Описание вакансии
ЦОДД (Центр Организации Дорожного Движения) – отвечает за организацию и обеспечение безопасности дорожного движения в г. Москва
ЦОДД развивает улично-дорожную сеть таким образом, чтобы движение по городу стало максимально быстрым, комфортным и безопасным для всех участников: пешеходов, велосипедистов, пассажиров городского транспорта и автомобилистов
Обязанности:
- Принимать в работу инциденты, эскалированные аналитиками 1-й линии; проводить углублённый анализ, подтверждать или опровергать факт инцидента
- Координировать мероприятия по сдерживанию (containment), устранению (eradication) и восстановлению (recovery) совместно со смежными подразделениями
- Разрабатывать, документировать и актуализировать playbook'и (сценарии реагирования) по типовым видам инцидентов
- Автоматизировать сценарии реагирования в SOAR-платформе: разрабатывать, тестировать и отлаживать правила обработки и оркестрации
- Проводить разбор инцидентов (lessons learned) и по его результатам дорабатывать playbook'и, правила корреляции и матрицу эскалации
- Классификация, приоритизация и анализ инцидентов
- Работать со средствами мониторинга и анализа (SIEM / SOAR / EDR)
- Проводить углублённый анализ событий в SIEM, разрабатывать и оптимизировать правила корреляции, снижать долю ложных срабатываний
- Работать с EDR/XDR: анализировать телеметрию конечных точек, выполнять ретроспективный анализ активности
- Анализировать сетевой трафик и журналы СЗИ (межсетевые экраны, прокси, DLP, антивирусная защита) при расследовании инцидентов
- Формировать и применять индикаторы компрометации, обогащать данные из источников Threat Intelligence
- Готовить карточки инцидентов, отчёты и аналитические справки по результатам реагирования
- Обеспечивать соответствие регуляторным требованиям
- Участвовать в актуализации ЛНА SOC: регламенты реагирования, классификатор инцидентов, матрица эскалации, метрики SOC
-
Высшее техническое образование (предпочтительно в области информационной безопасности) или профессиональная переподготовка по специальностям направления подготовки «Информационная безопасность»
-
Опыт работы с конкретными SIEM / SOAR / EDR: KUMA, MaxPatrol SIEM, R-Vision, Security Vision, PT XDR и иными
-
Опыт автоматизации реагирования (SOAR), разработки правил корреляции и скриптов (Python / PowerShell)
-
Опыт взаимодействия с НКЦКИ / ГосСОПКА и информирования об инцидентах на объектах КИИ
-
Опыт участия в киберучениях, Threat Hunting и работе с источниками Threat Intelligence
-
Знание модели MITRE ATT&CK, цепочки атаки (Cyber Kill Chain), типовых векторов и техник атак
-
Знание ОС Windows и Linux, сетевых протоколов, основ анализа вредоносного ПО и цифровой форензики
-
Знание нормативной базы: 187-ФЗ, требования НКЦКИ / ГосСОПКА, приказы ФСТЭК России
-
Профильные сертификаты и обучение в области реагирования на инциденты будут преимуществом
-
Аналитическое мышление, внимательность, стрессоустойчивость, готовность к работе в условиях инцидентов
- Официальное трудоустройство и стабильная заработная плата (гарантированный оклад и квартальные премии)
- График работы 5/2, с 8.00 до 17.00 ч, в пятницу сокращенный рабочий день до 15:45
- Бесплатный проезд в Метрополитене и МЦК
- Бесплатное посещение тренажерного зала на территории организации
- Профсоюзная организация: льготный ДМС, частичная компенсация затрат на санаторно-курортное лечение, оздоровительный отдых
- Льготные ставки по кредитам в Сбербанке и ВТБ по нашим зарплатным проектам
- Работа в команде профессионалов - с нами интересно, мы растем и развиваемся, делаем наш Город лучше