Аналитик SOC L3

Обязанности

  • Разработка и предоставление рекомендаций по выявленным угрозам и уязвимостям;
  • Разработка, актуализация и внедрение новых правил нормализации, корреляции, обогащения в SIEM системах;
  • Работа в Threat Intelligence Platform, анализ выходных данных, подключение внешних источников;
  • Анализ критичности и актуальности IOC (indicator of compromise);
  • Передача данных об актуальных киберугрозах (Threat Intelligence) в различные продукты и сервисы компании в виде IOC;
  • Анализ новых векторов атак и поиск аномалий в инфраструктурах (Threat Hunting);
  • Моделирование угроз и атак для выявления индикаторов компрометации (IoC);
  • Участие в расследовании инцидентов информационной безопасности;
  • Анализ TTP (Tactics, Techniques, Procedures) и их привязка к фреймворкам (MITRE ATT&CK, D3FEND, etc.);
  • Проведение pro-active hunting-кампаний на основе гипотез об активности злоумышленников;
  • Создание и ведение базы знаний о TTP, APT-группах и актуальных угрозах;
  • Участие в red team / purple team упражнениях — как источник данных и валидатор детектов;
  • Обогащение TI-платформы внутренними артефактами, извлечёнными из расследований;
  • Разработка собственных правил детектирования и гипотез (на основе логов, поведенческих признаков, аномалий);
  • Поиск и анализ данных о киберугрозах, способах и средств кибератак на корпоративные ресурсы;
  • Анализ угроз в Threat Intelligence Platform, данных событий, отчетов и исследований во внешних источниках;
  • Проведение статического и динамического анализа ПО на вредоносность/скомпрометированность;
  • Участие в реагировании на инциденты;
  • Мониторинг и исследование современных методов, способов и средств кибератак на корпоративные ресурсы;
  • Мониторинг сети для выявления актуальных фишинговых угроз;
  • Формирование индикаторов/кибер-фидов для применения в инфраструктуре организации;
  • Участие во внедрении и последующей эксплуатации систем, обеспечивающих анализ данных об угрозах;
  • Участие в разработке регламентной, организационно-распорядительной, технической и технологической документации;
  • Расследование нетиповых высококритичных инцидентов ИБ с использованием SIEM, EDR и других решений;
  • Разработка и улучшение контролей для выявления инцидентов ИБ в SIEM системе;
  • Разработка механизмов, отчетов, панелей в SIEM системе;
  • Поиск и выявление аномальной активности, Threat Hunting;
  • Мониторинг актуальных угроз информационной безопасности;
  • Работать с линейкой систем предотвращения и обнаружения киберугроз;
  • Работать с системами управления событиями ИБ и контроля внешней поверхности атаки;
  • Проводить расследование инцидентов с целью идентификации векторов проникновения, восстановления хронологии и определения степени воздействия;
  • Проводить проактивный поиск киберугроз, выявлять скрытые следы компрометации и нелегитимной активности в IT-инфраструктуре;
  • Обеспечивать оперативную реакцию, самостоятельно проводить мероприятия по устранению киберугроз и восстановлению задействованных в кибератаках активов;
  • Консультировать и поддерживать клиентов в рамках всего цикла реагирования на инциденты;
  • Взаимодействовать с командами разработки, киберразведки и другими подразделениями для повышения эффективности обнаружения угроз;
  • Разрабатывать новые и оптимизировать существующие правила корреляции, сигнатур и методов детектирования;
  • Активно участвовать в процессе создания и доработки playbook-ов и процедур мониторинга и реагирования на инциденты;
  • Формировать отчеты о реагировании с реконструкцией хронологии кибератаки, разрабатывать рекомендации по сокращению вероятности повторения инцидентов;

