Мы — кадровое агентство match, и один из наших основных клиентов— компания, которая является лидером в сфере разработки передового программного обеспечения. За годы работы компания создала множество масштабируемых решений, которые помогают бизнесу развиваться и достигать новых высот.
Сейчас компания находится в поиске SOC Expert'a в IT Security департамент.
Обязанности:
- Расследование инцидентов ИБ с применением элементов форензики, выявление первопричин и разработка рекомендаций по результатам расследования;
- Разработка новых и улучшение имеющихся сценарием детектирования SIEM;
- Разработка и улучшение сценариев реагирования (playbooks) для инцидентов и алертов SIEM для аналитиков L1;
- Анализ типовых и нетиповых источников данных на предмет оценки полноты логирования и удовлетворения потребностям детектирования угроз. Выдача рекомендаций по улучшению;
- Формирование требований к логированию и источникам событий и подключение новых источников данных к SIEM;
- Развитие процессов Threat Intelligence и Threat Hunting в команде, исследование актуальных TTP злоумышленников и трансляция их в правила детектирования;
- Изучение новых технологий и инструментов, полезных для развития SOC, ведение проектов по их внедрению;
- Развитие автоматизаций команды SOC, в том числе для реагирования на типовые события и сокращения времени реакции;
- Построение процессов Purple Teaming и рефакторинга правил SOC на наличие слепых зон при воспроизведении актуальных угроз;
- Подготовка аналитических отчетов и развитие визуальной составляющей SOC (метрики, дашборды).
Требования к вакансии:
- Опыт работы с одной или несколькими SIEM-системами (Elastic Stack, Splunk, Wazuh, ArcSight, QRadar и др.) в роли аналитика или инженера;
- Опыт разработки и оптимизации правил детектирования для SIEM для разных операционных систем и других источников данных;
- Уверенное понимание TTP злоумышленников и стадий атак по модели MITRE ATT&CK, умение разделять комплексные атаки и инциденты на такие стадии;
- Навыки анализа журналов событий (логов), сетевого трафика и алертов от инструментов безопасности (firewalls, vulnerability scanners, AV и так далее);
- Понимание принципов и стадий в реагировании на инциденты, опыт расследования реальных инцидентов в инфраструктуре;
- Умение работать с технической документацией и быстро осваивать новые инструменты;
- Английский язык на уровне чтения технической документации;
Будет преимуществом:
- Опыт разработки правил детектированиях для облачных инфраструктур и контейнерных сред, понимание специфики атак и методов защиты для таких типов инфраструктуры;
- Опыт работы в направлениях Threat Intelligence и Threat Hunting, умение анализировать актуальные репорты об атаках и выделять полезные IOCs;
- Опыт выполнения базовой форензики (работа с образами дисков, работа с дампами оперативной памяти);
- Опыт работы с SOAR и платформами автоматизации (n8n, shuffle, tines и другие);
- Опыт работы с BAS инструментами, опыт воспроизведения атак для тестирования правил SIEM;
- Опыт работы с DevOps инструментами и контейнерной инфраструктурой (Docker, Docker Compose, Kubernetes, Helm, Gitlab CI, Github Actions, Ansible);
- Наличие профессиональных сертификатов в области ИБ по Offensive и Defensive направлениям.
Условия:
- Рабочее место по твоему выбору: Уютный офис в бизнес-центре класса в Белграде (Сербия), Санкт-Петербурге или возможность работать удаленно — решать тебе!
- Забота о твоем здоровье: ДМС с покрытием всех основных услуг на территории Сербии и России;
- Гибкий график работы: Начинай день, когда тебе удобно — до 11:00 по МСК. Рабочий день — 9 часов, с учетом 1 часа на обед;
- Завтраки в офисе: Мы заботимся о твоем комфорте — каждый день тебя ждут свежие и вкусные завтраки в офисе;
- Поддержка в развитии: Частичная компенсация занятий в фитнес-зале и курсов английского, доступ к корпоративной библиотеке с актуальными книгами для твоего роста, а также консультации с психологом, если нужно поддержать mental health;
- Поддержка при релокации: Для сотрудников из других городов или стран мы предоставляем релокационный пакет после успешного прохождения испытательного срока в Сербию, Белград.