Аналитик SOC (L3)

Подразделение информационной безопасности является частью ИТ интегратора ГК. К зоне нашей ответственности относятся все процессы холдинга - от финтеха до производства кондитерских изделий. География - от Санкт-Петербурга до Дальнего востока.

Сейчас нас 22 человека и мы активно набираем людей. Стараемся выстраивать у себя полный цикл процессов ИБ. В команде выделены направления: пентестов, инфрасек, аналитика и собственный мини-SOC. Мы активно используем как open-source инструменты, так и enterprise.

Во внутренней коммуникации на "ты" и с минимумом бюрократии. Прямой доступ к руководству и поддержка в сложных ситуациях. Всячески поощряем инициативы в командах. При необходимости оплатим учебу и участие в конференции. Не душним с отчетами. Только практическая безопасность.
Компания аккредитована в качестве ИТ.

Работать можно дистанционно или в одном из наших основных офисов в Москве (БЦ Four Winds Plaza), Новосибирске (БЦ Речной вокзал) или Томске (Инструментальный 51а).

Мы предлагаем:

• Трудоустраиваем за день и только по ТК РФ;
• Полностью белую зарплату. Обсуждаем её уровень на собеседовании и вместе принимаем решение;
• Регулярно повышаем зарплату с ростом скиллов и по результатам работы;
• ДМС после испытательного срока;
• Работу по гибкому графику, который вы выбираете сами;
• Формат работы на выбор: из дома или из офиса;
• Можем выдать технику для работы из дома. В любой точке РФ;
• Работу без KPI и тайм-трекингов;
• Современное рабочее место, кофемашины, плюшки;
• Полную оплату обучения;
• Компенсируем половину твоих трат на спорт;
• Стильный корпоративный мерч и библиотека.

Твои задачи:

• Подключение источников событий к SIEM;
• Разработка и доработка правил нормализации и фильтрации телеметрии;
• Внедрение механизмов/правил детектирования;
• Доработка правил корреляции с учетом особенностей инфраструктуры, создание и ведение базы исключений;
• Расследование и своевременная эскалация инцидентов ИБ;
• Документирование конфигурации, интеграций и инструкций по настройке систем.

Мы ожидаем, что у тебя есть:

• Опыт работы в SOC;
• Опыт создания правил корреляции и их доработки в том числе с целью снижения количества ложноположительных событий;
• Опыт расследования инцидентов ИБ и разработки рекомендаций по их предотвращению;
• Опыт автоматизации внутренних процессов работы SIEM, SOAR;
• Опыт работы с Windows\Linux системами и понимание основных векторов атак на них;
• Знание основных векторов атак на сетевом уровне и уровне веб-приложений и API;
• Базовые знания написания скриптов (bash, PowerShell, Python);
• Понимание способов обнаружения основных векторов и типов атак, тактик и техник атакующих (CyberKill Chain, MITRE ATT&CK, TTP и т.д.);
• Понимание сетевой модели OSI, стека TCP/IP, сетевых протоколов HTTP/HTTPS, DNS, DHCP, ARP и т.д.;
• Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД;
• Умение работать с Git, Gitlab;
• Углубленные знания по: SIEM системам (PT SIEM, ELK), OWASP, опыт работы с СЗИ (SIEM, NGFW, IDS\IPS, AV и др.).

Преимуществом будет:

• Опыт обучения аналитиков первой линии;
• Опыт администрирования Windows / Unix–систем и СУБД;
• Опыт работы с системами MaxPatrol SIEM и другими продуктами Positive Technologies;
• Понимание архитектуры ИТ-систем производственных предприятий;
• Практический опыт в криминалистическом анализе артефактов (анализ дампов жестких дисков и памяти);
• Умение работать с Docker;
• Участие в CTF, Киберполигонах и т.п.