Аналитик SIEM
Альтиус ЛабОписание
АО "Альтиус Лаб" оказывает комплекс услуг по систематизации деятельности и формированию единого подхода в области информационной безопасности любых предприятий. Реализуем комплексные проекты по обеспечению информационной безопасности, включая проектирование, внедрение и поддержку систем информационной безопасности.В связи с увеличением объема оказываемых услуг, в поисках аналитика SIEM.
Обязанности:
1. Разработка и пополнение базы правил корреляции событий безопасности для SIEM;
2. Анализ и проектирование сценариев атак на основе реальных TTP (MITRE ATT&CK, отчёты, результаты пентестов);
3. Адаптация правил корреляции из других SIEM под используемый DSL;
4. Формирование требований к логированию для корректной работы правил корреляции;
5. Улучшение качества и полноты собираемых событий безопасности;
6. Подготовка описаний правил корреляции и логики их работы;
7. Участие в доработках правил по результатам обратной связи и практического применения;
8. Взаимодействие с внутренними командами (пентест, разработка, аналитика) при формировании сценариев обнаружения;
Требования:
1.Понимание принципов работы SIEM-систем и корреляции событий безопасности;
2. Понимание логики атак на инфраструктуру и приложения (Windows, Linux, Active Directory, сетевые сервисы);
3. Опыт анализа логов безопасности из различных источников (ОС, AD, сетевые устройства, EDR и др.);
4. Умение разбирать сценарии атак и переводить их в формальные условия обнаружения;
5. Навыки работы с правилами корреляции, фильтрами, условиями, временными окнами;
6. Способность самостоятельно исследовать новые техники атак и способы их детектирования;
7. Умение работать с плохо документированными или нишевыми решениями.
Будет плюсом:
1. Опыт работы с любыми SIEM (Splunk, QRadar, ArcSight, MaxPatrol SIEM, KUMA и др.).
2. Знание MITRE ATT&CK и практический опыт построения use-case ов обнаружения.
3. Опыт участия в пентестах или взаимодействия с пентест-командами.
4. Навыки анализа ложных срабатываний и повышения качества детектирования.
5. Понимание принципов построения SOC (без необходимости в эксплуатации).
Условия:
1.Оформление по ТК РФ, полностью белая заработная плата.
2.Работа в аккредитованной ИТ-компании.
3.ДМС после 6 месяцев работы.
4.Обучение и сертификация за счёт работодателя (курсы, конференции, тренинги у вендоров).