XDR analyst
Требования
Местоположение и тип занятости
Компания
Описание вакансии
О компании и команде
Ищем XDR аналитика в группу исследования таргетированных атак.
Предстоит работать с продуктами:
KEDR – продукт для отслеживания подозрительных активностей на рабочих станциях и централизованного принятия мер реагирования.
KUMA – SIEM-система для получения, обработки и хранения событий информационной безопасности, анализа и корреляция поступающих данных и поиска по полученным событиям.
XDR – это комплексное решение для кибербезопасности, которое включает в себя другие продукты "Лаборатории Касперского", с помощью которых организация получает возможность защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Один из центральных элементов решения – SIEM-система KUMA.
Ожидания от кандидата
Для чего Вы нам нужны:
- Поддержка и развитие продуктов компании в части улучшения visibility и качества детектирования сложных угроз (выдвижение требований, общение с продуктовыми командами, тестировщиками, etc.)
- Выполнение атак на тестовой инфраструктуре для создания и анализа эффективности детектирующих правил и поддержка этой инфраструктуры
- Разработка и совершенствование методов проактивного поиска и обнаружения угроз (Threat Hunting), создание SIGMA и EDR правил
- Разработка и улучшение методов детектирования сложных угроз (в том числе таргетированных атак и APT)
- Исследование TTPs противника с использованием MITRE ATA&CK и Сyber Kill Chain
Условия работы
Что Вам необходимо для этого:
- Понимание современных методов, инструментов и техник проведения атак, актуальных угроз ИБ и средств защиты
- Понимание Сyber Kill Chain (Lockheed Martin's)
- Опыт работы с MITRE ATT&CK матрицей
- Опыт работы с SIGMA, YARA, Suricata правилами
- Опыт разработки нормализаторов и создания коннекторов SIEM
- Навыки разработки детектирующей логики для обнаружения вредоносной активности в корпоративной инфраструктуре
- Базовые знания одного из скриптовых языков программирования
- Базовые знания SQL
- Базовое понимание работы операционных систем Windows/Linux;
- Базовое понимание принципов работы сетевых технологий и основных сетевых атак
- Английский язык на уровне достаточном для изучения материалов и ведения деловой переписки
Будет плюсом:
- Опыт проведения Incident Responce
- Опыт внедрения SIEM в крупных организациях
- Опыт работы с XDR, SOAR, IRP платформами различных вендоров
- Опыт работы с SIEM KUMA
- Базовое понимание Threat Intelligence
- Понимание принципов функционирования таких решений, как: NTA, Sandbox, MDR
- Навыки анализа вредоносного ПО и его reverse engineering’a