Аналитик SOC L1

ITG Corporation
Санкт-Петербург
🏢 Офис
Без опыта
Полная занятость
Россия
Описание вакансии

О компании ITG Security: Компания в области информационной безопасности. Мы работаем по всему циклу: от оценки текущего состояния защищённости до круглосуточного мониторинга и реагирования на инциденты.

Направления
Аудиты ИБ и оценки соответствия;
Внедрение и сопровождение процессов ИБ;
Тестирование на проникновение;
Коммерческий SOC.

В контуре мониторинга с десяток инфраструктур заказчиков. Такой объём разбирается только связной командой: сложный кейс не остаётся внутри одной смены, вывод превращается в правило или плейбук и работает дальше. Обратиться к коллеге за вторым взглядом здесь часть процесса, а не признак слабой квалификации. Кого мы ищем? В связи с расширением команды мониторинга мы ищем аналитика SOC L1. Мы ищем человека, который умеет думать над данными. Важно умение восстанавливать картину по разрозненным событиям, отличает совпадение от связи и не подменяет разбор догадкой и иметь аналитический склад ума.

Чем предстоит заниматься
Мониторинг событий ИБ в SIEM (Elastic/ELK), первичный анализ и триаж срабатываний;
Выполнение анализа журналов, восстановление цепочки событий по телеметрии EDR, Windows Event Log, Sysmon, сетевым и firewall-логам;
Квалификация инцидентов, классификация по критичности, эскалация на L2 в рамках SLA;
Работа по плейбукам реагирования, обратная связь на их доработку;
Фиксация ложных срабатываний и предложений по тюнингу правил детектирования;
Ведение инцидентов в IRP: фиксация фактов, хронология, обоснование вердикта;
Разработка и доработка конфигураций журналирования/логирования событий ИБ;
Предоставление рекомендаций Заказчикам при локализации инцидента ИБ;
Взаимодействие с заказчиками по инцидентам в согласованных регламентах.
Требования
Понимание архитектуры Windows и Active Directory: аутентификация, привилегии, механизмы аудита;
Базовые навыки работы с Linux (журналы, процессы, права);
Умение анализировать и сопоставлять события между собой в журналах: СЗИ, ОС, Network, СУБД;
Понимание принципов работы СЗИ и их отличия (Firewall, NGFW, IPS/IDS, VPN, WAF, AV/САВЗ, EDR, SIEM, WAF, NDR);
Знакомство с MITRE ATT&CK как рабочей моделью;
Понимание работы сетевых технологий (Модель OSI, TCP/IP), стек протоколов;
Аналитическое мышление;
Умение формулировать вердикт письменно: что произошло, чем подтверждается, что рекомендуется;
Знание английского на уровне чтения технической документации;
Готовность к сменному графику [2/2, день/ночь].
Будет плюсом
Опыт разбора телеметрии EDR;
Опыт работы с Elastic Stack (KQL, ES|QL, EQL) или другим SIEM;
Навыки администрирования Windows/Linux;
Навык работы со скриптовыми языками (Bash, Python, PowerShell) умение качественного вайбкодинга так же приветствуется;
Умение пользоваться Google и поиском информации для решения проблемы;
Участие в CTF или площадках по типу: HackTheBox, TryHackMe, BlueTeamLabs и т.д;
Опыт в MSSP/аутсорс-модели;
Наличие ИТ и/или ИБ сертификатов;
Ключевое: техническая база, аналитическое мышление и способность доводить разбор до факта, а не до предположения.
Что мы можем предложить
Работа в аккредитованной компании;
Отсутствие бюрократии и здравый смысл в процессах;
Систему адаптации – за новичком закрепляется ментор;
Высокий уровень дохода – фиксированный оклад и дополнительные регулярные премии по результатам работы;
Обучение за счет компании – курсы, сертификации, а также у нас есть внутреннее приватное облако, в котором ты сможешь разворачивать интересующие тебя тестовые стенды;
Очевидно, но тем не менее – работа полностью в белую по ТК РФ
Технологии и навыки
AI-помощник
Источникhh.ru
Опубликовано6 ч назад
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.