Старший аналитик системной безопасности

Чем предстоит заниматься:

• формирование требований к сбору и обработке событий информационной безопасности (источники, движки, форматы, маршруты обработки);
• анализ актуальных угроз и направлений в области информационной безопасности, соответствие лучшим практикам и требованиям;
• разработка и тестирование правил/цепочек правил детектирования для SIEM/XDR/SOAR (например, SIGMA, YARA, Suricata);
• разработка и тестирование детектирующей логики, создание proof-of-concept с использованием Bash/Python;
• формирование процессов жизненного цикла создания и работы с правилами детектирования;
• подготовка кейсов, примеров и сценариев использования правил детектирования и детектирующей логики;
• подготовка документации по работе с правилами и детектирующей логикой;
• разработка рекомендаций, руководств, лучших практик.

Наши ожидания от кандидата:

• работа с хотя бы одним SIEM/XDR/SOAR решением;
• опыт создания SIGMA/YARA правил;
• использование ресурсов для исследования и поиска образцов вредоносного кода или воздействия (AnyRun, VirusTotal, urlscan, zoomeye, Shodan, Censys и др);
• навыки написания технических статей;
• опыт презентации исследований;
• опыт работы с auditd/sysmon;
• работа в Linux, Windows на уровне уверенного пользователя (в т.ч. командная строка);
• понимание принципов работы современных СЗИ, в первую очередь SIEM/XDR/SOAR – систем;
• понимание цепочки KillChain, матрицы MITRE ATT&CK, угроз из OWASP Top 10, CWE Top 25;
• английский язык на уровне чтения и понимания технической документации.

Будет плюсом:

• умение автоматизировать собственную работу, знание какого-либо скриптового языка (Python, JS, Bash, Powershell, etc.);
• применение инструментов Threat Hunting (YARA, Suricata, Wireshark, Volatility и т.д.);
• умение анализировать и понимать вредоносный код (Windows PE, .Net, OLE2, JS, VBS, HTML, PDF, SWF, ELF);
• опыт работы с IDA Pro, отладчиками ring-3, песочницами и прочими инструментами статического и динамического анализа.