Аналитик угроз в SOC

Обязанности

• Разработка и предоставление рекомендаций по выявленным угрозам и уязвимостям
• Разработка, актуализация и внедрение новых правил нормализации, корреляции, обогащения в SIEM системах
• Работа в Threat Intelligence Platform, анализ выходных данных, подключение внешних источников
• Анализ критичности и актуальности IOC (indicator of compromise)
• Передача данных об актуальных киберугрозах (Threat Intelligence) в различные продукты и сервисы компании в виде IOC
• Анализ новых векторов атак и поиск аномалий в инфраструктурах (Threat Hunting)
• Моделирование угроз и атак для выявления индикаторов компрометации (IoC)
• Участие в расследовании инцидентов информационной безопасности
• Анализ TTP (Tactics, Techniques, Procedures) и их привязка к фреймворкам (MITRE ATT&CK, D3FEND, etc.)
• Проведение pro-active hunting-кампаний на основе гипотез об активности злоумышленников
• Создание и ведение базы знаний о TTP, APT-группах и актуальных угрозах
• Участие в red team / purple team упражнениях — как источник данных и валидатор детектов
• Обогащение TI-платформы внутренними артефактами, извлечёнными из расследований
• Разработка собственных правил детектирования и гипотез (на основе логов, поведенческих признаков, аномалий)

Требования

• Знание и понимание основ архитектуры современных корпоративных инфраструктур
• Опыт расследования инцидентов ИБ; понимание типовых плейбуков по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах
• Умение корректно интерпретировать различные события и выделять наиболее важную информацию
• Понимание индикаторов компрометации информационных систем и методов их обнаружения
• Навыки программирования на Python, Golang или любом другом скриптовом языке для автоматизации рутинных задач
• Опыт построения гипотез и их валидации в ходе TH-кампаний
• Глубокое знание MITRE ATT&CK + умение картировать активность в инфраструктуре на TTP
• Опыт работы с одним или несколькими TI-источниками и платформами (VirusTotal, MISP, ThreatFox, OTX, OpenCTI и др.)
• Навыки создания YARA, Sigma, Snort/Suricata-правил
• Понимание жизненного цикла угроз и цепочки кибератаки (Cyber Kill Chain)
• Знание принципов threat modeling (STRIDE, DREAD, PASTA и др.) — будет плюсом
• Практические навыки работы с логами в SIEM, EDR, NDR, а также скриптами обогащения/корреляции
• Аналитическое мышление, умение структурировать большие объёмы информации и формулировать выводы для руководства

Мы предлагаем

• работу в крупной аккредитованной ИТ-компании (с возможностью получения всех льгот, в том числе отсрочки)
• возможность удаленной работы из дома (гибридный график)
• гибкое начало и конец рабочего дня
• стабильную зарплату, официальное трудоустройство
• релокационный пакет для иногородних
• ДМС + стоматология + офисный врач
• квартальные премии по итогам закрытия проектных работ, надбавки за непрерывный стаж работы в компании
• обучения внутри компании на более чем 50 различных курсов по различным направлениям
• частичная компенсация путевок в лагерь и подарки на Новый год для детей сотрудников
• современный офис в шаговой доступности от метро Кировский завод/Автово, своя авто- и велопарковка
• совместный досуг в внерабочее время: футбол, волейбол, баскетбол, настольные игры