Антон Вислогузов

Автоматизация:

• Проработка и реализация механизма авто-назначения инцидентов ИБ на аналитиков SOC, разработка telegram бота для управления очередью авто-назначения (Python, git, docker);
• Разработка флоу маршрутизации инцидентов, реализация оповещений об инцидентах ИБ (telegram, Rocket.chat, mail);
• Разработка двухсторонней интеграции между Jira и источниками инцидентов ИБ (синхронизация всех атрибутов, статусов, комментариев и ответственного исполнителя)
• Реализация механизма подсчета метрик SOC, визуализация метрик и разработка автоматизированного механизма получения информации о метриках;
• Автоматизация мер реагирования и обогащения инцидентов дополнительной информацией из различных источников (AD, KSC, NGFW, CMDB, EDR, Jira Insight)
• Разработка приложения для агрегации информации об источниках событий ИБ и активах (серверах, рабочих станциях, доменных УЗ) из различных систем, проектирование API приложения, реализация python библиотеки для взаимодействия с приложением (Python, Django, Django REST framework, unfold, Docker, Redis, celery, PostgreSQL)
• Реализация механизма идентификации пользователей, подключавшихся к VPN-шлюзам с некорпоратиных хостов;
• Формализация процесса разработки автоматизации в SOC, внедрение процесса написания документации к коду, регламентация процесса работы с GitLab.

Управление источниками событий:

• Подбор, подключение, настройка и мониторинг необходимых источников событий ИБ;
• Управление и мониторинг EDR-агентами в нескольких инфраструктурах;
• Реализация автоматизированного подсчета покрытия серверов и рабочих станций EDR-агентами.

SOAR:

• Ресерч open source решений и проведение пилотных проектов систем классов IRP/SOAR;
• Разработка интеграций портала MSSP - провайдера с open source решениями TheHive и Iris;
• Разработка кастомных анализаторов и респондентов в Cortex;
• Разработка функционально-технических требований к IRP/SOAR;
• Внедрение, конфигурация и поддержка SOAR;
• Разработка кастомных коннекторов для реализации обогащения и автоматизации реагирования на инциденты ИБ;
• Разработка интеграционных механизмов между SOAR и различными внутренними и внешними системами.

Достижения:

• Внедрил подход к автоматизации процессов в SOC, регламентировал процесс разработки автоматизации;
• Внедрил механизмы оповещения и обогащения инцидентов ИБ, реализовал автоматизированные меры реагирования, благодаря чему время решения инцидента ИБ аналитиком SOC уменьшилось на 20%, а время реакции на 30%;
• Произвел глубокий анализ рынка IPR/SOAR, включая разработку интеграций с каждой рассматриваемой системой, на основании результатов анализа произвел подбор наиболее подходящей системы.

SIEM и SOAR системы:

• Разработка правил корреляции в SIEM - системах ArcSight и KUMA;
• Разработка нормализаторов для нестандартных источников событий в SIEM ArcSight и KUMA;
• Анализ TI - отчётов и реализация правил корреляции на их основе (R-Vision TIP);
• Верификация и поддержка актуальности более 500 правил корреляции в SIEM-системах;
• Тестирование правил корреляции в SIEM-системах;
  
• Менеджмент контента в SIEM-системах;
• Разработка сценариев реагирования на инциденты ИБ в SOAR-системе R-Vision;
• Разработка документации, содержащей виды и атрибуты событий ИБ для различных информационных систем заказчика.
  

Разработка:

• Разработка интеграционных механизмов между SIEIM - системой KUMA и SOAR-системой R-Vision;
• Разработка, внедрение и поддержка механизма автоматизированного тестирования правил корреляции;
• Разработка и внедрение приложения для мониторинга и менеджмента различных типов ресурсов System Operation Center в различных системах (ArcSight, KUMA, R-Vision, Kafka, Vector)
• Разработка механизма автоматизированного мониторинга изменения ACL и Consumer в Kafka;
• Разработка интеграционных механизмов между разработанными приложениями и Gitlab, а также между SIEM-системами и Gitlab.

Технологический стек: Python, Django, Django REST Framework, Redis, PostgreSQL, Docker, GitLab.

Инфраструктура:

• Разработка тест - кейсов для интеграции Kafka и KUMA;
• Настройка и конфигурация систем в ИБ инфраструктуре SOC (Kafka, Grafana, Prometheus)
• Администрирование серверов KUMA,  ArcSight,  R-Vision.

Достижения:

• Разработал более 500 правил корреляции в SIEM - системах ArcSight и KUMA;
• Разработал на Python (Django, Django REST framework ) и внедрил механизм автоматизированого тестирования правил корреляции в SIEM-системах, внедрил процесс тестирования правил корреляции в жизненный цикл разработки контент в SOC;
• Разработал систему менеджмента контента в SIEM - системе KUMA.

• Администрирование серверного парка на Windows и Linux (более 20 серверов);
• Развёртывание виртуальных серверов на Windows и Linux через гипервизор VMware ESXI;
• Использование системы виртуализации Proxmox;
• Установка и настройка систем мониторинга серверов Webmin и Zabbix;
• Администрирование Active Directory;
• Настройка подписок на WEC - сервер;
• Работа с СУБД PostgreSQL и Microsoft SQL Server: организация резервного копирования баз данных, развёртывание бэкапов баз данных, написание запросов к базам данных;
• Использование базовых регулярных выражений;
• Администрирование компьютерного парка компании (более 300 компьютеров на Windows и macOS);
• Комплексное обслуживание рабочих мест сотрудников (установка, настройка ОС, ПО, устранение неполадок, передача в ремонт, техническая поддержка и консультация пользователей).
• Организация и контроль доступа сотрудников к локальной сети компании;
  Автоматизация простых задач в PowerShell;
• Обеспечение информационной безопасности компании;
• Закупка, установка и настройка цифровой техники и комплектующих;
• Настройка и эксплуатация криптопровайдера КриптоПро и установка и настройка ЭЦП;
• Администрирование 1С.

• Администрирование интернет - магазина на CMS 1С-Битрикс и Wordpress;
• Развёртывание и настройка работы почтового сервера;
• Администрирование баз данных в СУБД MySQL;
• Ведение отчётности в системе 1С:Предприятие;
• Взаимодействие с поставщиками и организация поставок товара;
• Ведение документооборота компании.