Специалист по информационной безопасности (EDR/SOC)

Что предстоит делать

О роли: Мы ищем специалиста по информационной безопасности, который будет участвовать в развитии системы СВР EDR с позиции практического пользователя, SOC-аналитика и эксперта по киберугрозам. Основная задача роли - помогать формировать требования к функциональности EDR, участвовать в настройке и эксплуатации системы для внутреннего использования, анализировать события безопасности, разрабатывать сценарии обнаружения угроз и предлагать улучшения продукта на основе актуального ландшафта угроз и практики расследования инцидентов.

• Аналитика требований и развитие продукта:
• Формировать функциональные и экспертные требования к системе СВР EDR в части информационной безопасности.
• Описывать сценарии работы SOC-аналитиков, администраторов ИБ и специалистов по реагированию на инциденты.
• Участвовать в проработке требований к сбору телеметрии с конечных устройств.
• Формировать требования к механизмам обнаружения угроз: IoC, IoA, поведенческие и корреляционные правила, исключения, подавления и приоритизация событий.
• Участвовать в проектировании сценариев реагирования на инциденты.
• Анализировать возможности EDR/XDR/SIEM/SOAR-решений и готовить предложения по развитию продукта.
• Участвовать в постановке задач для аналитиков, разработчиков и тестировщиков.
• Проверять реализованный функционал с точки зрения практической применимости для специалистов по ИБ.
• Подготавливать тестовые сценарии и экспертные заключения по новым функциям продукта.
• Участвовать в формировании пользовательской и технической документации.
• Эксплуатация и настройка СВР EDR:
• Администрировать и сопровождать внутреннюю инсталляцию СВР EDR.
• Настраивать политики контроля, правила обнаружения, исключения и сценарии реагирования.
• Контролировать качество собираемой телеметрии и выявлять пробелы в видимости на конечных устройствах.
• Анализировать срабатывания системы, расследовать ложноположительные и ложноотрицательные события.
• Подготавливать предложения по улучшению правил детектирования и механизмов реагирования.
• Вести базу внутренних кейсов, инцидентов, тестовых сценариев и предложений по развитию продукта.
• SOC-аналитика и мониторинг угроз:
• Анализировать события информационной безопасности на конечных устройствах.
• Расследовать подозрительную активность в Windows и Linux.
• Разрабатывать и актуализировать правила обнаружения на основе известных техник атак.
• Использовать MITRE ATT&CK для классификации техник и сценариев атак.
• Анализировать индикаторы компрометации (IoC) и поведенческие признаки атак.
• Отслеживать актуальные киберугрозы, вредоносные кампании и TTP злоумышленников.
• Формировать предложения по обнаружению и контролю актуальных угроз средствами СВР EDR.

Что ждём от вас

• Обязательный опыт:
• Опыт работы в области информационной безопасности от 3 лет.
• Практический опыт работы с SOC, SIEM, EDR, антивирусными решениями или средствами мониторинга и реагирования на инциденты.
• Понимание принципов работы EDR-систем: сбор телеметрии, анализ событий, детектирование, реагирование и расследование инцидентов.
• Опыт анализа событий безопасности в Windows и/или Linux.
• Понимание современных техник атак на конечные устройства, включая persistence, privilege escalation, credential access, lateral movement и command & control.
• Умение анализировать процессы, командные строки, сетевые соединения, файловые операции, службы и системные события.
• Опыт подготовки требований, пользовательских сценариев или технических задач для ИБ-систем.
• Необходимые знания:
• Классы решений ИБ: EDR, XDR, SIEM, SOAR, AV/NGAV, DLP, VM, IDS/IPS, межсетевые экраны.
• Windows и Linux с точки зрения информационной безопасности.
• Подходы к расследованию инцидентов на конечных устройствах.
• MITRE ATT&CK, IoC, IoA и TTP.
• Основы сетевого взаимодействия: TCP/IP, DNS, HTTP/HTTPS, TLS, VPN и прокси.
• Подходы к разработке и сопровождению правил обнаружения.
• Работа с ложноположительными срабатываниями, исключениями и подавлением событий.
• Основы безопасной разработки и проектирования защищённых систем.
• Современный ландшафт угроз информационной безопасности.
• Будет плюсом:
• Опыт работы аналитиком SOC уровня L2/L3.
• Опыт внедрения, эксплуатации или разработки EDR/XDR-решений.
• Опыт threat hunting.
• Опыт разработки пользовательских правил обнаружения.
• Опыт работы с Sigma, YARA, Suricata/Snort, Falco, STIX/TAXII.
• Опыт анализа Windows Event Log, Sysmon, Linux auditd, journald и аналогичной телеметрии.
• Базовые навыки malware analysis или reverse engineering.
• Опыт работы с MITRE ATT&CK, Atomic Red Team, Caldera, Prelude Operator и аналогичными инструментами.
• Опыт подготовки требований к продуктам информационной безопасности.
• Опыт работы на стороне вендора ИБ или интегратора.
• Понимание требований ФСТЭК, ФСБ, 187-ФЗ и 152-ФЗ.
• Профильное образование в области информационной безопасности.
• Личные качества:
• Аналитическое мышление и системный подход.
• Внимательность к деталям.
• Способность разбираться в сложных технических сценариях.
• Умение переводить практические задачи информационной безопасности в требования к продукту.
• Умение аргументированно предлагать улучшения и участвовать в развитии продукта.
• Готовность работать на стыке ИБ, разработки, аналитики и эксплуатации.
• Что предлагаем:
• Формат работы: офис / удалёнка / гибрид (на выбор);
• Оформление: ТК РФ, стабильная “белая” модель;
• Соцпакет: ДМС, доплата больничных до 100% (до 28 дней/год), 3 day-off, мобильная связь, техника;
• Обучение: внешние курсы/конференции, развитие инженерных компетенций;
• Годовые бонусы до 6 окладов;
• Возможность участия в госпрограммах поддержки ИТ (льготная ипотека и др.)