Проект направлен на разработку SIEM-системs для централизованного управления безопасностью, событиями и информацией, которая эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры.
Обязанности:
- Развёртывание стендов с программными комплексами (источниками событий), которые необходимо подключить к SIEM;
- Изучение реализованных в источниках событий механизмов обеспечения информационной безопасности (управления пользователями, правами, настройки режимов и т.п.) на основе документации и моделирования событий на стенде;
- Самостоятельное получение выборки со стенда с использованием всех поддерживаемых SIEM способов сбора событий (syslog, plain text, sql, rest api);
- Взаимодействие с организациями, эксплуатирующими или планирующими внедрение источников событий с целью получения образцов логов (выгрузки с объекта), включая консультирование по методам сбора сообщений;
- Выделение уникального набора сообщений из полученных с объекта или со стенда выборок (дедупликация);
- Выделение из уникального набора сообщений, относящихся к событиям информационной безопасности;
- Анализ возможных векторов атаки на источник событий и формирование набора событий ИБ, подлежащих обработке в SIEM, на основе публичных ресурсов ИБ (MITRE, CVE, OWASP top 10 и т.п), а также внутренних наработок компании;
- Выделение в теле сообщений значимых параметров (например, имени пользователя, адреса, наименования системы и т.п.), описание их назначения и установление соответствия между этими параметрами и полями данных внутренней базы данных SIEM (маппинг);
- Описание полученных в ходе исследования источника событий знаний в виде стандартизованного описания (Тех. Задания) для передачи в команду разработки:
- Взаимодействие с командой разработки по задачам создания механизмов обработки событий (уточнение требований и курирование вопросов интеграций);
- Участие в планировании работ по профилю (в направлении интеграций с SIEM);
- Участие в развитии направления (исследования новых технологий и оценка перспектив развития ПО в секторе ИТ/ИБ).
- Опыт работы с Linux Server/Windows Server/AD (разворачивание, администрирование, знание архитектуры);
- Опыт работы с сетевым оборудованием (управляемые свитчи, маршрутизаторы, межсетевые экраны), знание сетевых и криптографических протоколов;
- Опыт работы с CУБД (SQL);
- Опыт работы с инфраструктурными сервисами (DNS/DHCP/AD/NTP/SMTP, гипервизоры, системы мониторинга и резервирования, системы резервного копирования, CMDB и пр.), знание их архитектуры;
- Опыт работы с различными СрЗИ (DLP/IPS/AV/FW/Proxy/AF, IRP, TI и пр.);
- Навыки преобразования бизнес-требований в технические задачи;
- Понимание принципов работы SIEM (желателен опыт подключения к SIEM информационных систем, не поддерживаемых «из коробки», то есть самостоятельное изучение источника + написание нормализатора + правил корреляции, понимание механизмов сбора событий (SQL, RestFull API, Syslog, WEF, SNMP, OPSEC, JSON, SCP (SSH), FTP));
- Навыки обработки текстовой информации (regular expressions, запросы SQL, обработка данных средствами Excel, группировка, выделение фрагментов данных, фильтрация и т.п.);
-
Понимание основ кибербезопасности: знакомство с тактиками и техниками MITRE ATT&CK, жизненным циклом кибератаки, процедурами реагирования на инциденты;
-
Навыки написания и отладки скриптов на языках программирования, таких как Python, Bash, PowerShell, для автоматизации задач и интеграции различных систем.
Плюсом будет:
-
Опыт работы с Git;
-
Опыт работы с СрЗИ (AV/DLP/FW/IPS&IDS/SOAR/IRP/);
-
Навыки работы с Docker (K8S как доп. преимущество);
-
Опыт в написании кейсов ИБ (логическое описание сигнатур);
-
Знание основных нормативных требований Федерального законодательства и регуляторов в области защиты информации;
-
Наличие сертификатов по направлению ИТ/ИБ.
-
Удаленный формат работы;
-
Работу в команде увлеченных и профессиональных людей;
-
Решение сложных и интересных задач;
-
График работы: 5/2 (09-18:00 или 10:00-19:00);
-
Полностью белую ЗП (отталкиваемся от ваших ожиданий);
-
Работу в аккредитованной ИТ-компании.