• Углубленный анализ инцидентов ИБ, эскалированных с L1

• Подтверждение/опровержение инцидентов на основе дополнительного анализа логов и сетевого трафика

• Проведение расследований: определение вектора атаки, масштаба инцидента

• Первичное реагирование: изоляция узлов, блокировка учетных записей, ограничение доступа, взаимодействие с админами

• Создание и оптимизация корреляционных правил и сценариев в SIEM

• Тюнинг систем мониторинга (уменьшение количества false positive)

• Подготовка отчетов по инцидентам и предложение мер по устранению уязвимостей

• Обогащение базы знаний SOC новыми сценариями атак

• Взаимодействие с L3/DFIR/Threat Intelligence для эскалации сложных инцидентов

• Уверенные знания ОС Windows/Linux, навыки работы с логами, журналами безопасности

• Углубленное понимание архитектуры сетей и протоколов (TCP/IP, DNS, HTTP/S, SMTP, SMB и др.)

• Опыт работы с SIEM такие как Splunk, QRadar, ELK, и др. и разработка и настройка корреляционных правил

• Навыки работы с системами защиты (IDS/IPS, WAF, EDR, DLP, MDM, Sandbox)

• Умение анализировать сетевой трафик (Wireshark, tcpdump) и артефакты атак (IOC, PCAP, Sysmon-логи)

• Опыт расследования фишинговых атак, malware-инцидентов, bruteforce, privilege escalation и так далее

• Знание методологий и стандартов: MITRE ATT&CK, Cyber Kill Chain, NIST Incident Handling

• Навыки скриптинга (Python, Bash, PowerShell) для автоматизации расследований

• Английский язык на уровне уверенного чтения тех. документации и написания отчетов/переписки с вендорами

Желательные навыки

• Опыт реверс-инжиниринга или форензики (DFIR)

• Знание облачных платформ (AWS, Azure, GCP) и систем контейнеризации (Docker, Kubernetes)

• Опыт работы с Threat Intelligence платформами

• Сертификаты: CompTIA CySA+, GCIA, GCIH, ECIH или вендорские Splunk, QRadar и так далее