2026-02-04
TELECOMMUTE
Россия

Lead SOC Analyst (L3) / Ведущий аналитик SOC

От 5000 до 7000 EUR Полная занятость Удаленная работа
17

Удаленно (Казахстан, Грузия, Армения, Кыргызстан, EU)


Международный продуктовый IT-холдинг (iGaming, FinTech) расширяет команду и ищет опытного Lead SOC Analyst (L3) в команду Security Operations Center (SOC)


🔴 Вы будете отвечать за расследование сложных инцидентов информационной безопасности, работу с эскалациями от L1/L2, развитие аналитических возможностей SOC и укрепление защиты инфраструктуры компании.


Обязанности:

Incident Response & Investigation

• Расследование сложных инцидентов (APT, утечки данных, insider threats).

• Анализ векторов первичного доступа и реконструкция kill chain.

• Определение масштаба инцидента (blast radius).

• Формирование выводов: что произошло, как, когда и с какими последствиями.


Analysis & Hypothesis

• Построение и проверка гипотез по атакам.

• Анализ артефактов компрометации (C2, credential theft, exfiltration).

• Прогнозирование дальнейших действий атакующего.


Communication & Escalation

• Взаимодействие с командами Security, IT, Development, Legal, ITSM.

• Поддержка управленческих решений (изоляция хостов, блокировка аккаунтов).

• Оценка влияния инцидентов на бизнес.


SOC Improvement & Knowledge Sharing

• Улучшение правил детекции и аналитики.

• Наставничество L1/L2 аналитиков.

• Проведение пост-инцидентных разборов.

• Участие в tabletop-упражнениях и RCA.


Требования:

• 4–6+ лет опыта в SOC / DFIR / Incident Response / MSSP.

• Опыт работы на уровне Lead/Expert Security Analyst.

• Практический опыт расследования реальных инцидентов.

• Опыт Threat Hunting.

• Глубокое понимание MITRE ATT&CK и TTP атакующих.

• Навык связывать: событие — артефакт — поведение — сценарий атаки.


Инфраструктура и системы:

• Email, Kubernetes, AD, Databases, Docker.

• Windows (EventLog, Sysmon, PowerShell, Task Scheduler).

• Linux (auth.log, auditd, bash history, cron, systemd).


Identity & Access:

• AD, IAM, Keycloak, PAM, RBAC, ABAC.


Security & Network:

• EDR/XDR, Proxy, DNS, VPN, WAF, Firewalls.

• Анализ C2 и сетевых аномалий.


SIEM & Data:

• Опыт работы с Splunk SIEM (обязательно).

• Redash, ClickHouse, Wazuh.

• Умение писать сложные поисковые запросы и коррелировать данные.


• Навыки анализа сценариев атак: PtH, credential theft, exfiltration, service account abuse.

• Уровень английского — Intermediate и выше.


Будет плюсом:

• Опыт работы в high-risk средах.

• Участие в Red Team / Purple Team.

• Проведение tabletop-упражнений.

• Навыки автоматизации (Python, Bash, SPL, SQL).

• Сертификации: GCIA, GCED, GCIH, Splunk Power User, OSCP, CEH.

Откликнуться