Аналитик ОЦИБ (SOC Analyst)

Что предстоит делать

• Расследование нетиповых инцидентов ИБ, подготовка рекомендаций для заказчиков по инцидентам ИБ;
• Исследование атак, разработка детектирующих сценариев по событиям различных источников;
• Анализ артефактов, полученных из различных источников, включая данные, собранные с хостов с использованием утилит для сбора информации.
• Работа с правилами корреляции событий: Создание и корректировка сценариев/правил корреляции для выявления инцидентов ИБ;
• Разработка и корректировка парсеров для событий, поступающих от различных источников;
• Разработка новых рабочих процессов/метрик ОЦИБ, отчетов, информационных панелей и процессов для повышения масштабируемости и эффективности ОЦИБ;
• Активное реагирование на сложные инциденты кибербезопасности, анализ форензик артефактов, выдача рекомендаций по результатам реагирования; - Корректировка шаблонов описания инцидентов и рекомендаций;
• Анализ клиентских опросников и приоритезация подключения источников клиентов;
• Анализ событий источников, определение полезных события, маппинг источников в единую модель данных; - Предоставление клиентам рекомендаций в рамках обнаруженных инцидентов ИБ;
• Определение целесообразности подключения источников клиентов; - Автоматизация процессов для решения задач обеспечения безопасности и улучшение возможностей и точности обнаружения угроз;
• Активное участие в аналитической работе, направленной на повышение качества обслуживания клиентов и улучшение процессов мониторинга и анализа ИБ;
• Исследование, поиск и выявление угроз (threathunting)
• Наличие высшего (или послевузовского) образования; - Опыт работы в области информационной безопасности не менее 3 (трех) лет и не менее 2 (двух) лет на аналогичной должности;
• Знание основ делопроизводства;
• Концепции выявления аномалий и реагирования на инциденты;
• Основы работы сетевых технологий (модель ISO/OSI, стек протокол TCP/IP, технологии локальных сетей, сетевых протоколов HTTP, FTP, SSH и др.);
• Понимание принципов компьютерной и сетевой безопасности, безопасности Web-приложений;
• Знание модели kill-chain, фреймворка ATT&CK и методов тестирования на проникновение;
• Опыт в проведении расследования ИБ.
• Понимание типовых сценариев инцидентов и знание процедур и методологий расследования и реагирования на них;
• Знание принципов аудита и опыт работы с различными операционными системами, включая Windows различные дистрибутивы Unix/Linux; - Уверенные знания работы средств защиты информации, таких как пограничные межсетевые экраны, антивирусное программное обеспечение,sandbox, EDR;
• Знание и понимание основ архитектуры современных корпоративных информационных систем; - Определение угроз безопасности информации и классификацию (категории) нарушений;
• Опыт проведения проверок работоспособности, настройки и оптимизации, интеграции источников журналов в технологии SIEM;
• Знание различных протоколов, форматов и программного обеспечения для сбора, анализа и доставки событий, таких как Syslog, CEF, JSON, nxlog, fluentd, logstash; Иметь опыт работы как минимум с одной из SIEM систем (QRadar, Splunk, MaxPatrol,Elastic и др.) с использоыванием Query Language (AQL, SQL, Splunk SPL, Elasticsearch Query DSL . Навыки bash, python и powershell.
• Опыт работы:
• не менее 3 (трех) лет в области информационной безопасности и не менее 2 (двух) лет в должности аналитика ОЦИБ
• Знание языков:
• Казахский – Свободный разговорный;
• Русский – Свободный разговорный, официальный;
• Английский – уровень B2 и выше.

Что предлагаем