Аналитик SOC L3 (разработка корреляционных правил)

Чем предстоит заниматься:

— Разработка новых и оптимизация существующих правил обнаружения для систем SIEM на основе актуальных угроз, векторов атак и матрицы MITRE ATT&CK
— Регулярный анализ и оптимизация существующих правил для минимизации ложных срабатываний и повышения точности обнаружения
— Постоянное обновление и актуализация логики мониторинга с учётом изменений в инфраструктуре и новых угроз
— Совершенствование процессов реагирования, написание сценариев реагирования (playbook) и инструкций (runbook) для команд SOC
— Ведение полной и точной документации по всем разработанным и изменённым правилам корреляции
— Проработка интеграций с SOAR для автоматизации процессов реагирования на инциденты
— Проактивный поиск угроз (Threat Hunting). Осуществление проактивного поиска угроз в корпоративной инфраструктуре
— Проведение расследований сложных и критических инцидентов информационной безопасности
— Разработка новых функций и автоматизация процессов управления UseCase с использованием внутренней платформы управления правилами (UseCase Management)

Что мы ожидаем от вас:
— Знание процессов и технологий SOC
— Опыт работы с системами класса SIEM, IDS/IPS, WAF, AV, Sandbox, NTA/DPI, SWG, IRP/SOAR не менее 3 лет
— Практическое участие в расследовании сложных и критических инцидентов
— Опыт анализа журналов средств защиты информации, операционных систем, прикладного программного обеспечения
— Навыки в области Digital Forensic and Incident Response
— Опыт работы с утилитами анализа с применением инструментов FTK Imager, Volatility, Autopsy, Eric Zimmerman’s tools, Wireshark и т.п.
— Знание техник, тактик и процедур для выявления и митигации действий злоумышленников в инфраструктуре
— Знание принципов построения крупных корпоративных сетей и методов обеспечения их безопасности
— Знание ОС Windows/Linux на уровне администратора
— Знание скриптовых языков программирования (bash/python/powershell)
— Уверенное знание SQL (написание сложных запросов)

Будет являться преимуществом:
— Знание и понимание технологий IRP Security Vision (SOAR)
— Опыт создания автоматизаций и рабочих процессов в IRP Security Vision (SOAR)

Что мы предлагаем взамен:

— Стабильный и прозрачный доход: размер заработной платы обсуждается по итогам собеседования + квартальная премия по результатам KPI
— Гибкий график работы: вы сможете планировать время так, как удобно вам и вашей команде
— Полностью удалёнку или гибрид на выбор, а также уютный ИТ-хаб в Москве, Санкт-Петербурге, Екатеринбурге и сезонный коворкинг в Сочи
— Сложные и интересные задачи, современный стек технологий
— Заботу о вашем здоровье: программа ДМС с первых дней работы, куда входит стоматология, обслуживание в лучших клиниках города, страхование и компенсация 10-ти дней больничного
— Доступ к бесплатным корпоративным библиотекам Alpina Digital, MyBook и бизнес-изданий
— Предложения от Банка только для сотрудников: собственные спортзалы (Москва, Санкт-Петербург, Екатеринбург), а также скидки на услуги туристических агентств, продукты питания, в рестораны, бары, магазины