Обязанности:
Условия: Трудоустраиваем за день и только по ТК РФ; Полностью белую зарплату. Обсуждаем её уровень на собеседовании и вместе принимаем решение; Регулярно повышаем зарплату с ростом скиллов и по результатам работы; ДМС после испытательного срока; Работу по гибкому графику, который вы выбираете сами; Формат работы на выбор: из дома или из офиса; Можем выдать технику для работы из дома. В любой точке РФ; Работу без KPI и тайм-трекингов; Современное рабочее место, кофемашины, плюшки; Полную оплату обучения; Компенсируем половину твоих трат на спорт; Стильный корпоративный мерч и библиотека. Работать можно дистанционно или в одном из наших основных офисов в Москве (БЦ Four Winds Plaza), Новосибирске (БЦ Речной вокзал) или Томске (Инструментальный 51а). Твои задачи: Подключение источников событий к SIEM; Разработка и доработка правил нормализации и фильтрации телеметрии; Внедрение механизмов/правил детектирования; Доработка правил корреляции с учетом особенностей инфраструктуры, создание и ведение базы исключений; Расследование и своевременная эскалация инцидентов ИБ; Документирование конфигурации, интеграций и инструкций по настройке систем. Мы ожидаем, что у тебя есть: Опыт работы в SOC; Опыт создания правил корреляции и их доработки в том числе с целью снижения количества ложноположительных событий; Опыт расследования инцидентов ИБ и разработки рекомендаций по их предотвращению; Опыт автоматизации внутренних процессов работы SIEM, SOAR; Опыт работы с Windows\Linux системами и понимание основных векторов атак на них; Знание основных векторов атак на сетевом уровне и уровне веб-приложений и API; Базовые знания написания скриптов (bash, PowerShell, Python); Понимание способов обнаружения основных векторов и типов атак, тактик и техник атакующих (CyberKill Chain, MITRE ATT&CK, TTP и т.д.); Понимание сетевой модели OSI, стека TCP/IP, сетевых протоколов HTTP/HTTPS, DNS, DHCP, ARP и т.д.; Умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД; Умение работать с Git, Gitlab; Углубленные знания по: SIEM системам (PT SIEM, ELK), OWASP, опыт работы с СЗИ (SIEM, NGFW, IDS\IPS, AV и др.). Преимуществом будет: Опыт обучения аналитиков первой линии; Опыт администрирования Windows / Unix–систем и СУБД; Опыт работы с системами MaxPatrol SIEM и другими продуктами Positive Technologies; Понимание архитектуры ИТ-систем производственных предприятий; Практический опыт в криминалистическом анализе артефактов (анализ дампов жестких дисков и памяти); Умение работать с Docker; Участие в CTF, Киберполигонах и т.п.