О компании ITG Security: Компания в области информационной безопасности. Мы работаем по всему циклу: от оценки текущего состояния защищённости до круглосуточного мониторинга и реагирования на инциденты.
Направления
•Аудиты ИБ и оценки соответствия;
•Внедрение и сопровождение процессов ИБ;
•Тестирование на проникновение;
•Коммерческий SOC.
В контуре мониторинга с десяток инфраструктур заказчиков. Такой объём разбирается только связной командой: сложный кейс не остаётся внутри одной смены, вывод превращается в правило или плейбук и работает дальше. Обратиться к коллеге за вторым взглядом здесь часть процесса, а не признак слабой квалификации. Кого мы ищем? В связи с расширением команды мониторинга мы ищем аналитика SOC L1. Мы ищем человека, который умеет думать над данными. Важно умение восстанавливать картину по разрозненным событиям, отличает совпадение от связи и не подменяет разбор догадкой и иметь аналитический склад ума.
Чем предстоит заниматься
•Мониторинг событий ИБ в SIEM (Elastic/ELK), первичный анализ и триаж срабатываний;
•Выполнение анализа журналов, восстановление цепочки событий по телеметрии EDR, Windows Event Log, Sysmon, сетевым и firewall-логам;
•Квалификация инцидентов, классификация по критичности, эскалация на L2 в рамках SLA;
•Работа по плейбукам реагирования, обратная связь на их доработку;
•Фиксация ложных срабатываний и предложений по тюнингу правил детектирования;
•Ведение инцидентов в IRP: фиксация фактов, хронология, обоснование вердикта;
•Разработка и доработка конфигураций журналирования/логирования событий ИБ;
•Предоставление рекомендаций Заказчикам при локализации инцидента ИБ;
•Взаимодействие с заказчиками по инцидентам в согласованных регламентах.
Требования
•Понимание архитектуры Windows и Active Directory: аутентификация, привилегии, механизмы аудита;
•Базовые навыки работы с Linux (журналы, процессы, права);
•Умение анализировать и сопоставлять события между собой в журналах: СЗИ, ОС, Network, СУБД;
•Понимание принципов работы СЗИ и их отличия (Firewall, NGFW, IPS/IDS, VPN, WAF, AV/САВЗ, EDR, SIEM, WAF, NDR);
•Знакомство с MITRE ATT&CK как рабочей моделью;
•Понимание работы сетевых технологий (Модель OSI, TCP/IP), стек протоколов;
•Аналитическое мышление;
•Умение формулировать вердикт письменно: что произошло, чем подтверждается, что рекомендуется;
•Знание английского на уровне чтения технической документации;
•Готовность к сменному графику [2/2, день/ночь].
Будет плюсом
•Опыт разбора телеметрии EDR;
•Опыт работы с Elastic Stack (KQL, ES|QL, EQL) или другим SIEM;
•Навыки администрирования Windows/Linux;
•Навык работы со скриптовыми языками (Bash, Python, PowerShell) умение качественного вайбкодинга так же приветствуется;
•Умение пользоваться Google и поиском информации для решения проблемы;
•Участие в CTF или площадках по типу: HackTheBox, TryHackMe, BlueTeamLabs и т.д;
•Опыт в MSSP/аутсорс-модели;
•Наличие ИТ и/или ИБ сертификатов;
•Ключевое: техническая база, аналитическое мышление и способность доводить разбор до факта, а не до предположения.
Что мы можем предложить
•Работа в аккредитованной компании;
•Отсутствие бюрократии и здравый смысл в процессах;
•Систему адаптации – за новичком закрепляется ментор;
•Высокий уровень дохода – фиксированный оклад и дополнительные регулярные премии по результатам работы;
•Обучение за счет компании – курсы, сертификации, а также у нас есть внутреннее приватное облако, в котором ты сможешь разворачивать интересующие тебя тестовые стенды;
•Очевидно, но тем не менее – работа полностью в белую по ТК РФ