Знания и навыки

  • Знание сетевых технологий (модель ISO/OSI, протоколы HTTP/HTTPs, DNS, DHCP, TCP/UDP/IP, TLS/SSL, SMTP и т.д.);
  • Знание принципов работы операционных систем Windows/Linux;
  • Знание и понимание основ архитектуры современных корпоративных инфраструктур;
  • Знание и понимание основ ИБ (в т.ч. Cyber Kill Chain, MITRE ATT&CK, TTP) в части векторов атак и защиты от них;
  • Знание современных тактик и техник атакующих, основных векторов атак, способов их обнаружения и противодействия, понимание методологий MITRE ATT@CK, CyberKillChain;
  • Знание современных тактик и техник атакующих (TTP), основных векторов атак на корпоративные инфраструктуры, способов их обнаружения и противодействия (ATT&CK);
  • Знание инфраструктурных сервисов и протоколов: DNS, DHCP, SMB, NFS, HTTP/HTTPS, SMTP и т.д.;
  • Знание нормативно-правовых и методических документов в области ИБ (в том числе Стандартов Банка России по ИБ, 152-ФЗ, 187-ФЗ), базовые знания банковских технологий и осуществления расчетных операций;
  • Знание MITRE ATT&CK + умение картировать активность в инфраструктуре на TTP;
  • Знание и понимание основ архитектуры современных корпоративных инфраструктур;
  • Понимание MITRE ATT&CK, знание актуальных тактик и техник злоумышленников;
  • Понимание индикаторов компрометации информационных систем и методов их обнаружения;
  • Понимание принципа работы средств защиты: антивирусы, FW, IDS/IPS, WAF, сетевые сканеры;
  • Понимание способов и методов компрометации информационных систем и сервисов;
  • Понимание актуальных угроз информационной безопасности, базовые знания о методах атак и уязвимостях;;
  • Понимание индикаторов компрометации информационных систем и методов их обнаружения;
  • Понимание принципов реагирования на инциденты кибербезопасности;
  • Понимание классификации современного вредоносного ПО;
  • Понимание работы основных классов СЗИ, применяемых в организациях (в том числе EDR/XDR, антивирусные решения, DLP, IDS/IPS и т.д.);
  • Понимание жизненного цикла угроз и цепочки кибератаки (Cyber Kill Chain);
  • Понимание технической архитектуры и процессов SOC - опыт работы в области аналитика SOС L2-L3 / Threat Intelligence/ Threat Hinuting;
  • Умение корректно интерпретировать различные события и выделять наиболее важную информацию;
  • Навыки создания YARA, Sigma, Snort/Suricata-правил;
  • Навыки работы с инструментами компьютерной криминалистики: KAPE, Volatility, FTK Imager, The Sleuth Kit и прочее;
  • Навыки анализа вредоносного ПО для получения индикаторов компрометации (IOC), разработка YARA-правил для детектирования ВПО;
  • Навыки автоматизации (программирования) рабочих задач (Powershell / Python / Bash);
  • Навыки реверс-инжиниринга ВПО;
  • Навыки работы с индикаторами компрометации;
  • Навыки программирования на Python, Golang или любом другом скриптовом языке для автоматизации рутинных задач;
  • Навыки работы с логами в SIEM, EDR, NDR, а также скриптами обогащения/корреляции;

Опыт

  • Опыт в исследовании различных инструментов злоумышленников (в том числе ВПО) в части анализа сетевого трафика;
  • Опыт в написании детектирующей логики для IDS (Suricata, Zeek и т.д.);
  • Опыт работы со различными средствами защиты информации – WAF, NGFW, IDS, NTA;
  • Опыт анализа сетевого трафика и логов от различных систем, умение их правильно интерпретировать;
  • Опыт исследования сетевой инфраструктуры злоумышленников;
  • Опыт расследования инцидентов ИБ; понимание типовых плейбуков по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах;
  • Опыт работы по направлению информационной безопасности не менее 3 лет;
  • Опыт участия в процессах SOC/CSIRT/расследования киберинцидентов/расследования кибермошенничества не менее 2 лет;
  • Опыт расследования инцидентов и восстановления картины атак;
  • Опыт работы с одним или несколькими TI-источниками и платформами (VirusTotal, MISP, ThreatFox, OTX, OpenCTI и др.);
  • Опыт расследования инцидентов ИБ; понимание типовых плейбуков по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах;
  • Опыт работы с ОС Linux/Windows на уровне администратора;
  • Опыт работы с СУБД PostrgeSQL, MySQL на уровне администратора;
  • Опыт построения гипотез и их валидации в ходе TH-кампаний;
  • Опыт работы с дизассемблерами, дебагерами;
  • Опыт работы с системами классов SIEM, TIP, IRP/SOAR/SGRC;

Дополнительно

  • Знание тактик и техник компьютерных атак, методов и средств их обнаружения (в частности – матрица MITRE ATT&CK, Cyber kill-chain);
  • Знание принципов threat modeling (STRIDE, DREAD, PASTA и др.) будет плюсом;
  • Опыт исследования образов накопителей, дампов оперативной памяти или иной информации на предмет установления факта компрометации, определения признаков, причин и последствий инцидента, поиск индикаторов компрометации;
  • Опыт написания отчетов по результатам расследования и анализа технической информации;
  • Доработка инструментария проведения расследований и реагирования на инциденты информационной безопасности;
  • Опыт поиска и анализа информации об угрозах ИБ;
  • Опыт работы с Threat Intelligence;
  • Опыт поиска и анализа информации об угрозах ИБ;
  • Опыт работы с основными утилитами для проведения тестов на проникновение: nmap, metasploit, burp suite pro, а также из GNU Kali Linux;
  • Опыт работы с PT AF и AI, PT MaxPatrol, SolarWinds, Kaspersky, Guardium, Wallix, Varonis, Websense, SearchInform;
  • Опыт работы на L2 (и желание расти) и/или L3;
  • Опыт работы с одной или более SIEM/XDR системами из списка: QRadar, Splunk, MP SIEM, ArcSight ESM, Wazuh;
  • Опыт проведения расследований различных типов инцидентов;
  • Опыт разработки правил корреляции;
  • Умение анализировать журналы регистрации событий в различных системах (ОС, СЗИ, сетевое оборудование, прикладное ПО и т.д.);
  • Взаимодействие с заказчиком в рамках работы над инцидентами ИБ;
  • Опыт активного противодействия Red team или APT будет плюсом;