Проактивный поиск индикаторов компрометации (IoC), индикаторов атаки (IoA) и тактик, техник и процедур (TTP) продвинутых устойчивых угроз (APT) с основным акцентом на активность конечных точек и телеметрию на уровне хоста
Анализ источников данных конечных точек, включая телеметрию EDR, системные логи, активность процессов, изменения в файловой системе и артефакты памяти для выявления признаков вредоносного поведения и текущих атак
Использование методов судебной экспертизы и обнаружения на уровне хоста для выявления скрытых угроз и механизмов сохранения присутствия на конечных точках
Подготовка подробных отчетов по инцидентам и участие в последующем анализе инцидентов и извлечении уроков в тесном сотрудничестве с соответствующими командами
Обязательные навыки:
Практический опыт в идентификации и расследовании инцидентов информационной безопасности, разработке рекомендаций для предотвращения подобных инцидентов в будущем
Понимание методов, инструментов и процессов реагирования на инциденты информационной безопасности
Опыт анализа сетевого трафика и лог-файлов из различных источников
Знание актуальных угроз, уязвимостей, типичных атак на информационные системы и инструментов их реализации, а также методов их обнаружения и реагирования
Практический опыт анализа судебных артефактов (дампы HDD и памяти)
Кандидаты должны обладать сильными навыками письменного и устного общения
Желательные навыки:
Создание, проверка и внедрение корреляционных правил для SIEM, сигнатур или правил для IDS/IPS/NGAV/NGFW
Выполнение статического или динамического анализа вредоносного ПО и работа с данными инструментов анализа вредоносного ПО
Опыт работы с фреймворками управления кейсами: MaGMa, MITRE ATT&CK и др.
Знание сетевых протоколов, архитектуры современных операционных систем и технологий информационной безопасности
Умение программировать на Python или PowerShell (как для локальной автоматизации, так и для анализа)
