;
  • Представление о MITRE ATT&CK, Cyber Kill Chain;
  • Представление о проектах OWASP, MITRE ATT&CK;
  • Понимание принципов функционирования решений следующих классов: UBA/UEBA, Threat Intelligence, Sandbox, Brand Protection, SOAR;
  • Понимание, что такое Threat Intelligence и Threat Hunting;
  • Опыт написания правил корреляции для SIEM;
  • Опыт составления регулярных выражений;