NeverHard
Senior SecOps / Threat Hunting / Detection Engineer at IT Холдинг Kazdream — NeverHard
Senior SecOps / Threat Hunting / Detection Engineer at IT Холдинг Kazdream in Астана. Apply on NeverHard.
- Company
- IT Холдинг Kazdream
- Location
- Астана
- Type
- not_specified
Задачи: Мониторинг, анализ и обеспечение visibility событий безопасности корпоративной инфраструктуры. Развитие и сопровождение процессов: Security Monitoring, Detection Engineering, Threat Hunting, Incident Investigation, Security Visibility. Разработка и сопровождение detection use-cases и detection logic для: SIEM, IDS/IPS, EDR/XDR, network monitoring systems, authentication telemetry. Разработка: IOC-based detection, TTP-based detection, behavior-based detection, anomaly detection сценариев. Разработка и оптимизация: correlation rules, anomaly detection rules, alert enrichment, threat detection pipelines. Контроль качества detection coverage и выявление blind spots в monitoring visibility. Контроль полноты: security telemetry, centralized logging, event visibility, detection coverage. Формирование требований к: security logging, telemetry collection, event correlation, monitoring coverage. Работа с SIEM-системами: анализ корреляции событий, enrichment security events, IOC correlation, ATT&CK mapping, выявление аномалий, анализ gaps в visibility инфраструктуры. Анализ telemetry data из: SIEM, EDR/XDR, network telemetry, authentication logs, centralized logging systems. Проведение hypothesis-driven threat hunting на основе: ATT&CK, IOC, telemetry, anomalous behavior, attacker TTP. Выявление признаков: persistence, lateral movement, credential abuse, command & control, privilege escalation, defense evasion. Проведение incident investigation и reconstruction attack chain. Анализ: IOC, TTP, malicious activity, attacker behavior, compromise scope. Координация и участие в расследовании инцидентов безопасности. Подготовка: containment recommendations, eradication recommendations, remediation recommendations, detection improvement recommendations. Использование Threat Intelligence для: enrichment, IOC correlation, ATT&CK mapping, detection improvement. Анализ сетевого трафика и telemetry data с использованием: Wireshark, tcpdump, NetFlow/sFlow, Zeek или аналогичных инструментов. Участие в процессе Vulnerability Management в части: attack surface analysis, externally exposed services, exploitation visibility, threat exposure analysis. Контроль и анализ: security visibility, uncontrolled infrastructure zones, detection blind spots, telemetry gaps. Разработка и сопровождение: detection standards, monitoring use-cases, incident investigation procedures, detection recommendations. Подготовка: incident reports, attack chain reports, detection recommendations, IOC reports, threat hunting reports. Взаимодействие с Infrastructure, DevOps: detections, incident investigation, telemetry, threat visibility. Что мы ожидаем: Высшее образование в области информационных технологий или информационной безопасности. Опыт работы в SecOps, Detection Engineering, Threat Hunting, SOC или Incident Response не менее 4–5 лет. Отличное понимание: detection engineering, threat hunting, IOC/TTP analysis, attack chain analysis, incident investigation, telemetry analysis. Практический опыт разработки detection logic для: SIEM, IDS/IPS, EDR/XDR, authentication telemetry. Практический опыт работы с: SIEM, EDR/XDR, IDS/IPS, Threat Intelligence, centralized logging systems. Опыт работы с SIEM-платформами: ELK, Splunk, QRadar, Sentinel или аналогичными решениями. Практический опыт: IOC-based detection, TTP-based detection, behavior-based detection, anomaly detection. Опыт разработки: correlation rules, detection use-cases, alert enrichment, monitoring pipelines. Практический опыт проведения: threat hunting, incident investigation, attack chain reconstruction, compromise analysis. Понимание MITRE ATT&CK в части: Initial Access, Execution, Persistence, Defense Evasion, Credential Access, Discovery, Lateral Movement, Command and Control, Exfiltration. Понимание: attacker behavior, TTP, IOC lifecycle, detection blind spots, telemetry gaps. Практический опыт анализа telemetry data: network telemetry, authentication telemetry, endpoint telemetry, cloud telemetry. Опыт анализа: malicious traffic, credential abuse, lateral movement, command & control activity, persistence mechanisms. Опыт работы с: Wireshark, tcpdump, NetFlow/sFlow, Zeek или аналогичными инструментами. Понимание: centralized logging, telemetry pipelines, security visibility, detection coverage. Базовое понимание: Linux, Windows, cloud infrastructure, networking в контексте incident investigation и telemetry analysis. Навыки автоматизации и скриптинга: Python, Bash, PowerShell — будут преимуществом. Опыт анализа malware behavior — будет преимуществом. Понимание процессов Vulnerability Management и exploitation visibility. Аналитическое мышление, способность самостоятельно расследовать инциденты и принимать технические решения в условиях инцидента. Умение взаимодействовать с DevOps, Infrastructure, SOC и Security командами. Умение документировать: attack chain, IOC, TTP, technical findings, detection recommendations. Дополнительные требования: Понимание: Threat Intelligence, ATT&CK-based detection, detection maturity, security telemetry architecture. Опыт интеграции: SIEM, EDR/XDR, IDS/IPS, Threat Intelligence Platform, centralized monitoring systems. Понимание принципов: hybrid infrastructure visibility, Kubernetes telemetry, container security visibility. Понимание современных TTP атакующих групп. Приветствуются сертификаты: Security+, Splunk, GCIA, GCIH, Blue Team certifications. Уверенное чтение технической документации на английском языке.