Аналитик SOC (L2)

Что предстоит делать

Навыки: Информационная безопасность, SIEM. Специализации: Аналитик SOC. ## **Вам предстоит:** - Расследование и реагирование на инциденты ИБ, глубокий анализ и эскалация тревог, ведение инцидентов от обнаружения до пост-мортема. - Проведение цифровой форензики, сбор и анализ артефактов с компрометированных систем (Windows, Linux) с использованием специализированных инструментов. - Анализ временных меток файловой системы, журналов событий, дампов оперативной памяти, автозапуска - Восстановление цепочки действий злоумышленника на основе собранных доказательств. - Работа с платформами SIEM и EDR, проактивный поиск следов компрометации и аномальной активности в корпоративной инфраструктуре с использованием возможностей EDR, SIEM и форензик-инструментов - Работа с MaxPatrol SIEM: построение и оптимизация корреляционных правил, создание дашбордов и отчетов, расследование инцидентов на основе данных из различных источников. - Работа с PT EDR: проведение Threat Hunting за угрозами, анализ цепочек выполнения процессов, изоляция зараженных узлов, сбор артефактов для расследования - Работа с Wazuh: анализ событий безопасности с агентов, мониторинг целостности файлов (FIM), проверка соответствия стандартам (CIS), реагирование на алерты. - Базовое администрирование и анализ ОС: понимание внутреннего устройства и типовых артефактов ОС для эффективного расследования. - Участие в настройке и улучшении детектирующих правил в MaxPatrol SIEM, Wazuh и политик реагирования в PT EDR. - Ведение технической документации, написание отчетов по инцидентам (включая форензик-отчеты), составление рекомендаций по устранению уязвимостей. *Что нам **важно **увидеть в кандидате **обязательно **(требования к позиции):* - **Опыт работы в SOC не менее 1-2 лет на позиции L2 или аналогичной. **Практический опыт работы с указанным стеком: - Wazuh: понимание архитектуры, работа с алертами, знание модулей (FIM, CIS, Vulnerability Detector). - MaxPatrol SIEM: уверенный поиск и анализ событий, построение базовых корреляционных правил, работа с отчетами. - PT EDR (Positive Technologies Endpoint Detection & Response): навыки расследования инцидентов на конечных точках, работа с консолью управления, понимание механики обнаружения. - **Базовые навыки администрирования и анализа ОС:** - Windows: знание архитектуры, журналов событий (Event Log), реестра, PowerShell, типовых процессов и сервисов. - Linux: знание базовых команд, структуры файловой системы, системных журналов (syslog, auditd, journalctl), процессов и демонов - **Навыки цифровой форензики: **понимание принципов и практический опыт работы с инструментами для сбора и анализа артефактов(например, Autopsy, KAPE, Volatility, FTK Imager, OSForensics и пр.). - **Понимание жизненного цикла инцидента кибербезопасности **(NIST, SANS). - **Знание сетевых протоколов **(TCP/IP, HTTP/HTTPS, DNS). - **Умение анализировать логи различного формата** *Что нам **желательно **увидеть в кандидате (будет большим плюсом):* - Опыт написания скриптов (Python, PowerShell, Bash) для автоматизации рутинных задач и анализа данных. - Глубокое знание тактик и техник злоумышленников (MITRE ATT&CK Framework) и умение применять их в расследовании. - Базовые навыки анализа вредоносного ПО (статический/динамический анализ). - Наличие сертификатов: СВКС, PT, FOR500 (FOR508), DFIR, GCFA, или аналогичных. - Опыт работы с системами управления уязвимостями (VM) на базе MaxPatrol **Среди личных качеств наших сотрудников особенно ценим: ** - профессионализм и стремление к развитию, - умение работать самостоятельно, проактивность и системность, - честность и ответственность, - умение доброжелательно и конструктивно коммуницировать с коллегами и заказчиками **Условия:**** Надёжность.** Устойчивая компания с полностью белой зарплатой, прозрачными процессами и понятным управлением. **Технологичность.**** **Масштабные внутренние продукты, современная инфраструктура и экспертиза в 1С. **Гибкость.**** Удалёнка, свободный график (старт 07:00–09:00 МСК), без переработок.** **Развитие.**** **Обучение и курсы за счёт компании после испытательного срока, карьерный рост внутри ИТ-блока. **Культура.**** **Партнёрство, уважение, доверие — без микроменеджмента и бюрократии.