Специалист по информационной безопасности / SOC-аналитик (СВР EDR)

Описание вакансии

О роли:

Мы ищем специалиста по информационной безопасности, который будет участвовать в развитии системы СВР EDR с позиции практического пользователя, SOC-аналитика и эксперта по киберугрозам.

Основная задача роли - помогать формировать требования к функциональности EDR, участвовать в настройке и эксплуатации системы для внутреннего использования, анализировать события безопасности, разрабатывать сценарии обнаружения угроз и предлагать улучшения продукта на основе актуального ландшафта угроз и практики расследования инцидентов.

Чем предстоит заниматься

Аналитика требований и развитие продукта:

Формировать функциональные и экспертные требования к системе СВР EDR в части информационной безопасности.
Описывать сценарии работы SOC-аналитиков, администраторов ИБ и специалистов по реагированию на инциденты.
Участвовать в проработке требований к сбору телеметрии с конечных устройств.
Формировать требования к механизмам обнаружения угроз: IoC, IoA, поведенческие и корреляционные правила, исключения, подавления и приоритизация событий.
Участвовать в проектировании сценариев реагирования на инциденты.
Анализировать возможности EDR/XDR/SIEM/SOAR-решений и готовить предложения по развитию продукта.
Участвовать в постановке задач для аналитиков, разработчиков и тестировщиков.
Проверять реализованный функционал с точки зрения практической применимости для специалистов по ИБ.
Подготавливать тестовые сценарии и экспертные заключения по новым функциям продукта.
Участвовать в формировании пользовательской и технической документации.

Эксплуатация и настройка СВР EDR:

Администрировать и сопровождать внутреннюю инсталляцию СВР EDR.
Настраивать политики контроля, правила обнаружения, исключения и сценарии реагирования.
Контролировать качество собираемой телеметрии и выявлять пробелы в видимости на конечных устройствах.
Анализировать срабатывания системы, расследовать ложноположительные и ложноотрицательные события.
Подготавливать предложения по улучшению правил детектирования и механизмов реагирования.
Вести базу внутренних кейсов, инцидентов, тестовых сценариев и предложений по развитию продукта.

SOC-аналитика и мониторинг угроз:

Анализировать события информационной безопасности на конечных устройствах.
Расследовать подозрительную активность в Windows и Linux.
Разрабатывать и актуализировать правила обнаружения на основе известных техник атак.
Использовать MITRE ATT&CK для классификации техник и сценариев атак.
Анализировать индикаторы компрометации (IoC) и поведенческие признаки атак.
Отслеживать актуальные киберугрозы, вредоносные кампании и TTP злоумышленников.
Формировать предложения по обнаружению и контролю актуальных угроз средствами СВР EDR.

Мы ожидаем

Обязательный опыт:

Опыт работы в области информационной безопасности от 3 лет.
Практический опыт работы с SOC, SIEM, EDR, антивирусными решениями или средствами мониторинга и реагирования на инциденты.
Понимание принципов работы EDR-систем: сбор телеметрии, анализ событий, детектирование, реагирование и расследование инцидентов.
Опыт анализа событий безопасности в Windows и/или Linux.
Понимание современных техник атак на конечные устройства, включая persistence, privilege escalation, credential access, lateral movement и command & control.
Умение анализировать процессы, командные строки, сетевые соединения, файловые операции, службы и системные события.
Опыт подготовки требований, пользовательских сценариев или технических задач для ИБ-систем.

Необходимые знания:

Классы решений ИБ: EDR, XDR, SIEM, SOAR, AV/NGAV, DLP, VM, IDS/IPS, межсетевые экраны.
Windows и Linux с точки зрения информационной безопасности.
Подходы к расследованию инцидентов на конечных устройствах.
MITRE ATT&CK, IoC, IoA и TTP.
Основы сетевого взаимодействия: TCP/IP, DNS, HTTP/HTTPS, TLS, VPN и прокси.
Подходы к разработке и сопровождению правил обнаружения.
Работа с ложноположительными срабатываниями, исключениями и подавлением событий.
Основы безопасной разработки и проектирования защищённых систем.
Современный ландшафт угроз информационной безопасности.

Будет плюсом:

Опыт работы аналитиком SOC уровня L2/L3.
Опыт внедрения, эксплуатации или разработки EDR/XDR-решений.
Опыт threat hunting.
Опыт разработки пользовательских правил обнаружения.
Опыт работы с Sigma, YARA, Suricata/Snort, Falco, STIX/TAXII.
Опыт анализа Windows Event Log, Sysmon, Linux auditd, journald и аналогичной телеметрии.
Базовые навыки malware analysis или reverse engineering.
Опыт работы с MITRE ATT&CK, Atomic Red Team, Caldera, Prelude Operator и аналогичными инструментами.
Опыт подготовки требований к продуктам информационной безопасности.
Опыт работы на стороне вендора ИБ или интегратора.
Понимание требований ФСТЭК, ФСБ, 187-ФЗ и 152-ФЗ.
Профильное образование в области информационной безопасности.

Личные качества:

Аналитическое мышление и системный подход.
Внимательность к деталям.
Способность разбираться в сложных технических сценариях.
Умение переводить практические задачи информационной безопасности в требования к продукту.
Умение аргументированно предлагать улучшения и участвовать в развитии продукта.
Готовность работать на стыке ИБ, разработки, аналитики и эксплуатации.

Что предлагаем:

Формат работы: офис / удалёнка / гибрид (на выбор);
Оформление: ТК РФ, стабильная “белая” модель;
Соцпакет: ДМС, доплата больничных до 100% (до 28 дней/год), 3 day-off, мобильная связь, техника;
Обучение: внешние курсы/конференции, развитие инженерных компетенций;
Годовые бонусы до 6 окладов;
Возможность участия в госпрограммах поддержки ИТ (льготная ипотека и др.)