О компании ITG Security: Компания в области информационной безопасности. Мы работаем по всему циклу: от оценки текущего состояния защищённости до круглосуточного мониторинга и реагирования на инциденты.
Направления:
- Аудиты ИБ и оценки соответствия;
- Внедрение и сопровождение процессов ИБ;
- Тестирование на проникновение;
- Коммерческий SOC.
В контуре мониторинга с десяток инфраструктур заказчиков. Такой объём разбирается только связной командой: сложный кейс не остаётся внутри одной смены, вывод превращается в правило или плейбук и работает дальше. Обратиться к коллеге за вторым взглядом здесь часть процесса, а не признак слабой квалификации. Кого мы ищем? В связи с расширением команды мониторинга мы ищем аналитика SOC L1. Мы ищем человека, который умеет думать над данными. Важно умение восстанавливать картину по разрозненным событиям, отличает совпадение от связи и не подменяет разбор догадкой и иметь аналитический склад ума.
Чем предстоит заниматься:
- Мониторинг событий ИБ в SIEM (Elastic/ELK), первичный анализ и триаж срабатываний;
- Выполнение анализа журналов, восстановление цепочки событий по телеметрии EDR, Windows Event Log, Sysmon, сетевым и firewall-логам;
- Квалификация инцидентов, классификация по критичности, эскалация на L2 в рамках SLA;
- Работа по плейбукам реагирования, обратная связь на их доработку;
- Фиксация ложных срабатываний и предложений по тюнингу правил детектирования;
- Ведение инцидентов в IRP: фиксация фактов, хронология, обоснование вердикта;
- Разработка и доработка конфигураций журналирования/логирования событий ИБ;
- Предоставление рекомендаций Заказчикам при локализации инцидента ИБ;
- Взаимодействие с заказчиками по инцидентам в согласованных регламентах.
Требования: - Понимание архитектуры Windows и Active Directory: аутентификация, привилегии, механизмы аудита;
- Базовые навыки работы с Linux (журналы, процессы, права);
- Умение анализировать и сопоставлять события между собой в журналах: СЗИ, ОС, Network, СУБД;
- Понимание принципов работы СЗИ и их отличия (Firewall, NGFW, IPS/IDS, VPN, WAF, AV/САВЗ, EDR, SIEM, WAF, NDR);
- Знакомство с MITRE ATT&CK как рабочей моделью;
- Понимание работы сетевых технологий (Модель OSI, TCP/IP), стек протоколов;
- Аналитическое мышление;
- Умение формулировать вердикт письменно: что произошло, чем подтверждается, что рекомендуется;
- Знание английского на уровне чтения технической документации;
- Готовность к сменному графику [2/2, день/ночь].
Будет плюсом: - Опыт разбора телеметрии EDR;
- Опыт работы с Elastic Stack (KQL, ES|QL, EQL) или другим SIEM;
- Навыки администрирования Windows/Linux;
- Навык работы со скриптовыми языками (Bash, Python, PowerShell) умение качественного вайбкодинга так же приветствуется;
- Умение пользоваться Google и поиском информации для решения проблемы;
- Участие в CTF или площадках по типу: HackTheBox, TryHackMe, BlueTeamLabs и т.д;
- Опыт в MSSP/аутсорс-модели;
- Наличие ИТ и/или ИБ сертификатов;
- Ключевое: техническая база, аналитическое мышление и способность доводить разбор до факта, а не до предположения.
Что мы можем предложить:
- Работа в аккредитованной компании;
- Отсутствие бюрократии и здравый смысл в процессах;
- Систему адаптации – за новичком закрепляется ментор;
- Высокий уровень дохода – фиксированный оклад и дополнительные регулярные премии по результатам работы;
- Обучение за счет компании – курсы, сертификации, а также у нас есть внутреннее приватное облако, в котором ты сможешь разворачивать интересующие тебя тестовые стенды;
- Очевидно, но тем не менее – работа полностью в белую по ТК РФ