Senior SecOps / Threat Hunting / Detection Engineer

Задачи:

• Мониторинг, анализ и обеспечение visibility событий безопасности корпоративной инфраструктуры.
• Развитие и сопровождение процессов: Security Monitoring, Detection Engineering, Threat Hunting, Incident Investigation, Security Visibility.
• Разработка и сопровождение detection use-cases и detection logic для: SIEM, IDS/IPS, EDR/XDR, network monitoring systems, authentication telemetry.
• Разработка: IOC-based detection, TTP-based detection, behavior-based detection, anomaly detection сценариев.
• Разработка и оптимизация: correlation rules, anomaly detection rules, alert enrichment, threat detection pipelines.
• Контроль качества detection coverage и выявление blind spots в monitoring visibility.
• Контроль полноты: security telemetry, centralized logging, event visibility, detection coverage.
• Формирование требований к: security logging, telemetry collection, event correlation, monitoring coverage.
• Работа с SIEM-системами: анализ корреляции событий, enrichment security events, IOC correlation, ATT&CK mapping, выявление аномалий, анализ gaps в visibility инфраструктуры.
• Анализ telemetry data из: SIEM, EDR/XDR, network telemetry, authentication logs, centralized logging systems.
• Проведение hypothesis-driven threat hunting на основе: ATT&CK, IOC, telemetry, anomalous behavior, attacker TTP.
• Выявление признаков: persistence, lateral movement, credential abuse, command & control, privilege escalation, defense evasion.
• Проведение incident investigation и reconstruction attack chain.
• Анализ: IOC, TTP, malicious activity, attacker behavior, compromise scope.
• Координация и участие в расследовании инцидентов безопасности.
• Подготовка: containment recommendations, eradication recommendations, remediation recommendations, detection improvement recommendations.
• Использование Threat Intelligence для: enrichment, IOC correlation, ATT&CK mapping, detection improvement.
• Анализ сетевого трафика и telemetry data с использованием: Wireshark, tcpdump, NetFlow/sFlow, Zeek или аналогичных инструментов.
• Участие в процессе Vulnerability Management в части: attack surface analysis, externally exposed services, exploitation visibility, threat exposure analysis.
• Контроль и анализ: security visibility, uncontrolled infrastructure zones, detection blind spots, telemetry gaps.
• Разработка и сопровождение: detection standards, monitoring use-cases, incident investigation procedures, detection recommendations.
• Подготовка: incident reports, attack chain reports, detection recommendations, IOC reports, threat hunting reports.
• Взаимодействие с Infrastructure, DevOps: detections, incident investigation, telemetry, threat visibility.

Что мы ожидаем:

• Высшее образование в области информационных технологий или информационной безопасности.
• Опыт работы в SecOps, Detection Engineering, Threat Hunting, SOC или Incident Response не менее 4–5 лет.
• Отличное понимание: detection engineering, threat hunting, IOC/TTP analysis, attack chain analysis, incident investigation, telemetry analysis.
• Практический опыт разработки detection logic для: SIEM, IDS/IPS, EDR/XDR, authentication telemetry.
• Практический опыт работы с: SIEM, EDR/XDR, IDS/IPS, Threat Intelligence, centralized logging systems.
• Опыт работы с SIEM-платформами: ELK, Splunk, QRadar, Sentinel или аналогичными решениями.
• Практический опыт: IOC-based detection, TTP-based detection, behavior-based detection, anomaly detection.
• Опыт разработки: correlation rules, detection use-cases, alert enrichment, monitoring pipelines.
• Практический опыт проведения: threat hunting, incident investigation, attack chain reconstruction, compromise analysis.
• Понимание MITRE ATT&CK в части: Initial Access, Execution, Persistence, Defense Evasion, Credential Access, Discovery, Lateral Movement, Command and Control, Exfiltration.
• Понимание: attacker behavior, TTP, IOC lifecycle, detection blind spots, telemetry gaps.
• Практический опыт анализа telemetry data: network telemetry, authentication telemetry, endpoint telemetry, cloud telemetry.
• Опыт анализа: malicious traffic, credential abuse, lateral movement, command & control activity, persistence mechanisms.
• Опыт работы с: Wireshark, tcpdump, NetFlow/sFlow, Zeek или аналогичными инструментами.
• Понимание: centralized logging, telemetry pipelines, security visibility, detection coverage.
• Базовое понимание: Linux, Windows, cloud infrastructure, networking в контексте incident investigation и telemetry analysis.
• Навыки автоматизации и скриптинга: Python, Bash, PowerShell — будут преимуществом.
• Опыт анализа malware behavior — будет преимуществом.
• Понимание процессов Vulnerability Management и exploitation visibility.
• Аналитическое мышление, способность самостоятельно расследовать инциденты и принимать технические решения в условиях инцидента.
• Умение взаимодействовать с DevOps, Infrastructure, SOC и Security командами.
• Умение документировать: attack chain, IOC, TTP, technical findings, detection recommendations.

Дополнительные требования:

• Понимание: Threat Intelligence, ATT&CK-based detection, detection maturity, security telemetry architecture.
• Опыт интеграции: SIEM, EDR/XDR, IDS/IPS, Threat Intelligence Platform, centralized monitoring systems.
• Понимание принципов: hybrid infrastructure visibility, Kubernetes telemetry, container security visibility.
• Понимание современных TTP атакующих групп.
• Приветствуются сертификаты: Security+, Splunk, GCIA, GCIH, Blue Team certifications.
• Уверенное чтение технической документации на английском языке.