Обязанности:
- Мониторинг и анализ событий информационной безопасности в SIEM-системе.
- Выявление, первичная классификация и расследование инцидентов ИБ.
- Анализ причин возникновения инцидентов, определение вектора атаки и подготовка рекомендаций по устранению.
- Реагирование на инциденты безопасности, взаимодействие с ИТ-командами и контроль выполнения мероприятий по устранению.
- Проведение threat hunting и поиск признаков компрометации в инфраструктуре.
- Анализ и тюнинг правил корреляции для повышения качества детектирования и снижения количества ложных срабатываний(False Positive).
- Разработка и внедрение новых use-case'ов и сценариев обнаружения угроз.
- Построение, развитие и оптимизация процессов мониторинга и реагирования на инциденты информационной безопасности.
- Подготовка отчетов по инцидентам, выявленным угрозам и состоянию защищенности инфраструктуры.
- Администрирование и сопровождение SIEM-платформы (обновления, резервное копирование, контроль производительности, управление хранением данных).
- Подключение новых источников логирования, настройка парсеров, интеграций и нормализации событий.
- Интеграция SIEM с другими системами безопасности и ИТ-инфраструктурой (EDR, NDR, Vulnerability Management, Active Directory, почтовые системы, облачные сервисы и др.).
- Участие во внедрении и развитии SOAR-платформ, автоматизации процессов реагирования и разработке playbook.
- Анализ качества поступающих логов и полноты покрытия инфраструктуры средствами мониторинга.
- Поддержка и развитие команды SOC, помощь аналитикам L1, L2 в расследовании инцидентов, проведение обучения и обмен опытом внутри команды.
- Участие в разработке внутренних инструкций, регламентов и методик расследования инцидентов.
Требования:
- Высшее образование в области ИБ, ИТ или смежных направлениях.
- Опыт работы в информационной безопасности от 2 лет
- Практический опыт работы в SOC, информационной безопасности или администрировании SIEM-систем (IBM Qradar - обязательно).
- Понимание жизненного цикла инцидента информационной безопасности.
- Опыт расследования инцидентов и анализа событий безопасности.
- Знание сетевых технологий, протоколов, Windows/Linux и принципов построения ИТ-инфраструктуры.
- Опыт настройки и сопровождения правил корреляции, use-case'ов и механизмов оповещения.
- Навыки анализа и снижения False Positive, улучшения качества детектирования угроз.
- Понимание архитектуры QRadar (Console, Collectors, Processors, Data Nodes, HA и др.).
- Опыт работы с логами, отчетами, дашбордами, AQL-запросами и расследованием Offense в QRadar.
- Опыт интеграции систем через Syslog, WinCollect, REST API и другие механизмы сбора событий.
- Желание развивать процессы мониторинга и повышать эффективность SOC.
Будет преимуществом:
- Опыт работы с SOAR-платформами
- Знания MITRE ATT&CK, IOC и современных методов обнаружения угроз.
Условия:
- Достойную заработную плата;
- Годовой отпуск 24 дн + 4 дополнительных дня (при использовании 24 дн.);
- После испытательного срока частичная компенсация от компании по категориям:
-
1. Медицина (приёмы врачей, анализы, медикаменты, УЗИ, МРТ и т. п.)
2. Образование (курсы, книги, обучение в школах и дет сады для детей)
3. Фитнес (тренажерные залы, спортивные секции, танцы, бассейн, йога и т. п.)
4. Путешествия (путевки за пределы и внутри РК, авиа и Ж/Д билеты, гостиницы)
- Мобильную связь;
- Возможность как вертикального, так и горизонтального карьерного роста.