
Специалист по информационной безопасности / SOC-аналитик (СВР EDR)
Клируэй Текнолоджис
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии
О роли
Мы ищем специалиста по информационной безопасности, который будет участвовать в развитии системы СВР EDR с позиции практического пользователя, SOC-аналитика и эксперта по киберугрозам.
Основная задача роли - помогать формировать требования к функциональности EDR, участвовать в настройке и эксплуатации системы для внутреннего использования, анализировать события безопасности, разрабатывать сценарии обнаружения угроз и предлагать улучшения продукта на основе актуального ландшафта угроз и практики расследования инцидентов.
Чем предстоит заниматься
Аналитика требований и развитие продукта
•Формировать функциональные и экспертные требования к системе СВР EDR в части информационной безопасности.
•
•Описывать сценарии работы SOC-аналитиков, администраторов ИБ и специалистов по реагированию на инциденты.
•Участвовать в проработке требований к сбору телеметрии с конечных устройств.
•Формировать требования к механизмам обнаружения угроз: IoC, IoA, поведенческие и корреляционные правила, исключения, подавления и приоритизация событий.
•Участвовать в проектировании сценариев реагирования на инциденты.
•Анализировать возможности EDR/XDR/SIEM/SOAR-решений и готовить предложения по развитию продукта.
•Участвовать в постановке задач для аналитиков, разработчиков и тестировщиков.
•Проверять реализованный функционал с точки зрения практической применимости для специалистов по ИБ.
•Подготавливать тестовые сценарии и экспертные заключения по новым функциям продукта.
•Участвовать в формировании пользовательской и технической документации.
Эксплуатация и настройка СВР EDR
•Администрировать и сопровождать внутреннюю инсталляцию СВР EDR.
•Настраивать политики контроля, правила обнаружения, исключения и сценарии реагирования.
•Контролировать качество собираемой телеметрии и выявлять пробелы в видимости на конечных устройствах.
•Анализировать срабатывания системы, расследовать ложноположительные и ложноотрицательные события.
•Подготавливать предложения по улучшению правил детектирования и механизмов реагирования.
•Вести базу внутренних кейсов, инцидентов, тестовых сценариев и предложений по развитию продукта.
SOC-аналитика и мониторинг угроз
•Анализировать события информационной безопасности на конечных устройствах.
•Расследовать подозрительную активность в Windows и Linux.
•Разрабатывать и актуализировать правила обнаружения на основе известных техник атак.
•Использовать MITRE ATT&CK для классификации техник и сценариев атак.
•Анализировать индикаторы компрометации (IoC) и поведенческие признаки атак.
•Отслеживать актуальные киберугрозы, вредоносные кампании и TTP злоумышленников.
•Формировать предложения по обнаружению и контролю актуальных угроз средствами СВР EDR.
Мы ожидаем
Обязательный опыт
•Опыт работы в области информационной безопасности от 3 лет.
•Практический опыт работы с SOC, SIEM, EDR, антивирусными решениями или средствами мониторинга и реагирования на инциденты.
•Понимание принципов работы EDR-систем: сбор телеметрии, анализ событий, детектирование, реагирование и расследование инцидентов.
•Опыт анализа событий безопасности в Windows и/или Linux.
•Понимание современных техник атак на конечные устройства, включая persistence, privilege escalation, credential access, lateral movement и command & control.
•Умение анализировать процессы, командные строки, сетевые соединения, файловые операции, службы и системные события.
•Опыт подготовки требований, пользовательских сценариев или технических задач для ИБ-систем.
Необходимые знания
•Классы решений ИБ: EDR, XDR, SIEM, SOAR, AV/NGAV, DLP, VM, IDS/IPS, межсетевые экраны.
•Windows и Linux с точки зрения информационной безопасности.
•Подходы к расследованию инцидентов на конечных устройствах.
•MITRE ATT&CK, IoC, IoA и TTP.
•Основы сетевого взаимодействия: TCP/IP, DNS, HTTP/HTTPS, TLS, VPN и прокси.
•Подходы к разработке и сопровождению правил обнаружения.
•Работа с ложноположительными срабатываниями, исключениями и подавлением событий.
•Основы безопасной разработки и проектирования защищённых систем.
•Современный ландшафт угроз информационной безопасности.
Будет плюсом
•Опыт работы аналитиком SOC уровня L2/L3.
•Опыт внедрения, эксплуатации или разработки EDR/XDR-решений.
•Опыт threat hunting.
•Опыт разработки пользовательских правил обнаружения.
•Опыт работы с Sigma, YARA, Suricata/Snort, Falco, STIX/TAXII.
•Опыт анализа Windows Event Log, Sysmon, Linux auditd, journald и аналогичной телеметрии.
•Базовые навыки malware analysis или reverse engineering.
•Опыт работы с MITRE ATT&CK, Atomic Red Team, Caldera, Prelude Operator и аналогичными инструментами.
•Опыт подготовки требований к продуктам информационной безопасности.
•Опыт работы на стороне вендора ИБ или интегратора.
•Понимание требований ФСТЭК, ФСБ, 187-ФЗ и 152-ФЗ.
•Профильное образование в области информационной безопасности.
Личные качества
•Аналитическое мышление и системный подход.
•Внимательность к деталям.
•Способность разбираться в сложных технических сценариях.
•Умение переводить практические задачи информационной безопасности в требования к продукту.
•Умение аргументированно предлагать улучшения и участвовать в развитии продукта.
•Готовность работать на стыке ИБ, разработки, аналитики и эксплуатации.
Что предлагаем
•Формат работы: офис / удалёнка / гибрид (на выбор);
•Оформление: ТК РФ, стабильная “белая” модель;
•Соцпакет: ДМС, доплата больничных до 100% (до 28 дней/год), 3 day-off, мобильная связь, техника;
•Обучение: внешние курсы/конференции, развитие инженерных компетенций;
•Годовые бонусы до 6 окладов;
•Возможность участия в госпрограммах поддержки ИТ (льготная ипотека и др.)


