Специалист отдела мониторинга информационной безопасности

Обязанности: Непрерывный мониторинг событий информационной безопасности в системах: SIEM, EDR, NTA и других средствах защиты информации; Первичная обработка инцидентов информационной безопасности: выявление, регистрация, классификация по типу, приоритету и критичности; Фильтрация ложноположительных срабатываний; Выполнение стандартных расследований по утверждённым RunBook: анализ базовых логов, проверка хостов, пользователей, IP-адресов, анализ первичных признаков компрометации; Сбор первичных артефактов по инциденту: системные и прикладные логи, информация о процессах, пользователях, сетевых соединениях; Эскалация инцидентов на второй уровень (L2) в установленные SLA; Контроль выполнения ИТ-подразделениями стандартных мероприятий реагирования по типовым инцидентам в соответствии с утверждёнными RunBook; Ведение и актуализация карточек инцидентов в SIEM-системе; Закрытие инцидентов информационной безопасности в системе учёта после выполнения утверждённых мероприятий реагирования и получения подтверждения от старшего специалиста (L2); Эксплуатационная поддержка SIEM, контроль корректности поступления логов в SIEM, состояния активов, коллекторов и интеграций; Участие в тестировании новых правил корреляции и сценариев реагирования. Требования: Высшее профильное образование (информационная безопасность), Высшее образование ИТ + переквалификация ИБ; Опыт работы в SOC / L1 от 1 года или общий опыт работы в области информационной безопасности от 3 лет; Понимание архитектуры корпоративных ИТ-инфраструктур: доменная инфраструктура Active Directory, клиент–серверные системы, сетевые сегменты, VLAN, DMZ, межсетевые экраны; Знание сетевых протоколов и сервисов на уровне анализа трафика: TCP/IP, UDP, DNS, HTTP(S), SMTP, FTP, SMB, RDP; Знание принципов формирования и анализа событий безопасности: Windows Security Events, Syslog, логи сетевых устройств, серверных приложений, средств защиты; Навыки работы с SIEM-системами: анализ коррелированных событий, работа с инцидентами, поиск по журналам, фильтрация и агрегация событий; Понимание принципов работы и назначения: антивирусных и EDR-решений, NTA, WAF; Знание основных тактик и техник атак согласно MITRE ATT&CK на уровне: начального доступа, закрепления, бокового перемещения, обхода средств защиты, управления и контроля; Навыки первичного анализа: сетевых сессий (IP, порты, протоколы), процессов и командных строк, активности учетных записей; Понимание базовых принципов реагирования на инциденты: изоляция, блокировка, ограничение распространения, сбор артефактов; Навыки работы с ОС: Windows (службы, журналы, процессы, учетные записи), Linux (базовые команды, журналы, процессы); Умение работать по формализованным процедурам: RunBook, стандартные сценарии реагирования, регламент сменной работы SOC. Условия: Оформление в соответствии с ТК РФ; Официальная заработная плата, своевременные выплаты. Окончательные условия определяются на собеседовании с руководителем; Социальные льготы и гарантии (оплачиваемые отпуска и больничные); Работа в сменном графике (12/12, 2/2), включая ночные смены; Удаленный формат работы; Очное присутствие на совещаниях в головной компании по адресу: Краснодарский край, ст. Выселки, ул. Степная, 1 (1-2 раза в месяц).