Обязанности:
Rossko — один из крупнейших дистрибьюторов автозапчастей в России и Казахстане. Мы на рынке с 1997 года, прошли через все кризисы и продолжаем расти. В компании работает более 13 000 сотрудников, открыто 290+ складов в 125 городах, а в портфеле — 300 000+ артикулов и прямые контракты с ведущими производителями. ИТ-направление Rossko — это 200+ специалистов, 37 продуктов и собственная инфраструктура: 5 дата-центров, 1000+ виртуальных серверов, 400+ ТБ данных.Мы развиваем цифровые решения для логистики, продаж, финансов и управления сервисной сетью. Наш ИТ-блок Blacklight-IT аккредитован в Минцифры, чтобы сотрудники пользовались льготами ИТ-компаний. Сейчас мы расширяем штат и находимся в поиске Специалиста 2 линии SOC (трудоустраиваем на любой желательный для кандидата формат: в штат по ТК РФ, по ИП, по самозанятости, по ГПХ) Вам предстоит: Расследование и реагирование на инциденты ИБ, глубокий анализ и эскалация тревог, ведение инцидентов от обнаружения до пост-мортема. Проведение цифровой форензики, сбор и анализ артефактов с компрометированных систем (Windows, Linux) с использованием специализированных инструментов. Анализ временных меток файловой системы, журналов событий, дампов оперативной памяти, автозапуска Восстановление цепочки действий злоумышленника на основе собранных доказательств. Работа с платформами SIEM и EDR, проактивный поиск следов компрометации и аномальной активности в корпоративной инфраструктуре с использованием возможностей EDR, SIEM и форензик-инструментов Работа с MaxPatrol SIEM: построение и оптимизация корреляционных правил, создание дашбордов и отчетов, расследование инцидентов на основе данных из различных источников. Работа с PT EDR: проведение Threat Hunting за угрозами, анализ цепочек выполнения процессов, изоляция зараженных узлов, сбор артефактов для расследования Работа с Wazuh: анализ событий безопасности с агентов, мониторинг целостности файлов (FIM), проверка соответствия стандартам (CIS), реагирование на алерты. Базовое администрирование и анализ ОС: понимание внутреннего устройства и типовых артефактов ОС для эффективного расследования. Участие в настройке и улучшении детектирующих правил в MaxPatrol SIEM, Wazuh и политик реагирования в PT EDR. Ведение технической документации, написание отчетов по инцидентам (включая форензик-отчеты), составление рекомендаций по устранению уязвимостей. Что нам важно увидеть в кандидате обязательно (требования к позиции): Опыт работы в SOC не менее 1-2 лет на позиции L2 или аналогичной. Практический опыт работы с указанным стеком: Wazuh: понимание архитектуры, работа с алертами, знание модулей (FIM, CIS, Vulnerability Detector). MaxPatrol SIEM: уверенный поиск и анализ событий, построение базовых корреляционных правил, работа с отчетами. PT EDR (Positive Technologies Endpoint Detection & Response): навыки расследования инцидентов на конечных точках, работа с консолью управления, понимание механики обнаружения. Базовые навыки администрирования и анализа ОС: Windows: знание архитектуры, журналов событий (Event Log), реестра, PowerShell, типовых процессов и сервисов. Linux: знание базовых команд, структуры файловой системы, системных журналов (syslog, auditd, journalctl), процессов и демонов Навыки цифровой форензики: понимание принципов и практический опыт работы с инструментами для сбора и анализа артефактов(например, Autopsy, KAPE, Volatility, FTK Imager, OSForensics и пр.). Понимание жизненного цикла инцидента кибербезопасности (NIST, SANS). Знание сетевых протоколов (TCP/IP, HTTP/HTTPS, DNS). Умение анализировать логи различного формата Что нам желательно увидеть в кандидате (будет большим плюсом): Опыт написания скриптов (Python, PowerShell, Bash) для автоматизации рутинных задач и анализа данных. Глубокое знание тактик и техник злоумышленников (MITRE ATT&CK Framework) и умение применять их в расследовании. Базовые навыки анализа вредоносного ПО (статический/динамический анализ). Наличие сертификатов: СВКС, PT, FOR500 (FOR508), DFIR, GCFA, или аналогичных. Опыт работы с системами управления уязвимостями (VM) на базе MaxPatrol Почему выбирают Rossko / Blacklight-IT: Надёжность. Устойчивая компания с полностью белой зарплатой, прозрачными процессами и понятным управлением.Технологичность. Масштабные внутренние продукты, современная инфраструктура и экспертиза в 1С.Гибкость. Удалёнка, свободный график (старт 07:00–09:00 МСК), без переработок.Развитие. Обучение и курсы за счёт компании после испытательного срока, карьерный рост внутри ИТ-блока.Культура. Партнёрство, уважение, доверие — без микроменеджмента и бюрократии. Среди личных качеств наших сотрудников особенно ценим: профессионализм и стремление к развитию, умение работать самостоятельно, проактивность и системность, честность и ответственность, умение доброжелательно и конструктивно коммуницировать с коллегами и заказчиками Если вам хочется быть в экспертной среде и работать над действительно интересными проектами и доводить их до результата — присоединяйтесь к Blacklight-IT!Похожие вакансии
От 112 500 руб.
Новосибирск. Станции метро: Румянцево, Саларьево, Генерала Тюленева, Тропарево
Алабуга, ОЭЗ ППТ
Специалист по информационной безопасности (Инженер-аналитик) SOC L1
Договорная
Новосибирск. Станции метро: Румянцево, Саларьево, Генерала Тюленева, Тропарево
СофтМолл
Дежурный центра мониторинга SOC
Договорная
Новосибирск. Станции метро: Румянцево, Саларьево, Генерала Тюленева, Тропарево
Всесезонный курорт Манжерок
Ведущий специалист по информационной безопасности (Инженер-аналитик) SOC L2
Договорная
Новосибирск. Станции метро: Румянцево, Саларьево, Генерала Тюленева, Тропарево
СофтМолл
От 60 000 руб.
Новосибирск. Станции метро: Румянцево, Саларьево, Генерала Тюленева, Тропарево
Вебзайм
От 57 000 руб.
Новосибирск. Станции метро: Румянцево, Саларьево, Генерала Тюленева, Тропарево
Вебзайм