other

SOC-аналитик (мониторинг и реагирование на инциденты ИБ)

Более недели назад

От 132 000 до 366 000 руб.

Город: Салехард

ГКУ Ресурсы Ямала

Тип занятости: Полная занятость

Требуемый опыт: Опыт от 3 лет

ГКУ «Ресурсы Ямала» — оператор цифровой инфраструктуры Ямало-Ненецкого автономного округа: региональный дата-центр, магистральные и защищённые сети для органов власти и государственные информационные системы, которыми ежедневно пользуются десятки ведомств и сотни тысяч жителей округа. Вы будете строить центр мониторинга и реагирования (SOC) окружного оператора КИИ: threat hunting, цифровая криминалистика (DFIR) и Threat Intelligence на реальном потоке событий целого региона. Это позиция для архитектора — вы будете формировать процессы, корреляционный контент и плейбуки под себя. Обязанности: — Мониторить события ИБ и разбирать алерты SIEM (MaxPatrol SIEM, KUMA): классифицировать инциденты, участвовать в контент-инжиниринге корреляционных правил — Анализировать данные NDR/IDS (PT NAD, ViPNet IDS, Suricata) и EDR, выявлять аномалии и подозрительную активность — Контролировать покрытие источников журналов событий, находить и закрывать слепые зоны мониторинга — Вести полный цикл реагирования на инциденты — обнаружение, анализ, локализацию, ликвидацию, восстановление и извлечение уроков; формировать и отслеживать метрики SOC (MTTD/MTTR) — Работать в команде реагирования (CSIRT) уровня L2/L3, координировать владельцев сервисов и подрядчиков — Проводить threat hunting регулярными циклами на основе матрицы MITRE ATT&CK Enterprise — Вести Threat Intelligence: работу с фидами, интеграцию индикаторов компрометации в средства защиты и мониторинга, обмен индикаторами с НКЦКИ — Поддерживать каталог плейбуков и runbooks для приоритетных сценариев (шифровальщики, фишинг, компрометация привилегированных учётных записей, DDoS, атаки на веб-ресурсы, инсайдер) и автоматизировать реагирование средствами SOAR — Взаимодействовать с ГосСОПКА и НКЦКИ по компьютерным инцидентам; обеспечивать готовность к категорированию и учёту объектов КИИ — Участвовать в цифровой криминалистике (DFIR): сбор и фиксация доказательств, анализ артефактов оперативной памяти и дисков, восстановление цепочки атаки — Участвовать в управлении уязвимостями: сканирование (MaxPatrol VM, RedCheck), риск-ориентированный backlog, контроль SLA по устранению, приоритизация по CVSS/EPSS/SSVC и построение моделей угроз на базе MITRE ATT&CK — Поддерживать реестр информационных активов, потоков и внешних зависимостей во взаимодействии с CMDB, анализировать безопасность цепочки поставок (supply chain security), участвовать в эмуляции действий атакующего (purple team) для валидации детектов Требования: — Опыт от 3 лет в мониторинге и реагировании на инциденты ИБ, анализе эффективности средств защиты информации или управлении уязвимостями — Высшее образование по направлениям «Информационная безопасность», «Компьютерные и информационные науки» или «Информатика и вычислительная техника» — Уверенное владение SIEM на уровне аналитика (корреляционные правила, расследование алертов) — MaxPatrol SIEM, KUMA или аналоги — Опыт работы с системами класса NDR/IDS и EDR, уверенный анализ сетевого трафика и журналов событий — Знание матрицы MITRE ATT&CK Enterprise: тактики, техники, процедуры, моделирование угроз — Понимание процесса реагирования на инциденты (ГОСТ Р 59709/59710/59711-2022, NIST SP 800-61) и ключевых метрик SOC (MTTD, MTTR) — Опыт работы с процессами Threat Intelligence: фиды, индикаторы компрометации — Навыки управления уязвимостями и их приоритизации по CVSS/EPSS/SSVC — Уверенная работа с Linux и Windows — Понимание профильных требований регуляторов в сфере ИБ, порядка категорирования объектов КИИ и взаимодействия с НКЦКИ/ГосСОПКА (187-ФЗ, 152-ФЗ, 149-ФЗ) — Чтение технической документации на английском (ATT&CK, CVE, threat-репорты, вендорская документация) — Готовность оперативно подключаться к разбору инцидентов вне обычного графика при серьёзных угрозах Будет плюсом: — Опыт работы в SOC/CSIRT и участия в разборе крупных инцидентов — Практический опыт цифровой криминалистики (DFIR) — Отраслевые сертификаты по ИБ (например, GCIH, GCFA, OSCP или отечественные аналоги) — Практический опыт с продуктами Positive Technologies и «Лаборатории Касперского» — Опыт threat hunting и построения корреляционного контента с нуля — Опыт эмуляции противника (purple team) и валидации детектов, включая навыки пентеста/Red Team — Навыки автоматизации анализа (Python, работа с API SIEM/SOAR) — Опыт участия в CTF-соревнованиях или программах bug bounty — Знание основ supply chain security и работы с CMDB Условия: Фиксированный оклад плюс ежемесячная премия за результат — сильный специалист выходит в верхнюю часть диапазона. Премия зависит от реально применяемых навыков и выполнения измеримых показателей, а за запущенные и востребованные округом проекты действует дополнительная надбавка. — Частичная компенсация аренды жилья — Бюджет на профессиональное обучение и профильные сертификации по ИБ — Задачи регионального масштаба и влияние на архитектуру SOC и процессов реагирования

Показать контакты

Имя не указано

Пожаловаться ID: 156037382

Похожие вакансии

SOC-аналитик

От 132 000 до 366 000 руб.

Салехард

ГОСУДАРСТВЕННОЕ КАЗЁННОЕ УЧРЕЖДЕНИЕ "РЕСУРСЫ ЯМАЛА"

Аналитик

От 100 000 до 100 000 руб.

Салехард

ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ "СИТУАЦИОННЫЙ ЦЕНТР ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА"

Ведущий аналитик

От 80 000 до 90 000 руб.

Салехард

ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ УЧРЕЖДЕНИЕ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ"

Ведущий аналитик

От 72 000 до 80 000 руб.

Салехард

ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ УЧРЕЖДЕНИЕ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ"

Курьер на дом

Договорная

Салехард

RWB (Wildberries & Russ)

Разнорабочий на стройку

От 110 000 руб.

Салехард

ПОЛАТИ