Аналитик 2 линии (Информационная безопасность)@ ROSSKO

О позиции

Мы ищем Аналитика 2 линии для центра мониторинга информационной безопасности. Эта вакансия предлагает возможность работать удалённо и участвовать в расследовании инцидентов информационной безопасности, что является критически важным для защиты корпоративной инфраструктуры.

Чем вы будете заниматься

• Расследование и реагирование на инциденты ИБ, глубокий анализ и эскалация тревог, ведение инцидентов от обнаружения до пост-мортема.
• Проведение цифровой форензики, сбор и анализ артефактов с компрометированных систем (Windows, Linux) с использованием специализированных инструментов.
• Анализ временных меток файловой системы, журналов событий, дампов оперативной памяти, автозапуска.
• Восстановление цепочки действий злоумышленника на основе собранных доказательств.
• Работа с платформами SIEM и EDR, проактивный поиск следов компрометации и аномальной активности в корпоративной инфраструктуре с использованием возможностей EDR, SIEM и форензик-инструментов.
• Работа с MaxPatrol SIEM: построение и оптимизация корреляционных правил, создание дашбордов и отчетов, расследование инцидентов на основе данных из различных источников.
• Работа с PT EDR: проведение Threat Hunting за угрозами, анализ цепочек выполнения процессов, изоляция зараженных узлов, сбор артефактов для расследования.
• Работа с Wazuh: анализ событий безопасности с агентов, мониторинг целостности файлов (FIM), проверка соответствия стандартам (CIS), реагирование на алерты.
• Базовое администрирование и анализ ОС: понимание внутреннего устройства и типовых артефактов ОС для эффективного расследования.
• Участие в настройке и улучшении детектирующих правил в MaxPatrol SIEM, Wazuh и политик реагирования в PT EDR.
• Ведение технической документации, написание отчетов по инцидентам (включая форензик-отчеты), составление рекомендаций по устранению уязвимостей.

Требования

• Wazuh: понимание архитектуры, работа с алертами, знание модулей (FIM, CIS, Vulnerability Detector).
• MaxPatrol SIEM: уверенный поиск и анализ событий, построение базовых корреляционных правил, работа с отчетами.
• PT EDR: навыки расследования инцидентов на конечных точках, работа с консолью управления, понимание механики обнаружения.
• Windows: знание архитектуры, журналов событий (Event Log), реестра, PowerShell, типовых процессов и сервисов.
• Linux: знание базовых команд, структуры файловой системы, системных журналов (syslog, auditd, journalctl), процессов и демонов.
• Навыки цифровой форензики: понимание принципов и практический опыт работы с инструментами для сбора и анализа артефактов.
• Понимание жизненного цикла инцидента кибербезопасности (NIST, SANS).
• Знание сетевых протоколов (TCP/IP, HTTP/HTTPS, DNS).
• Умение анализировать логи различного формата.

Что мы предлагаем

• Конкурентная заработная плата от 200 000 до 220 000 ₽.
• Удалённая работа с гибким графиком.
• Возможности для профессионального роста и обучения.
• Участие в интересных проектах в области информационной безопасности.
• Дружелюбная команда профессионалов.