Задачи:

  • Мониторинг, анализ и обеспечение visibility событий безопасности корпоративной инфраструктуры.
  • Развитие и сопровождение процессов: Security Monitoring, Detection Engineering, Threat Hunting, Incident Investigation, Security Visibility.
  • Разработка и сопровождение detection use-cases и detection logic для: SIEM, IDS/IPS, EDR/XDR, network monitoring systems, authentication telemetry.
  • Разработка: IOC-based detection, TTP-based detection, behavior-based detection, anomaly detection сценариев.
  • Разработка и оптимизация: correlation rules, anomaly detection rules, alert enrichment, threat detection pipelines.
  • Контроль качества detection coverage и выявление blind spots в monitoring visibility.
  • Контроль полноты: security telemetry, centralized logging, event visibility, detection coverage.
  • Формирование требований к: security logging, telemetry collection, event correlation, monitoring coverage.
  • Работа с SIEM-системами: анализ корреляции событий, enrichment security events, IOC correlation, ATT&CK mapping, выявление аномалий, анализ gaps в visibility инфраструктуры.
  • Анализ telemetry data из: SIEM, EDR/XDR, network telemetry, authentication logs, centralized logging systems.
  • Проведение hypothesis-driven threat hunting на основе: ATT&CK, IOC, telemetry, anomalous behavior, attacker TTP.
  • Выявление признаков: persistence, lateral movement, credential abuse, command & control, privilege escalation, defense evasion.
  • Проведение incident investigation и reconstruction attack chain.
  • Анализ: IOC, TTP, malicious activity, attacker behavior, compromise scope.
  • Координация и участие в расследовании инцидентов безопасности.
  • Подготовка: containment recommendations, eradication recommendations, remediation recommendations, detection improvement recommendations.
  • Использование Threat Intelligence для: enrichment, IOC correlation, ATT&CK mapping, detection improvement.
  • Анализ сетевого трафика и telemetry data с использованием: Wireshark, tcpdump, NetFlow/sFlow, Zeek или аналогичных инструментов.
  • Участие в процессе Vulnerability Management в части: attack surface analysis, externally exposed services, exploitation visibility, threat exposure analysis.
  • Контроль и анализ: security visibility, uncontrolled infrastructure zones, detection blind spots, telemetry gaps.
  • Разработка и сопровождение: detection standards, monitoring use-cases, incident investigation procedures, detection recommendations.
  • Подготовка: incident reports, attack chain reports, detection recommendations, IOC reports, threat hunting reports.
  • Взаимодействие с Infrastructure, DevOps: detections, incident investigation, telemetry, threat visibility.

Что мы ожидаем:

  • Высшее образование в области информационных технологий или информационной безопасности.
  • Опыт работы в SecOps, Detection Engineering, Threat Hunting, SOC или Incident Response не менее 4–5 лет.
  • Отличное понимание: detection engineering, threat hunting, IOC/TTP analysis, attack chain analysis, incident investigation, telemetry analysis.
  • Практический опыт разработки detection logic для: SIEM, IDS/IPS, EDR/XDR, authentication telemetry.
  • Практический опыт работы с: SIEM, EDR/XDR, IDS/IPS, Threat Intelligence, centralized logging systems.
  • Опыт работы с SIEM-платформами: ELK, Splunk, QRadar, Sentinel или аналогичными решениями.
  • Практический опыт: IOC-based detection, TTP-based detection, behavior-based detection, anomaly detection.
  • Опыт разработки: correlation rules, detection use-cases, alert enrichment, monitoring pipelines.
  • Практический опыт проведения: threat hunting, incident investigation, attack chain reconstruction, compromise analysis.
  • Понимание MITRE ATT&CK в части: Initial Access, Execution, Persistence, Defense Evasion, Credential Access, Discovery, Lateral Movement, Command and Control, Exfiltration.
  • Понимание: attacker behavior, TTP, IOC lifecycle, detection blind spots, telemetry gaps.
  • Практический опыт анализа telemetry data: network telemetry, authentication telemetry, endpoint telemetry, cloud telemetry.
  • Опыт анализа: malicious traffic, credential abuse, lateral movement, command & control activity, persistence mechanisms.
  • Опыт работы с: Wireshark, tcpdump, NetFlow/sFlow, Zeek или аналогичными инструментами.
  • Понимание: centralized logging, telemetry pipelines, security visibility, detection coverage.
  • Базовое понимание: Linux, Windows, cloud infrastructure, networking в контексте incident investigation и telemetry analysis.
  • Навыки автоматизации и скриптинга: Python, Bash, PowerShell — будут преимуществом.
  • Опыт анализа malware behavior — будет преимуществом.
  • Понимание процессов Vulnerability Management и exploitation visibility.
  • Аналитическое мышление, способность самостоятельно расследовать инциденты и принимать технические решения в условиях инцидента.
  • Умение взаимодействовать с DevOps, Infrastructure, SOC и Security командами.
  • Умение документировать: attack chain, IOC, TTP, technical findings, detection recommendations.

Дополнительные требования:

  • Понимание: Threat Intelligence, ATT&CK-based detection, detection maturity, security telemetry architecture.
  • Опыт интеграции: SIEM, EDR/XDR, IDS/IPS, Threat Intelligence Platform, centralized monitoring systems.
  • Понимание принципов: hybrid infrastructure visibility, Kubernetes telemetry, container security visibility.
  • Понимание современных TTP атакующих групп.
  • Приветствуются сертификаты: Security+, Splunk, GCIA, GCIH, Blue Team certifications.
  • Уверенное чтение технической документации на английском языке.