Проект направлен на разработку SIEM-систем для централизованного управления безопасностью, событиями и информацией, которая эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры.
Обязанности
• проведение событийной аналитики (исследования полноты регистрируемых признаков событий с конечных устройств, участие в создании артефактов в виде функциональных требований)
• разработка механизмов обработки событий (нормализация, агрегация, локализация, обогащение) на фреймворке SIEM под различные конечные устройства
• адаптация кода под ядро, ревью и отладка на фреймворке SIEM
• определение совместимости нормализованных событий с правилами корреляции на фреймворке SIEM (в том числе работа с фолсами)
• разработка вспомогательного аналитического инструментария, а также корреляционных механизмов на платформе SIEM (опционально)
• поддержка в актуальном состоянии библиотеки ресурсов на фреймворке SIEM (актуализация под требования Заказчика)
Обязательные требования
• опыт работы с SIEM-решениями
• знание сетевых протоколов, архитектур современных операционных систем и технологий защиты информации
• опыт работы с различными СрЗИ (DLP/IPS/AV/FW/Proxy/AF, IRP, TI и пр.)
• опыт работы с механизмами аудита на конечных устройствах
• знание современных угроз, уязвимостей, типичных атак на информационные системы, утилит для их реализации
• знания принципов, методов, техник и инструментов проведения современных компьютерных атак (понимание тактик и техник фреймворка MITRE)
• опыт работы с индикаторами компрометации информационных систем и методам их обнаружения
• навыки в создании коллекторов (профилей сбора) к журналам событий с целевых систем (Syslog, File, SNMP, API, ODBC и пр.)
• навыки в создании нормализации (парсинг и маппинг) SIEM по исходным событиям с целевых систем
• навыки описания сигнатур SIEM (разработка корреляционных механизмов)
• навыки и опыт в области анализа защищенности информационных систем (тестирования на проникновение): веб-приложения, инфраструктурные сервисы, беспроводные сети, бинарный анализ и пр.
• навыки администрирования инфраструктуры (ОС (Windows, Unix), сетевого оборудования, СУБД, средств защиты информации, инфраструктурных сервисов)
• опыт реализации масштабных проектов в области ИБ/ИТ
Будет плюсом
• опыт работы в SОС на позиции аналитика (желательно L2-L3+ – разработка контента)
• опыт работы с MP SIEM, опционально – KUMA, MF ArcSight, QRadar
• знание технологий анализа и визуализации данных
• наличие сертификатов по направлению ИТ/ИБ
