Специалист по информационной безопасности (SIEM)

Что предстоит делать

Навыки: SIEM, Kubernetes, REST, SQL, Git. Специализации: Специалист по информационной безопасности. **Проект:** Мы разрабатываем систему Ankey SIEM с 2018 года для централизованного управления безопасностью, событиями и информацией, которая эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры. Команда за это время довольно сильно разрослась с 6 до 60+ человек. **Задачи:****** - ****Развёртывание стендов с программными комплексами (источниками событий), которые необходимо подключить к SIEM; - Изучение реализованных в источниках событий механизмов обеспечения информационной безопасности (управления пользователями, правами, настройки режимов и т.п.) на основе документации и моделирования событий на стенде; - Самостоятельно получение выборки со стенда с использованием всех поддерживаемых SIEM способов сбора событий (syslog, plain text, sql, rest api); - Взаимодействие с организациями, эксплуатирующими или планирующими внедрение источников событий с целью получения образцов логов (выгрузки с объекта), включая консультирование по методам сбора сообщений; - Выделение уникального набора сообщений из полученных с объекта или со стенда выборок (дедупликация); - Выделение из уникального набора сообщений, относящихся к событиям информационной безопасности; - Анализ возможных векторов атаки на источник событий и формирование набора событий ИБ, подлежащих обработке в SIEM, на основе публичных ресурсов ИБ (MITRE, CVE, OWASP top 10 и т.п), а также внутренних наработок компании; - Выделение в теле сообщений значимых параметров (например, имени пользователя, адреса, наименования системы и т.п.), описание их назначения и установление соответствия между этими параметрами и полями данных внутренней базы данных SIEM (маппинг); - Описание полученных в ходе исследования источника событий знаний в виде стандартизованного описания (Тех. Задания) для передачи в команду разработки; - Взаимодействие с командой разработки по задачам создания механизмов обработки событий (уточнение требований и курирование вопросов интеграций); - Участие в планировании работ по профилю (в направлении интеграций с SIEM); - Участие в развитии направления (исследования новых технологий и оценка перспектив развития ПО в секторе ИТ/ИБ). **Ожидания:** - Опыт работы с Linux Server/Windows Server; - Опыт работы с сетевым оборудованием (управляемые свитчи, маршрутизаторы); - Опыт работы с CУБД (SQL); - Опыт работы с инфраструктурными сервисами (DNS/DHCP/AD/NTP/SMTP, гипервизоры, системы мониторинга и резервирования, системы резервного копирования, CMDB и пр.); - [КАЮ1] [КАЮ2] Навыки преобразования бизнес-требований в технические задачи; - Понимание принципов работы SIEM (желателен опыт подключения к SIEM информационных систем, не поддерживаемых «из коробки», то есть самостоятельное изучение источника + написание нормализатора + правил корреляции, понимание механизмов сбора событий (SQL,RestFull API, Syslog, SNMP, OPSEC, JSON, SCP (SSH), FTP)); - Навыки обработки текстовой информации (regular expressions, запросы SQL, обработка данных средствами Excel, группировка, выделение фрагментов данных, фильтрация и т.п.). **Будет плюсом (необязательно):** - Опыт работы с Git; - Опыт работы с СрЗИ (AV/DLP/FW/IPS&IDS/SOAR/IRP/); - Навыки работы с Docker (K8S как доп. преимущество); - Навыки работы со скриптовыми языками программирования (Bash, PowerShell, Python, Curl и пр.); - Опыт в написании кейсов ИБ (логическое описание сигнатур); - Знания принципов, методов, техник и инструментов проведения современных компьютерных атак (понимание тактик и техник фреймворка MITRE); - Знание основных нормативных требований Федерального законодательства и регуляторов в области защиты информации; - Наличие сертификатов по направлению ИТ/ИБ. **Условия работы:** - Оформление по **ТК РФ** (больничные, оплачиваемые отпуска) или **ИП **(можно рассматривать как дополнительный проект); - Удаленный формат работы; - Аккредитованная ИТ-компания (бронь/отсрочка, ИТ-ипотека); - Интересные задачи на крупных проектах; - Возможность профессионального, карьерного роста.