Аналитик угроз в SOC

Описание

Знание и понимание основ архитектуры современных корпоративных инфраструктур Опыт расследования инцидентов ИБ; понимание типовых плейбуков по расследованию и реагированию в разрезе основных типов инцидентов ИБ системах Умение корректно интерпретировать различные события и выделять наиболее важную информацию Понимание индикаторов компрометации информационных систем и методов их обнаружения Навыки программирования на Python, Golang или любом другом скриптовом языке для автоматизации рутинных задач Опыт построения гипотез и их валидации в ходе TH-кампаний Глубокое знание MITRE ATT CK + умение картировать активность в инфраструктуре на TTP Опыт работы с одним или несколькими TI-источниками и платформами (VirusTotal, MISP, ThreatFox, OTX, OpenCTI и др.) Навыки создания YARA, Sigma, Snort/Suricata-правил Понимание жизненного цикла угроз и цепочки кибератаки (Cyber Kill Chain) Знание принципов threat modeling (STRIDE, DREAD, PASTA и др.) будет плюсом Практические навыки работы с логами в SIEM, EDR, NDR, а также скриптами обогащения/корреляции Аналитическое мышление, умение структурировать большие объёмы информации и формулировать выводы для руководства

Обязанности

Разработка и предоставление рекомендаций по выявленным угрозам и уязвимостям Разработка, актуализация и внедрение новых правил нормализации, корреляции, обогащения в SIEM системах Работа в Threat Intelligence Platform, анализ выходных данных, подключение внешних источников Анализ критичности и актуальности IOC (indicator of compromise) Передача данных об актуальных киберугрозах (Threat Intelligence) в различные продукты и сервисы компании в виде IOC Анализ новых векторов атак и поиск аномалий в инфраструктурах (Threat Hunting) Моделирование угроз и атак для выявления индикаторов компрометации (IoC) Участие в расследовании инцидентов информационной безопасности Анализ TTP (Tactics, Techniques, Procedures) и их привязка к фреймворкам (MITRE ATT CK, D3FEND, etc.) Проведение pro-active hunting-кампаний на основе гипотез об активности злоумышленников Создание и ведение базы знаний о TTP, APT-группах и актуальных угрозах Участие в red team / purple team упражнениях как источник данных и валидатор детектов Обогащение TI-платформы внутренними артефактами, извлечёнными из расследований Разработка собственных правил детектирования и гипотез (на основе логов, поведенческих признаков, аномалий)