Специалист отдела мониторинга информационной безопасности

Обязанности:

• Непрерывный мониторинг событий информационной безопасности в системах: SIEM, EDR, NTA и других средствах защиты информации;
• Первичная обработка инцидентов информационной безопасности: выявление, регистрация, классификация по типу, приоритету и критичности;
• Фильтрация ложноположительных срабатываний;
• Выполнение стандартных расследований по утверждённым RunBook: анализ базовых логов, проверка хостов, пользователей, IP-адресов, анализ первичных признаков компрометации;
• Сбор первичных артефактов по инциденту: системные и прикладные логи, информация о процессах, пользователях, сетевых соединениях;
• Эскалация инцидентов на второй уровень (L2) в установленные SLA;
• Контроль выполнения ИТ-подразделениями стандартных мероприятий реагирования по типовым инцидентам в соответствии с утверждёнными RunBook;
• Ведение и актуализация карточек инцидентов в SIEM-системе;
• Закрытие инцидентов информационной безопасности в системе учёта после выполнения утверждённых мероприятий реагирования и получения подтверждения от старшего специалиста (L2);
• Эксплуатационная поддержка SIEM, контроль корректности поступления логов в SIEM, состояния активов, коллекторов и интеграций;
• Участие в тестировании новых правил корреляции и сценариев реагирования.

Требования:

• Высшее профильное образование (информационная безопасность), Высшее образование ИТ + переквалификация ИБ;
• Опыт работы в SOC / L1 от 1 года или общий опыт работы в области информационной безопасности от 3 лет;
• Понимание архитектуры корпоративных ИТ-инфраструктур: доменная инфраструктура Active Directory, клиент–серверные системы, сетевые сегменты, VLAN, DMZ, межсетевые экраны;
• Знание сетевых протоколов и сервисов на уровне анализа трафика: TCP/IP, UDP, DNS, HTTP(S), SMTP, FTP, SMB, RDP;
• Знание принципов формирования и анализа событий безопасности: Windows Security Events, Syslog, логи сетевых устройств, серверных приложений, средств защиты;
• Навыки работы с SIEM-системами: анализ коррелированных событий, работа с инцидентами, поиск по журналам, фильтрация и агрегация событий;
• Понимание принципов работы и назначения: антивирусных и EDR-решений, NTA, WAF;
• Знание основных тактик и техник атак согласно MITRE ATT&CK на уровне: начального доступа, закрепления, бокового перемещения, обхода средств защиты, управления и контроля;
• Навыки первичного анализа: сетевых сессий (IP, порты, протоколы), процессов и командных строк, активности учетных записей;
• Понимание базовых принципов реагирования на инциденты: изоляция, блокировка, ограничение распространения, сбор артефактов;
• Навыки работы с ОС: Windows (службы, журналы, процессы, учетные записи), Linux (базовые команды, журналы, процессы);
• Умение работать по формализованным процедурам: RunBook, стандартные сценарии реагирования, регламент сменной работы SOC.

Образование:

Не имеет значения

График работы:

Удаленная работа