SOC Expert (purple)

Эксперт SOC (Purple) осуществляет поиск и анализ релевантных угроз ИБ с целью создания и настройки автоматизированной логики детектирования, а также участвует в расследовании наиболее критичных инцидентов.

Задачи:

• Выполнение тестовых атак на инфраструктуре и полигоне для анализа эффективности мониторинга и подтверждения векторов атак
• Дизайн и поддержка полигона для эмуляции атак
• Анализ векторов атак на инфраструктуру
• Формирование и сопровождение бэклога задач по разработке логики детектирования, разработка логики детектирования атак
• Поиск угроз, не выявленных правилами корреляции (Threat Hunting)
• Доработка некорректно работающих правил корреляции
• Участие как линии эскалации для критичных инцидентов и комплексных атак
• Документирование сценариев обнаружения и реагирования

Требования:

• Опыт работы аналитиком SOC или в Red Team
• Опыт работы с offensive toolstack-ом
• Опыт расследования инцидентов ИБ на уровне проведения «root cause analysis»
• Понимание способов атак и методов их обнаружения
• Опыт работы с сетевыми и узловыми индикаторами компрометации (IOC) в различных форматах (STIX, OpenIOC, Yara, Snort)
• Опыт разработки сценариев детектирования атак на уровне эксперта
• Опыт работы с правилами детектирования в формате Sigma
• Опыт работы с системами журналирования IT-систем и СЗИ
• Опыт администрирования ОС семейства Linux и Windows
• Знание концепций обеспечения защищенности ОС Windows и Linux
• Опыт разработки скриптов (Python, PowerShell, Bash, VBA и т.д.)
• Английский (на уровне чтения технической литературы)