Аналитик SOC | Специалист 3 линии SOC

Разработка и внедрение автоматизации (SOAR-подход):

• Создание скриптов и сценариев автоматизации (Python, PowerShell) для рутинных операций реагирования (изоляция хостов, сбор артефактов, блокировка IoC).
• Интеграция инструментов (Wazuh, MaxPatrol SIEM, PT EDR, тикетинг) для автоматизации процессов SOC.

Наставничество и развитие команды L1/L2:

• Обучение аналитиков методам расследования, работе с инструментами, ведению документации.
• Проведение воркшопов и тренировок по инцидентам.
• Постановка задач по улучшению мониторинга и качества расследований.

Развитие и оптимизация технологического стека SOC:

• Тонкая настройка правил корреляции в MaxPatrol SIEM, создание сложных логических детекторов.
• Разработка кастомизированных правил для Wazuh и сценариев реагирования для PT EDR.
• Оценка и внедрение новых инструментов и методологий.

Что нам важно увидеть в кандидате обязательно (требования к позиции):

• Опыт работы в SOC/IR-команде не менее 3-4 лет, с фокусом на расследование сложных инцидентов.
• Экспертный уровень владения стеком и смежными областями: MaxPatrol SIEM: глубокая настройка, написание сложных корреляций, оптимизация производительности. PT EDR: экспертное владение для проведения расследований, создание кастомных детекторов, понимание архитектуры. Wazuh: умение писать собственные правила (XML), настраивать деки, интегрировать с внешними системами.
• MaxPatrol SIEM: глубокая настройка, написание сложных корреляций, оптимизация производительности.
• PT EDR: экспертное владение для проведения расследований, создание кастомных детекторов, понимание архитектуры.
• Wazuh: умение писать собственные правила (XML), настраивать деки, интегрировать с внешними системами.
• Продвинутые навыки в администрировании и анализе ОС: глубокое понимание внутренних процессов Windows (WinAPI, работа с памятью) и Linux (ядро, системные вызовы) для целей форензики.
• Опыт автоматизации: базовое владение Python (основные библиотеки для парсинга логов, работы с API) и PowerShell/Bash для создания утилит автоматизации.
• Экспертиза в цифровой форензике: практический опыт работы с профессиональными инструментами (Velociraptor, X-Ways, AXIOM, Volatility, Rekall), понимание принципов работы файловых систем, памяти, форматов файлов.
• Глубокое знание MITRE ATT&CK Framework и умение применять его для hunting, расследований и создания детекторов.
• Навыки базового реверсинга и анализа вредоносного ПО (использование sandbox, анализ дампов, работа с дизассемблерами/дебаггерами на базовом уровне).

Экспертный уровень владения стеком и смежными областями:

• MaxPatrol SIEM: глубокая настройка, написание сложных корреляций, оптимизация производительности.
• PT EDR: экспертное владение для проведения расследований, создание кастомных детекторов, понимание архитектуры.
• Wazuh: умение писать собственные правила (XML), настраивать деки, интегрировать с внешними системами.

Что нам желательно увидеть в кандидате (будет большим плюсом):

• Опыт внедрения или работы с SOAR-платформами (TheHive, Cortex, Siemplify и др.).
• Наличие экспертных сертификатов: GCIH, GCFA, GNFA, GREM, OSCP.
• Опыт выступления на конференциях, написания технических статей.
• Опыт проведения пентестов или красных команд (Red Team) для понимания тактик противника.
• Знание сетевого анализа (пакетный уровень, анализ трафика в Wireshark)

Среди личных качеств наших сотрудников особенно ценим:

• профессионализм и стремление к развитию,
• умение работать самостоятельно, проактивность и системность,
• честность и ответственность,
• умение доброжелательно и конструктивно коммуницировать с коллегами и заказчиками