Специалист по расследованиям в SOC

Обзор роли

Mercor приглашает на работу Специалиста по расследованиям в SOC от имени быстро развивающихся технологических и корпоративных партнеров, создающих системы автоматизации SOC и расследований на основе искусственного интеллекта следующего поколения. Эта позиция идеально подходит для опытных аналитиков SOC, которые могут применять практическое расследовательское суждение для проверки, валидации и создания высококачественных расследований в области безопасности в средах SIEM, endpoint, облака и идентичности.

Обязанности

• Проверка, мониторинг и оценка предупреждений SOC и результатов расследований в соответствии с заданными сценариями и критериями.
• Отличение истинных срабатываний от ложных через валидацию доказательств и контекста предупреждений.
• Проведение полного цикла расследований безопасности при необходимости, включая анализ журналов, переход между сущностями, восстановление временной шкалы и корреляцию доказательств.
• Оценка корректности, полноты и качества расследований SOC, выполненных автоматизированными или человеческими процессами.
• Применение последовательного расследовательского суждения с учетом возможности существования нескольких допустимых путей расследования для одного предупреждения.
• Формулирование четких бинарных решений (например, ПРИНЯТЬ / ПРОПУСТИТЬ) и создание детальных эталонных расследований при необходимости.
• Активное использование Splunk для перехода между журналами, сущностями и временными шкалами, включая чтение и анализ SPL-запросов.
• Ведение четкой и точной документации по шагам расследования, предположениям, доказательствам и выводам.
• Сотрудничество с руководителями программ и экспертами-аннотаторами для поддержания высоких стандартов расследований и аннотаций.
• Наставничество или поддержка других аналитиков при необходимости, особенно в долгосрочных или руководящих ролях аннотаторов.

Требования

• Опыт работы аналитиком SOC в производственной среде не менее 3 лет (предпочтительно уровень Tier 2 и выше).
• Глубокое понимание процессов триажа предупреждений, расследования инцидентов и принятия решений на основе доказательств в условиях временных ограничений.
• Обязательный практический опыт работы с Splunk, включая: , ,[object Object],
• Доказанная способность оценивать расследования SOC и определять их корректность, полноту или ошибочность.
• Сильное расследовательское суждение и уверенность в принятии решений.
• Свободное владение английским языком (письменное и устное) с развитыми навыками документирования и коммуникации.

Дополнительно

• Опыт работы с инструментами обнаружения и реагирования на endpoint-уровне (EDR), такими как CrowdStrike Falcon, Microsoft Defender для Endpoint или SentinelOne.
• Опыт анализа логов и сигналов безопасности в облаках: , ,[object Object],
• Знакомство с платформами управления идентичностью и доступом (IAM), такими как Okta Identity Cloud или Microsoft Entra ID (Azure AD).
• Опыт работы с инструментами безопасности электронной почты, такими как Proofpoint или Mimecast.
• Опыт руководства или наставничества в SOC.
• Базовые навыки скриптования (Python или аналоги).
• Сертификаты по безопасности (по желанию): GCIA, GCIH, GCED, сертификаты Splunk, Security+, CCNA или сертификаты по облачной безопасности.

Почему стоит присоединиться

• Возможность работать с передовыми системами автоматизации SOC и расследований на основе искусственного интеллекта.
• Применение практического опыта SOC для формирования будущих подходов к расследованию и реагированию на угрозы.
• Ответственность за высоковлиятельные расследовательские оценки и эталонные случаи безопасности.
• Сотрудничество с опытными специалистами SOC, инженерами безопасности и командами ИИ.
• Вход в глобальную сеть проверенных специалистов безопасности Mercor.