Старший инженер мониторинга информационной безопасности

Команда занимается:

• Внедрением технических средств, необходимых для обеспечения процесса реагирования и расследования инцидентов, сопровождением и поддержкой внедренных решений;
• Интеграцией информационных систем и средств защиты с SOC, подключением и нормализацией новых источников;
• Взаимодействием с MSSP провайдером, в рамках управления источниками событий и другими техническими вопросами;
• Автоматизацией действий в рамках реагирования на инциденты;
• Взаимодействием с аналитиками SOC в рамках решения технических задач
  Участием в расследовании сложных инцидентов при необходимости.

Требования:

• высшее образование в области информационной безопасности или информационных технологий;
• стаж работы по профилю не менее 3 лет.
• понимание архитектуры корпоративных информационных систем и сетевой инфраструктуры;
• знание современных методов и тактик компьютерных атак;
• знание принципов функционирования и настройки средств защиты информации различных классов;
• владение методами выявления и расследования инцидентов информационной безопасности;
• знание принципов корреляции, нормализации и обогащения событий безопасности;
• знание требований нормативных правовых актов и стандартов в области информационной безопасности;
• знание принципов оценки рисков и последствий инцидентов информационной безопасности;
• знание архитектуры и принципов масштабирования SIEM-систем;
• понимание принципов проектирования сценариев реагирования в SOAR / IRP;
• знание метоов использования данных Threat Intelligence при расследовании инцидентов;
• понимание архитектуры и аналитических возможностей систем Endpoint Detection and Response;
• владение основами программирования и автоматизации (например, Python) на уровне анализа данных и логики обработки инцидентов.

Стек команды:

• Внешний MSSP SOC (Включает направление по управлению источниками событий направляемых в MSSP, и управление EDR

• IRP/SOAR - Security Vision (Платформа управления инцидентами и автоматического применения мер реагирования)

• TIP (Threat Intelligence Platform) - Security Vision (Платформа для работы с индикаторами компрометации и автоматического выявления их в потоке событий)

• SIEM - Smart Monitor (Коммерческое решение по типу ELK + Splunk)

• Автоматизация/интеграции с внешними системами (python + rest)