Специалист отдела мониторинга информационной безопасности

Показать контакты

Описание вакансии

Обязанности:

Непрерывный мониторинг событий информационной безопасности в системах: SIEM, EDR, NTA и других средствах защиты информации;
Первичная обработка инцидентов информационной безопасности: выявление, регистрация, классификация по типу, приоритету и критичности;
Фильтрация ложноположительных срабатываний;
Выполнение стандартных расследований по утверждённым RunBook: анализ базовых логов, проверка хостов, пользователей, IP-адресов, анализ первичных признаков компрометации;
Сбор первичных артефактов по инциденту: системные и прикладные логи, информация о процессах, пользователях, сетевых соединениях;
Эскалация инцидентов на второй уровень (L2) в установленные SLA;
Контроль выполнения ИТ-подразделениями стандартных мероприятий реагирования по типовым инцидентам в соответствии с утверждёнными RunBook;
Ведение и актуализация карточек инцидентов в SIEM-системе;
Закрытие инцидентов информационной безопасности в системе учёта после выполнения утверждённых мероприятий реагирования и получения подтверждения от старшего специалиста (L2);
Эксплуатационная поддержка SIEM, контроль корректности поступления логов в SIEM, состояния активов, коллекторов и интеграций;
Участие в тестировании новых правил корреляции и сценариев реагирования.

Требования:

Высшее профильное образование (информационная безопасность), Высшее образование ИТ + переквалификация ИБ;
Опыт работы в SOC / L1 от 1 года или общий опыт работы в области информационной безопасности от 3 лет;
Понимание архитектуры корпоративных ИТ-инфраструктур: доменная инфраструктура Active Directory, клиент–серверные системы, сетевые сегменты, VLAN, DMZ, межсетевые экраны;
Знание сетевых протоколов и сервисов на уровне анализа трафика: TCP/IP, UDP, DNS, HTTP(S), SMTP, FTP, SMB, RDP;
Знание принципов формирования и анализа событий безопасности: Windows Security Events, Syslog, логи сетевых устройств, серверных приложений, средств защиты;
Навыки работы с SIEM-системами: анализ коррелированных событий, работа с инцидентами, поиск по журналам, фильтрация и агрегация событий;
Понимание принципов работы и назначения: антивирусных и EDR-решений, NTA, WAF;
Знание основных тактик и техник атак согласно MITRE ATT&CK на уровне: начального доступа, закрепления, бокового перемещения, обхода средств защиты, управления и контроля;
Навыки первичного анализа: сетевых сессий (IP, порты, протоколы), процессов и командных строк, активности учетных записей;
Понимание базовых принципов реагирования на инциденты: изоляция, блокировка, ограничение распространения, сбор артефактов;
Навыки работы с ОС: Windows (службы, журналы, процессы, учетные записи), Linux (базовые команды, журналы, процессы);
Умение работать по формализованным процедурам: RunBook, стандартные сценарии реагирования, регламент сменной работы SOC.

Условия:

Оформление в соответствии с ТК РФ, работа в аккредитованной ИТ компании;
Компания с большим штатом ИТ работников, расширение штата;
Официальная заработная плата, своевременные выплаты. Окончательные условия определяются на собеседовании с руководителем;
Социальные льготы и гарантии (оплачиваемые отпуска и больничные);
Работа в сменном графике (12/12, 2/2), включая ночные смены;
Удаленный формат работы;
Очное присутствие на совещаниях в головной компании по адресу: Краснодарский край, ст. Выселки, ул. Степная, 1 (1-2 раза в месяц).