Обязанности:
- разработка сценариев выявления инцидентов ИБ (use cases), написание и поддержание правил корреляции в SIEM, тестирование правил корреляции (в части функционала и нагрузки на SIEM), исследование угроз и эмуляция различных векторов атак с целью анализа возможности детектирования (определение требуемых источников, настроек логирования), наполнение и поддержание репозитория сценариев выявления инцидентов ИБ (библиотеки use cases), участие в подключении новых источников к SIEM, выработка рекомендаций по настройке уровня логирования на источниках.
- уверенные знания операционных систем Windows/Linux/MacOS, опыт анализа лог-файлов и сетевого трафика, опыт работы с SIEM-системами (Arcsight, ESM/Qradar/Splunk/KUMA), опыт написания сложной логики для правил корреляции, опыт работы со стеком ELK (elasticsearch/opensearch, kibana, logstash), опыт детектирования и реагирования на инциденты ИБ, анализа артефактов (Forensic).