Углубленный анализ инцидентов ИБ, эскалированных с L1
Подтверждение/опровержение инцидентов на основе дополнительного анализа логов и сетевого трафика
Проведение расследований: определение вектора атаки, масштаба инцидента
Первичное реагирование: изоляция узлов, блокировка учетных записей, ограничение доступа, взаимодействие с админами
Создание и оптимизация корреляционных правил и сценариев в SIEM
Тюнинг систем мониторинга (уменьшение количества false positive)
Подготовка отчетов по инцидентам и предложение мер по устранению уязвимостей
Обогащение базы знаний SOC новыми сценариями атак
Взаимодействие с L3/DFIR/Threat Intelligence для эскалации сложных инцидентов
Уверенные знания ОС Windows/Linux, навыки работы с логами, журналами безопасности
Углубленное понимание архитектуры сетей и протоколов (TCP/IP, DNS, HTTP/S, SMTP, SMB и др.)
Опыт работы с SIEM такие как Splunk, QRadar, ELK, и др. и разработка и настройка корреляционных правил
Навыки работы с системами защиты (IDS/IPS, WAF, EDR, DLP, MDM, Sandbox)
Умение анализировать сетевой трафик (Wireshark, tcpdump) и артефакты атак (IOC, PCAP, Sysmon-логи)
Опыт расследования фишинговых атак, malware-инцидентов, bruteforce, privilege escalation и так далее
Знание методологий и стандартов: MITRE ATT&CK, Cyber Kill Chain, NIST Incident Handling
Навыки скриптинга (Python, Bash, PowerShell) для автоматизации расследований
Английский язык на уровне уверенного чтения тех. документации и написания отчетов/переписки с вендорами
Желательные навыки
Опыт реверс-инжиниринга или форензики (DFIR)
Знание облачных платформ (AWS, Azure, GCP) и систем контейнеризации (Docker, Kubernetes)
Опыт работы с Threat Intelligence платформами
Сертификаты: CompTIA CySA+, GCIA, GCIH, ECIH или вендорские Splunk, QRadar и так далее