выявление, анализ инцидентов ИБ с использованием SIEM и прочих инструментов;
полный цикл ведения инцидентов в тикет-системе (регистрация, обработка, перевод, закрытие, общение с сотрудниками, передача на обработку вышестоящему аналитику или в ит для проведения работ);
выполнение расследований типовых инцидентов ИБ;
проработка рекомендаций по улучшению и написанию новых правил реагирования в Siem;
подготовка рекомендаций по добавлению исключений в СЗИ для минимизации false positive событий
эскалация инцидентов ИБ на вышестоящие линии;
участие в разработке правил корреляции/сценариев выявления инцидентов;
мониторинг событий, поступающих на СЗИ;
анализ данных систем мониторинга на предмет аварий СЗИ (Zabbix\Operation manager);
взаимодействие со специалистами из других направлений;
Требования:
работа с SIEM-системами (KUMA, MaxPatrol, Splunk, IBM QRadar, ArcSight и т.д.);
понимание сетевых протоколов (TCP/IP, DNS, HTTP/HTTPS) и анализ трафика (Wireshark, tcpdump);
основы ОС — Linux/Windows; анализ логов и процессов;
Python, Bash, PowerShell для автоматизации рутинных задач;
Будет плюсом:
знание инструментов для анализа вредоносного ПО (IDA Pro, Volatility,);
знание MITRE ATT&CK — тактик, техник и процедур (TTPs) злоумышленников;
понимание описания и принципов эксплуатации уязвимостей (Cyber Kill Chain, MITRE ATT&CK, БДУ ФСТЭК, OWASP TOP 10;
