Специалист по ИБ (мониторинг инцидентов)

Задачи:
• выявление, анализ инцидентов ИБ с использованием SIEM и прочих инструментов;
• полный цикл ведения инцидентов в тикет-системе (регистрация, обработка, перевод, закрытие, общение с сотрудниками, передача на обработку вышестоящему аналитику или в ит для проведения работ);
• выполнение расследований типовых инцидентов ИБ;
• проработка рекомендаций по улучшению и написанию новых правил реагирования в Siem;
• подготовка рекомендаций по добавлению исключений в СЗИ для минимизации false positive событий
• эскалация инцидентов ИБ на вышестоящие линии;
• участие в разработке правил корреляции/сценариев выявления инцидентов;
• мониторинг событий, поступающих на СЗИ;
• анализ данных систем мониторинга на предмет аварий СЗИ (Zabbix\Operation manager);
• взаимодействие со специалистами из других направлений;

Требования:
• работа с SIEM-системами (KUMA, MaxPatrol, Splunk, IBM QRadar, ArcSight и т.д.);
• понимание сетевых протоколов (TCP/IP, DNS, HTTP/HTTPS) и анализ трафика (Wireshark, tcpdump);
• основы ОС — Linux/Windows; анализ логов и процессов;
• Python, Bash, PowerShell для автоматизации рутинных задач;

Будет плюсом:
• знание инструментов для анализа вредоносного ПО (IDA Pro, Volatility,);
• знание MITRE ATT&CK — тактик, техник и процедур (TTPs) злоумышленников;
• понимание описания и принципов эксплуатации уязвимостей (Cyber Kill Chain, MITRE ATT&CK, БДУ ФСТЭК, OWASP TOP 10;
• знание нормативной документации.