Аналитик SIEM

АО "Альтиус Лаб" оказывает комплекс услуг по систематизации деятельности и формированию единого подхода в области информационной безопасности любых предприятий. Реализуем комплексные проекты по обеспечению информационной безопасности, включая проектирование, внедрение и поддержку систем информационной безопасности.В связи с увеличением объема оказываемых услуг, в поисках аналитика SIEM.

Обязанности:

1. Разработка и пополнение базы правил корреляции событий безопасности для SIEM;

2. Анализ и проектирование сценариев атак на основе реальных TTP (MITRE ATT&CK, отчёты, результаты пентестов);

3. Адаптация правил корреляции из других SIEM под используемый DSL;

4. Формирование требований к логированию для корректной работы правил корреляции;

5. Улучшение качества и полноты собираемых событий безопасности;

6. Подготовка описаний правил корреляции и логики их работы;

7. Участие в доработках правил по результатам обратной связи и практического применения;

8. Взаимодействие с внутренними командами (пентест, разработка, аналитика) при формировании сценариев обнаружения;

Требования:

1.Понимание принципов работы SIEM-систем и корреляции событий безопасности;

2. Понимание логики атак на инфраструктуру и приложения (Windows, Linux, Active Directory, сетевые сервисы);

3. Опыт анализа логов безопасности из различных источников (ОС, AD, сетевые устройства, EDR и др.);

4. Умение разбирать сценарии атак и переводить их в формальные условия обнаружения;

5. Навыки работы с правилами корреляции, фильтрами, условиями, временными окнами;

6. Способность самостоятельно исследовать новые техники атак и способы их детектирования;

7. Умение работать с плохо документированными или нишевыми решениями.

Будет плюсом:

1. Опыт работы с любыми SIEM (Splunk, QRadar, ArcSight, MaxPatrol SIEM, KUMA и др.).

2. Знание MITRE ATT&CK и практический опыт построения use-case’ов обнаружения.

3. Опыт участия в пентестах или взаимодействия с пентест-командами.

4. Навыки анализа ложных срабатываний и повышения качества детектирования.

5. Понимание принципов построения SOC (без необходимости в эксплуатации).

Условия:

1.Оформление по ТК РФ, полностью «белая» заработная плата.

2.Работа в аккредитованной ИТ-компании.

3.ДМС после 6 месяцев работы.

4.Обучение и сертификация за счёт работодателя (курсы, конференции, тренинги у вендоров).