Аналитик SIEM

АО "Альтиус Лаб" оказывает комплекс услуг по систематизации деятельности и формированию единого подхода в области информационной безопасности любых предприятий. Реализуем комплексные проекты по обеспечению информационной безопасности, включая проектирование, внедрение и поддержку систем информационной безопасности.В связи с увеличением объема оказываемых услуг, в поисках аналитика SIEM. Обязанности: 1. Разработка и пополнение базы правил корреляции событий безопасности для SIEM; 2. Анализ и проектирование сценариев атак на основе реальных TTP (MITRE ATT&CK, отчёты, результаты пентестов); 3. Адаптация правил корреляции из других SIEM под используемый DSL; 4. Формирование требований к логированию для корректной работы правил корреляции; 5. Улучшение качества и полноты собираемых событий безопасности; 6. Подготовка описаний правил корреляции и логики их работы; 7. Участие в доработках правил по результатам обратной связи и практического применения; 8. Взаимодействие с внутренними командами (пентест, разработка, аналитика) при формировании сценариев обнаружения; Требования: 1.Понимание принципов работы SIEM-систем и корреляции событий безопасности; 2. Понимание логики атак на инфраструктуру и приложения (Windows, Linux, Active Directory, сетевые сервисы); 3. Опыт анализа логов безопасности из различных источников (ОС, AD, сетевые устройства, EDR и др.); 4. Умение разбирать сценарии атак и переводить их в формальные условия обнаружения; 5. Навыки работы с правилами корреляции, фильтрами, условиями, временными окнами; 6. Способность самостоятельно исследовать новые техники атак и способы их детектирования; 7. Умение работать с плохо документированными или нишевыми решениями. Будет плюсом: 1. Опыт работы с любыми SIEM (Splunk, QRadar, ArcSight, MaxPatrol SIEM, KUMA и др.). 2. Знание MITRE ATT&CK и практический опыт построения use-case’ов обнаружения. 3. Опыт участия в пентестах или взаимодействия с пентест-командами. 4. Навыки анализа ложных срабатываний и повышения качества детектирования. 5. Понимание принципов построения SOC (без необходимости в эксплуатации). Условия: 1.Оформление по ТК РФ, полностью «белая» заработная плата. 2.Работа в аккредитованной ИТ-компании. 3.ДМС после 6 месяцев работы. 4.Обучение и сертификация за счёт работодателя (курсы, конференции, тренинги у вендоров).