Аналитик SOC at BTS Digital — NeverHard

Обязанности: Углубленный анализ инцидентов ИБ, эскалированных с L1 Подтверждение/опровержение инцидентов на основе дополнительного анализа логов и сетевого трафика Проведение расследований: определение вектора атаки, масштаба инцидента Первичное реагирование: изоляция узлов, блокировка учетных записей, ограничение доступа, взаимодействие с админами Создание и оптимизация корреляционных правил и сценариев в SIEM Тюнинг систем мониторинга (уменьшение количества false positive) Подготовка отчетов по инцидентам и предложение мер по устранению уязвимостей Обогащение базы знаний SOC новыми сценариями атак Взаимодействие с L3/DFIR/Threat Intelligence для эскалации сложных инцидентов Требования: Уверенные знания ОС Windows/Linux, навыки работы с логами, журналами безопасности Углубленное понимание архитектуры сетей и протоколов (TCP/IP, DNS, HTTP/S, SMTP, SMB и др.) Опыт работы с SIEM такие как Splunk, QRadar, ELK, и др. и разработка и настройка корреляционных правил Навыки работы с системами защиты (IDS/IPS, WAF, EDR, DLP, MDM, Sandbox) Умение анализировать сетевой трафик (Wireshark, tcpdump) и артефакты атак (IOC, PCAP, Sysmon-логи) Опыт расследования фишинговых атак, malware-инцидентов, bruteforce, privilege escalation и так далее Знание методологий и стандартов: MITRE ATT&CK, Cyber Kill Chain, NIST Incident Handling Навыки скриптинга (Python, Bash, PowerShell) для автоматизации расследований Английский язык на уровне уверенного чтения тех. документации и написания отчетов/переписки с вендорами Желательные навыки Опыт реверс-инжиниринга или форензики (DFIR) Знание облачных платформ (AWS, Azure, GCP) и систем контейнеризации (Docker, Kubernetes) Опыт работы с Threat Intelligence платформами Сертификаты: CompTIA CySA+, GCIA, GCIH, ECIH или вендорские Splunk, QRadar и так далее