На данный момент я работаю аналитиком 2 линии SOC в компании UserGate, где участвую в создании SOC с нуля: выстраиваю процессы, подготавливаю инфраструктуру и документацию, разрабатываю контент.
Ранее я был специалистом дежурной смены SOC в группе компаний VK. Мои обязанности включали работу с инцидентами, совершенствование процессов SOC, разработку плейбуков, контента для SIEM и osquery.
До этого я работал специалистом SOC в отделе мониторинга ИБ центра компетенции Positive Technologies, а также на второй линии технической поддержки и монтажником связи.
На некоммерческой основе участвовал в разработке инструкций по информационной безопасности для персонала игрового проекта, размещая эту документацию в системе Atlassian Confluence.
Увлекаюсь разработкой программ (на данный момент в основном на языке Python), стараюсь знакомиться с новыми для себя областями в IT (планирую обучиться тестированию ПО), но основной приоритет в профессиональном развитии - по специальности ИБ.
Участвовал в создании SOC с нуля, выстраивал рабочие процессы для команд L1 и L2. Разработал более 25 правил корреляции для Windows (AD + endpoints), более 15 правил для Linux (endpoints), а также 15 плейбуков. Описал ландшафт угроз, развернул несколько технических инструментов (включая средства защиты), разработал более 5 регламентов, инструкций и процессов для аналитиков L1 и L2. Администрировал IRP DFIR-IRIS, провёл аудит источников инфраструктуры и разработал классификацию правил корреляции. Руководил расследованием инцидентов ИБ, организовывал и управлял ситуативными группами реагирования на инциденты, координировал работу сотрудников из разных департаментов при реагировании на инциденты.
Работал с ELK-стэком для расследования инцидентов информационной безопасности, управлял ситуативными командами реагирования на инциденты, корректировал и дополнял правила корреляции, контролировал соблюдение политики ИБ. Участвовал в разработке процессов взаимодействия департамента защиты инфраструктуры с другими подразделениями, координировал работу сотрудников из разных департаментов при реагировании на инциденты, разработал и внедрил единый регламент по созданию учетных записей, написал плейбуки для 10+ правил и разработал пак запросов для osquery. Также участвовал в оценке результатов работы сотрудников в рамках Performance Review.
Расследовал инциденты информационной безопасности с использованием IRP TheHive, PT SIEM, PT NAD, PT WAF, PT Sandbox, выявлял атаки, составлял инструкции по реагированию на инциеднты ИБ, передавал информацию в отделы реагирования или IT-отдел в случае подтверждения инцидента. Участвовал в The Standoff на стороне Blue-Team в корпоративной команде.
Настраивал и подключал сетевые розетки к коммутаторам, прокладывал сетевые кабели и тестировал работоспособность сетевого оборудования.
Оказывал техническую поддержку (вторая линия) для мобильного приложения, взаимодействовал с командами разработки, аналитики, безопасности и тестирования для устранения проблем. Координировал работу команды поддержки первой линии, выполнял роль наставника для новых сотрудников и руководил проектом по автоматизации отчётов о злоупотреблениях.
Диплом бакалавра получен по направлению 10.03.01 Информационная Безопасность.
Выпускная квалификационная работа защищена на отлично по теме «Способы автоматизации процессов центра мониторинга и реагирования на инциденты информационной безопасности»
В процессе обучения также были защищены курсовые работы на темы:
Также пройдены производственные практики по: