Аналитик SOC L3 (партнерский найм)

Условия:

• Трудоустраиваем за день и только по ТК РФ;
• Полностью белую зарплату. Обсуждаем её уровень на собеседовании и вместе принимаем решение;
• Регулярно повышаем зарплату с ростом скиллов и по результатам работы;
• ДМС после испытательного срока;
• Работу по гибкому графику, который вы выбираете сами;
• Формат работы на выбор: из дома или из офиса;
• Можем выдать технику для работы из дома. В любой точке РФ;
• Работу без KPI и тайм-трекингов;
• Современное рабочее место, кофемашины, плюшки;
• Полную оплату обучения;
• Компенсируем половину твоих трат на спорт;
• Стильный корпоративный мерч и библиотека.
• Работать можно дистанционно или в одном из наших основных офисов в Москве (БЦ Four Winds Plaza), Новосибирске (БЦ Речной вокзал) или Томске (Инструментальный 51а).

Твои задачи:

• Подключение источников событий к SIEM;
• Разработка и доработка правил нормализации и фильтрации телеметрии;
• Внедрение механизмов/правил детектирования;
• Доработка правил корреляции с учетом особенностей инфраструктуры, создание и ведение базы исключений;
• Расследование и своевременная эскалация инцидентов ИБ;
• Документирование конфигурации, интеграций и инструкций по настройке систем.

Мы ожидаем, что у тебя есть:

• Опыт работы в SOC;
• Опыт создания правил корреляции и их доработки в том числе с целью снижения количества ложноположительных событий;
• Опыт расследования инцидентов ИБ и разработки рекомендаций по их предотвращению;
• Опыт автоматизации внутренних процессов работы SIEM, SOAR;
• Опыт работы с Windows\Linux системами и понимание основных векторов атак на них;
• Знание основных векторов атак на сетевом уровне и уровне веб-приложений и API;
• Базовые знания написания скриптов (bash, PowerShell, Python);
• Понимание способов обнаружения основных векторов и типов атак, тактик и техник атакующих (CyberKill Chain, MITRE ATT&CK, TTP и т.д.);
• Понимание сетевой модели OSI, стека TCP/IP, сетевых протоколов HTTP/HTTPS, DNS, DHCP, ARP и т.д.;
• Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД;
• Умение работать с Git, Gitlab;
• Углубленные знания по: SIEM системам (PT SIEM, ELK), OWASP, опыт работы с СЗИ (SIEM, NGFW, IDS\IPS, AV и др.).

Преимуществом будет:

• Опыт обучения аналитиков первой линии;
• Опыт администрирования Windows / Unix–систем и СУБД;
• Опыт работы с системами MaxPatrol SIEM и другими продуктами Positive Technologies;
• Понимание архитектуры ИТ-систем производственных предприятий;
• Практический опыт в криминалистическом анализе артефактов (анализ дампов жестких дисков и памяти);
• Умение работать с Docker;
• Участие в CTF, Киберполигонах и т.п.