SOC Expert

Эксперт SOC осуществляет поиск и анализ релевантных угроз ИБ с целью создания и настройки автоматизированной логики детектирования, а также участвует в расследовании наиболее критичных инцидентов.

• Опыт работы аналитиком SOC
• Опыт расследования инцидентов ИБ на уровне проведения «root cause analysis»
• Понимание способов атак и методов их обнаружения
• Опыт работы с сетевыми и узловыми индикаторами компрометации (IOC) в различных форматах (STIX, OpenIOC, Yara, Snort)
• Опыт разработки сценариев детектирования атак на уровне эксперта
• Опыт работы с правилами детектирования в формате Sigma
• Опыт работы с системами журналирования IT-систем и СЗИ
• Опыт работы со средствами защиты информации (межсетевые экраны, IDS, IPS, VPN, EDR и т.д.)

• Участие во внешних проектах по SOC направлению
• Формирование и сопровождение бэклога задач по разработке логики детектирования
• Разработка логики детектирования атак (SIEM/XDR/EDR)
• Анализ отчетов по актуальным угрозам и APT группировкам
• Разработка тестов для эмуляции атак и верификации детектирования
• Разработка сценариев обработки инцидентов для аналитиков 1 линии (Playbooks в тч в XDR)
• Ретроспективный поиск угроз, не выявленных правилами корреляции (Threat Hunting)
• Контроль полноты и достаточности покрытия логиками детектирования инфраструктуры, разработка roadmap
• Мониторинг показателей логики детектирования атак
• Периодический пересмотр логики детектирования атак
• Минимизация ложноположительных срабатываний правил в SIEM/XDR/EDR
• Доработка некорректно работающих правил корреляции
• Участие как линии эскалации для критичных инцидентов и комплексных атак
• Поддержка Технического руководителя в части предоставления информации по показателям логики детектирования, а также по возможностям оптимизации
• Подготовка тренингов и проведение обучений для различных ролей SOC
• Документирование сценариев обнаружения и реагирования