Расследование инцидентов, фильтрация исключений, создание запросов на доработку и оптимизацию контента SIEM по результатам (правила, регулярные выражения);
Проведение базовой диагностики работы SIEM и сбора событий;
Предоставление рекомендаций заказчику по расследованию и реагированию на инцидент ИБ;
Разработка парсеров/нормализации для нестандартных источников событий;
Участие в доработке сценариев выявления инцидентов ИБ.
Требования:
Понимание методов действий злоумышленников
Знание сетевых технологий на уровне, достаточном для сдачи экзаменов CCNA или аналогичных (модель OSI, маршрутизация, IPv4, IPv6, TCP, UDP, OSPF, SNMP, NTP, DHCP, VLAN)
Опыт расследования инцидентов и анализа событий (желательно с использованием PT MaxPatrol 10 или KUMA)
Знание регулярных выражений.
Дополнительным преимуществом будет опыт разработки сценариев обнаружения инцидентов или проведения тестирования на проникновение, а также опыт анализа сетевого трафика, скомпрометированных систем и образцов вредоносного ПО Опыт работы администратором систем защиты информации или системным администратором