Аналитик SOC L2

Обязанности

  • Мониторинг событий информационной безопасности 2-3 линии;
  • Выявление и расследование инцидентов, связанные с информационной безопасностью, составление отчётов;
  • Анализ защищенности. Выработка рекомендаций по устранению;
  • Контроль выполнения. Регулярное проведение внутренних оценок защищенности;
  • Разработка методик и инструкций по работе с инцидентами информационной безопасности;
  • Написание правил корреляции для SIEM;
  • Контроль полноты источников и правильности их настроек;
  • Участие в проектах по внедрению (совершенствованию) средств защиты и контроля;
  • Контроль первой линии и их обучение;
  • Совершенствование правил реагирования в SOAR;
  • Участие в разработке стандартов конфигурирования и контроль целостности конфигураций;
  • Обслуживание сотрудников компании по всем вопросам информационной безопасности;
  • Аналитическая работа по улучшению существующих процессов и методов реагирования на инциденты ИБ (оптимизация существующих сценариев реагирования);
  • Проведение детального анализа инцидентов, выявленных на уровне L2-L3, для определения их причин, масштабов и последствий;
  • Использование различных инструментов и методов для расследования инцидентов, включая анализ сетевого трафика, логов и других данных;
  • Создание и обновление процессов и процедур реагирования на инциденты на основе анализа предыдущих инцидентов и угроз;
  • Участие в разработке стратегий защиты от новых угроз;
  • Участие в тестах на проникновение, оценках уязвимостей и других мероприятиях по тестированию безопасности;
  • Анализ реализованных SecOps практик на их достаточность применительно к инфраструктуре Компании;
  • Разработка правил корреляции, подключение различных типов источников, разработка парсеров и нормализаторов;
  • Обработка и эскалация сложных инцидентов на специализированные команды, если требуется глубокая экспертиза;
  • Работа с логами: отбор значимых логов для корреляций и расследований при заведении новых источников, формирование требований по обогащению и парсингу;
  • Работа с Fleet и osquery — разработка и рефакторинг регулярных запросов;
  • Разработка, рефакторинг, тестирование и вайтлистинг правил корреляции;
  • Пополнение беклога правил корреляции;
  • Написание и тестирование новых политик логирования (tetragon, osquery, sysmon);
  • Брейнштормы с бизнес-юнитами по выявлению аномалий в логах и написания правил корреляции;
  • Внедрение, развитие и использование систем класса BAS для развития детектирующего контента и проверки его качества;

Знания и навыки

  • Знание и понимание основ архитектуры современных корпоративных инфраструктур;
  • Знание принципов и инструментария организации системной и сетевой безопасности (FW, WAF, IPS, SIEM, Honeypot и пр.);
  • Знание принципов реализации аудита и опыт работы с различными ОС (Windows, *nix), сетевого оборудования;
  • Знания протоколов, форматов и ПО сбора логов: Syslog, CEF, JSON, nxlog, fluentd, logstash;
  • Знания и понимание основных информационных технологий: сети, операционные системы Windows, Linux, служба каталогов Active Directory, основные инфраструктурные службы и сервисы;
  • Знание сетевых технологий и принципов организации локально-вычислительных сетей;
  • Знание принципов защиты корпоративных локальных вычислительных сетей;
  • Навыки анализа журналов ОС, лог-файлов программного обеспечения, сетевого трафика, используя все доступные средства, включая поисковые системы и интуицию;
  • Навыки автоматизации задач с помощью скриптовых языков (bash/python/powershell);
  • Понимание описания и принципов эксплуатации уязвимостей (Cyber Kill Chain, MITRE ATT&CK, БДУ ФСТЭК, OWASP TOP-10);
  • Практические навыки по обнаружению и эксплуатации уязвимостей (THM, HTB, H1, участие в CTF);
  • Уверенное владение десктопными ОС семейства Windows, понимание принципов функционирование ОС семейства nix и серверных ОС семейства Windows;
  • Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД;

Опыт

  • Опыт работы с SIEM-системами (MP SIEM является преимуществом) – написание корреляционных правил, управление поступающими событиями (парсинг, нормализация, агрегация, хранение);
  • Опыт работы со средствами защиты классов SOAR, FW, IPS, EDR, AV, DLP, почтовые шлюзы;
  • Опыт работы в сфере информационной безопасности по одному из направлений: мониторинг информационной безопасности, расследование инцидентов информационной безопасности;
  • Опыт выявления и расследования инцидентов информационной безопасности, разработки рекомендаций по реагированию на инциденты и их предотвращению;
  • Опыт в администрировании, создании правил корреляции для SIEM-систем (PT MaxPatrol, KUMA, ELK или другие);
  • Опыт работы с SOAR-системами (R-Vision, FortiSOAR или другие);
  • Опыт работы в качестве аналитика / инженера SOC, Threat Hunter, Threat Intel от 2-х лет;
  • Опыт работы в сфере информационной безопасности, системного и сетевого администрирования;
  • Опыт работы с любой из SIEM-системам (Splunk, MaxPatrol, QRadar, Elastic);
  • Опыт администрирования IPS/IDS систем (Symantec, Check Point, Cisco, McAfee, SNORT и т.д.);
  • Опыт расследования инцидентов ИБ: понимание типовых плейбуков по расследованию и реагированию в разрезе основных типов инцидентов ИБ;
  • Опыт работы с инструментами и технологиями SOC: SIEM, IRP, EDR, NTA, TIP и т. д.;

Дополнительно

  • Наличие профильных сертификатов в области ИБ (compTIA, CEH или подобных);