формирование требований к сбору и обработке событий информационной безопасности (источники, движки, форматы, маршруты обработки);
анализ актуальных угроз и направлений в области информационной безопасности, соответствие лучшим практикам и требованиям;
разработка и тестирование правил/цепочек правил детектирования для SIEM/XDR/SOAR (например, SIGMA, YARA, Suricata);
разработка и тестирование детектирующей логики, создание proof-of-concept с использованием Bash/Python;
формирование процессов жизненного цикла создания и работы с правилами детектирования;
подготовка кейсов, примеров и сценариев использования правил детектирования и детектирующей логики;
подготовка документации по работе с правилами и детектирующей логикой;
разработка рекомендаций, руководств, лучших практик.
Наши ожидания от кандидата:
работа с хотя бы одним SIEM/XDR/SOAR решением;
опыт создания SIGMA/YARA правил;
использование ресурсов для исследования и поиска образцов вредоносного кода или воздействия (AnyRun, VirusTotal, urlscan, zoomeye, Shodan, Censys и др);
навыки написания технических статей;
опыт презентации исследований;
опыт работы с auditd/sysmon;
работа в Linux, Windows на уровне уверенного пользователя (в т.ч. командная строка);
понимание принципов работы современных СЗИ, в первую очередь SIEM/XDR/SOAR систем;
понимание цепочки KillChain, матрицы MITRE ATT&CK, угроз из OWASP Top 10, CWE Top 25;
английский язык на уровне чтения и понимания технической документации.
Будет плюсом:
умение автоматизировать собственную работу, знание какого-либо скриптового языка (Python, JS, Bash, Powershell, etc.);
применение инструментов Threat Hunting (YARA, Suricata, Wireshark, Volatility и т.д.);
умение анализировать и понимать вредоносный код (Windows PE, .Net, OLE2, JS, VBS, HTML, PDF, SWF, ELF);
опыт работы с IDA Pro, отладчиками ring-3, песочницами и прочими инструментами статического и динамического анализа.
