Эксперт SOC (Purple) осуществляет поиск и анализ релевантных угроз ИБ с целью создания и настройки автоматизированной логики детектирования, а также участвует в расследовании наиболее критичных инцидентов.
Задачи:
- Выполнение тестовых атак на инфраструктуре и полигоне для анализа эффективности мониторинга и подтверждения векторов атак
- Дизайн и поддержка полигона для эмуляции атак
- Анализ векторов атак на инфраструктуру
- Формирование и сопровождение бэклога задач по разработке логики детектирования, разработка логики детектирования атак
- Поиск угроз, не выявленных правилами корреляции (Threat Hunting)
- Доработка некорректно работающих правил корреляции
- Участие как линии эскалации для критичных инцидентов и комплексных атак
- Документирование сценариев обнаружения и реагирования
Требования:
- Опыт работы аналитиком SOC или в Red Team
- Опыт работы с offensive toolstack-ом
- Опыт расследования инцидентов ИБ на уровне проведения «root cause analysis»
- Понимание способов атак и методов их обнаружения
- Опыт работы с сетевыми и узловыми индикаторами компрометации (IOC) в различных форматах (STIX, OpenIOC, Yara, Snort)
- Опыт разработки сценариев детектирования атак на уровне эксперта
- Опыт работы с правилами детектирования в формате Sigma
- Опыт работы с системами журналирования IT-систем и СЗИ
- Опыт администрирования ОС семейства Linux и Windows
- Знание концепций обеспечения защищенности ОС Windows и Linux
- Опыт разработки скриптов (Python, PowerShell, Bash, VBA и т.д.)
- Английский (на уровне чтения технической литературы)