Аналитик SOC (L1)

T.Hunter развивает SOC-as-a-Service платформу для B2B-клиентов: мониторинг, triage и обработка инцидентов ИБ в мультиклиентской среде. Используем собственный стек: IRP/SOAR-платформу для triage, SLA-контроля, эскалаций, кейсов, IOC и playbooks.

Чем предстоит заниматься

• Круглосуточный мониторинг и triage алертов ИБ (сменный график)
• Классификация срабатываний (TP/FP/duplicate/indeterminate) с документированием решения
• Эскалация подтверждённых инцидентов на L2 по регламенту и playbooks
• Контроль SLA обработки алертов и приоритетов по критичности
• Проверка полноты телеметрии из источников (Windows/Linux/AD/FW/VPN/EDR/XDR)
• Работа с алертами из источников, фиксация рекомендаций для клиента
• Участие в улучшении операционных процедур и правил детекта

Мы ожидаем

• Опыт в SOC L1 / мониторинге ИБ от 1 года
• Практический опыт работы хотя бы с одной SIEM (MaxPatrol SIEM, QRadar, Splunk, KUMA, RuSIEM т.д.)
• Понимание жизненного цикла инцидента и процессов triage/escalation
• Знание MITRE ATT&CK на уровне применения в анализе алертов
• Умение читать и интерпретировать события ОС, сети и средств защиты
• Аккуратная письменная коммуникация и ведение документации

Будет плюсом

• Опыт работы в MSSP/SOCaaS
• Опыт с EDR/XDR
• Базовые навыки Python/SQL для аналитики и автоматизации
• Опыт интеграций с ITSM/тикет-системами

Условия

• Формат: удалённо, гибрид в офисе м. Московская, Санкт-Петербург (дневные смены)
• График: на ИС 5/2, далее сменный график с 09-21, с 21-09 (день, ночь, отсыпной, выходной), возможен гибрид + корпоративная техника – работай удобно;
• Оформление по ТК РФ
• Менторство от L2/L3 на старте, чёткий онбординг
• Рост внутри SOC: L1 → L2 → L3 / Lead, пересмотр уровня каждые 6 месяцев
• Инструменты: собственная IRP/SOAR-платформа

• Работа в аккредитованной ИТ компании (актуально для всех действующих владельцев IT-ипотеки);

• IT отсрочка от срочной службы;