Lead SOC Analyst (L3)

Компания предлагает удаленный формат работы для кандидатов, уже переехавших из РФ и РБ.

Международный продуктовый IT-холдинг (более 3000 сотрудников, масштабные проекты в iGaming и FinTech) расширяет команду Security и в поиске Lead SOC Analyst (L3). Мы ищем сильного, опытного специалиста, который будет заниматься расследованием сложных инцидентов информационной безопасности, развитием аналитических возможностей SOC и поддержкой команды на экспертном уровне.

Что предстоит делать

Реагирование на инциденты и расследования:

• Управлять сложными и нестандартными инцидентами ИБ, включая APT-подобные атаки, утечки данных и инсайдерские угрозы.
• Принимать эскалации от L1/L2 SOC-аналитиков и доводить расследования до финальных выводов.
• Проводить глубокий анализ инцидентов и выявлять векторы первоначального проникновения.
• Восстанавливать цепочки атак (kill chain), определять масштаб инцидента и затронутые системы.
• Формировать чёткие выводы: что произошло, как, когда, с каким эффектом и какие дальнейшие шаги необходимы.

Аналитика и гипотезы:

• Мыслить гипотезами и сценариями атак:

  • Если это компрометация учётных данных — где искать следы.
  • Если это C2 — какие артефакты ожидать.
  • Какими способами злоумышленник может эксфильтрировать данные.

• Прогнозировать дальнейшие действия атакующего.

Коммуникация и эскалации:

• Экспертно взаимодействовать с внутренними командами (Security, Development, Legal, ITSM, SE и др.).
• Поддерживать принятие решений по мерам реагирования (блокировка аккаунтов, изоляция хостов и т.д.).
• Проводить базовый impact-анализ, балансируя между безопасностью и влиянием на бизнес.

Развитие SOC и обмен знаниями:

• Улучшать логику детекта и давать обратную связь L1/L2-аналитикам.
• Участвовать в post-incident review и разборе инцидентов.
• Организовывать и участвовать в tabletop-упражнениях и root cause analysis.

Что важно для нас

• 4–6+ лет опыта в SOC / MSSP SOC / Incident Response / DFIR-командах.
• Практический опыт расследования реальных инцидентов, а не только обработки алертов.
• Опыт работы в роли Lead / Expert SOC Analyst.
• Опыт Threat Hunting.
• Глубокое понимание TTP атакующих по MITRE ATT&CK.
• Умение связывать: событие → артефакт → поведение → сценарий атаки.
• Экспертиза в инфраструктурных сервисах: Email, Kubernetes, AD, базы данных, Docker и др.

• Операционные системы:

  • Windows (EventLog, Sysmon, PowerShell, Task Scheduler).
  • Linux (auth.log, auditd, bash history, cron, systemd).

• Identity & Access Management: AD, IAM, Keycloak, PAM, RBAC, ABAC.

• Понимание сценариев атак: кража учётных данных, эксфильтрация данных, PtH, злоупотребление service accounts и др.
• Endpoint и Network Security: EDR/XDR, Proxy, DNS, C2-паттерны, VPN, WAF, Firewalls.
• Уверенная работа с SIEM и аналитическими инструментами: Splunk, Redash, ClickHouse, Wazuh.
• Умение писать сложные поисковые запросы и коррелировать данные из разных источников.

Будет плюсом

• Опыт работы в высокорисковых бизнес-средах.
• Участие в Red Team / Purple Team-активностях.
• Проведение или организация tabletop-упражнений.
• Навыки автоматизации и скриптинга (Python, Bash, SPL, SQL).
• Наличие сертификатов по ИБ: GCIA, GCED, GCIH, Splunk Power User, OSCP, CEH.