Аналитик SOC | Специалист 2 линии SOC

Вам предстоит:

• Расследование и реагирование на инциденты ИБ, глубокий анализ и эскалация тревог, ведение инцидентов от обнаружения до пост-мортема.
• Проведение цифровой форензики, сбор и анализ артефактов с компрометированных систем (Windows, Linux) с использованием специализированных инструментов.
• Анализ временных меток файловой системы, журналов событий, дампов оперативной памяти, автозапуска
• Восстановление цепочки действий злоумышленника на основе собранных доказательств.
• Работа с платформами SIEM и EDR, проактивный поиск следов компрометации и аномальной активности в корпоративной инфраструктуре с использованием возможностей EDR, SIEM и форензик-инструментов
• Работа с MaxPatrol SIEM: построение и оптимизация корреляционных правил, создание дашбордов и отчетов, расследование инцидентов на основе данных из различных источников.
• Работа с PT EDR: проведение Threat Hunting за угрозами, анализ цепочек выполнения процессов, изоляция зараженных узлов, сбор артефактов для расследования
• Работа с Wazuh: анализ событий безопасности с агентов, мониторинг целостности файлов (FIM), проверка соответствия стандартам (CIS), реагирование на алерты.
• Базовое администрирование и анализ ОС: понимание внутреннего устройства и типовых артефактов ОС для эффективного расследования.
• Участие в настройке и улучшении детектирующих правил в MaxPatrol SIEM, Wazuh и политик реагирования в PT EDR.
• Ведение технической документации, написание отчетов по инцидентам (включая форензик-отчеты), составление рекомендаций по устранению уязвимостей.

Что нам важно увидеть в кандидате обязательно (требования к позиции):

• Опыт работы в SOC не менее 1-2 лет на позиции L2 или аналогичной. Практический опыт работы с указанным стеком:

Что нам желательно увидеть в кандидате (будет большим плюсом):

• Опыт написания скриптов (Python, PowerShell, Bash) для автоматизации рутинных задач и анализа данных.
• Глубокое знание тактик и техник злоумышленников (MITRE ATT&CK Framework) и умение применять их в расследовании.
• Базовые навыки анализа вредоносного ПО (статический/динамический анализ).
• Наличие сертификатов: СВКС, PT, FOR500 (FOR508), DFIR, GCFA, или аналогичных.
• Опыт работы с системами управления уязвимостями (VM) на базе MaxPatrol

Среди личных качеств наших сотрудников особенно ценим:

• профессионализм и стремление к развитию,
• умение работать самостоятельно, проактивность и системность,
• честность и ответственность,
• умение доброжелательно и конструктивно коммуницировать с коллегами и заказчиками