Обязанности:
О роли: Мы ищем специалиста по информационной безопасности, который будет участвовать в развитии системы СВР EDR с позиции практического пользователя, SOC-аналитика и эксперта по киберугрозам. Основная задача роли - помогать формировать требования к функциональности EDR, участвовать в настройке и эксплуатации системы для внутреннего использования, анализировать события безопасности, разрабатывать сценарии обнаружения угроз и предлагать улучшения продукта на основе актуального ландшафта угроз и практики расследования инцидентов. Чем предстоит заниматься Аналитика требований и развитие продукта: Формировать функциональные и экспертные требования к системе СВР EDR в части информационной безопасности. Описывать сценарии работы SOC-аналитиков, администраторов ИБ и специалистов по реагированию на инциденты. Участвовать в проработке требований к сбору телеметрии с конечных устройств. Формировать требования к механизмам обнаружения угроз: IoC, IoA, поведенческие и корреляционные правила, исключения, подавления и приоритизация событий. Участвовать в проектировании сценариев реагирования на инциденты. Анализировать возможности EDR/XDR/SIEM/SOAR-решений и готовить предложения по развитию продукта. Участвовать в постановке задач для аналитиков, разработчиков и тестировщиков. Проверять реализованный функционал с точки зрения практической применимости для специалистов по ИБ. Подготавливать тестовые сценарии и экспертные заключения по новым функциям продукта. Участвовать в формировании пользовательской и технической документации. Эксплуатация и настройка СВР EDR: Администрировать и сопровождать внутреннюю инсталляцию СВР EDR. Настраивать политики контроля, правила обнаружения, исключения и сценарии реагирования. Контролировать качество собираемой телеметрии и выявлять пробелы в видимости на конечных устройствах. Анализировать срабатывания системы, расследовать ложноположительные и ложноотрицательные события. Подготавливать предложения по улучшению правил детектирования и механизмов реагирования. Вести базу внутренних кейсов, инцидентов, тестовых сценариев и предложений по развитию продукта. SOC-аналитика и мониторинг угроз: Анализировать события информационной безопасности на конечных устройствах. Расследовать подозрительную активность в Windows и Linux. Разрабатывать и актуализировать правила обнаружения на основе известных техник атак. Использовать MITRE ATT&CK для классификации техник и сценариев атак. Анализировать индикаторы компрометации (IoC) и поведенческие признаки атак. Отслеживать актуальные киберугрозы, вредоносные кампании и TTP злоумышленников. Формировать предложения по обнаружению и контролю актуальных угроз средствами СВР EDR. Мы ожидаем Обязательный опыт: Опыт работы в области информационной безопасности от 3 лет. Практический опыт работы с SOC, SIEM, EDR, антивирусными решениями или средствами мониторинга и реагирования на инциденты. Понимание принципов работы EDR-систем: сбор телеметрии, анализ событий, детектирование, реагирование и расследование инцидентов. Опыт анализа событий безопасности в Windows и/или Linux. Понимание современных техник атак на конечные устройства, включая persistence, privilege escalation, credential access, lateral movement и command & control. Умение анализировать процессы, командные строки, сетевые соединения, файловые операции, службы и системные события. Опыт подготовки требований, пользовательских сценариев или технических задач для ИБ-систем. Необходимые знания: Классы решений ИБ: EDR, XDR, SIEM, SOAR, AV/NGAV, DLP, VM, IDS/IPS, межсетевые экраны. Windows и Linux с точки зрения информационной безопасности. Подходы к расследованию инцидентов на конечных устройствах. MITRE ATT&CK, IoC, IoA и TTP. Основы сетевого взаимодействия: TCP/IP, DNS, HTTP/HTTPS, TLS, VPN и прокси. Подходы к разработке и сопровождению правил обнаружения. Работа с ложноположительными срабатываниями, исключениями и подавлением событий. Основы безопасной разработки и проектирования защищённых систем. Современный ландшафт угроз информационной безопасности. Будет плюсом: Опыт работы аналитиком SOC уровня L2/L3. Опыт внедрения, эксплуатации или разработки EDR/XDR-решений. Опыт threat hunting. Опыт разработки пользовательских правил обнаружения. Опыт работы с Sigma, YARA, Suricata/Snort, Falco, STIX/TAXII. Опыт анализа Windows Event Log, Sysmon, Linux auditd, journald и аналогичной телеметрии. Базовые навыки malware analysis или reverse engineering. Опыт работы с MITRE ATT&CK, Atomic Red Team, Caldera, Prelude Operator и аналогичными инструментами. Опыт подготовки требований к продуктам информационной безопасности. Опыт работы на стороне вендора ИБ или интегратора. Понимание требований ФСТЭК, ФСБ, 187-ФЗ и 152-ФЗ. Профильное образование в области информационной безопасности. Личные качества: Аналитическое мышление и системный подход. Внимательность к деталям. Способность разбираться в сложных технических сценариях. Умение переводить практические задачи информационной безопасности в требования к продукту. Умение аргументированно предлагать улучшения и участвовать в развитии продукта. Готовность работать на стыке ИБ, разработки, аналитики и эксплуатации. Что предлагаем: Формат работы: офис / удалёнка / гибрид (на выбор); Оформление: ТК РФ, стабильная “белая” модель; Соцпакет: ДМС, доплата больничных до 100% (до 28 дней/год), 3 day-off, мобильная связь, техника; Обучение: внешние курсы/конференции, развитие инженерных компетенций; Годовые бонусы до 6 окладов; Возможность участия в госпрограммах поддержки ИТ (льготная ипотека и др.)Похожие вакансии
Аналитик информационной безопасности
Договорная
Москва
ГКУ Центр организации дорожного движения Правительства Москвы