Аналитик SOC | Специалист 3 линии SOC

Rossko — один из крупнейших дистрибьюторов автозапчастей в России и Казахстане. Мы на рынке с 1997 года, прошли через все кризисы и продолжаем расти. В компании работает более 13 000 сотрудников, открыто 290+ складов в 125 городах, а в портфеле — 300 000+ артикулов и прямые контракты с ведущими производителями.

ИТ-направление Rossko — это 200+ специалистов, 37 продуктов и собственная инфраструктура: 5 дата-центров, 1000+ виртуальных серверов, 400+ ТБ данных.
Мы развиваем цифровые решения для логистики, продаж, финансов и управления сервисной сетью. Наш ИТ-блок Blacklight-IT аккредитован в Минцифры, чтобы сотрудники пользовались льготами ИТ-компаний.

Сейчас мы расширяем штат и находимся в поиске Специалиста 3 линии SOC (трудоустраиваем на любой желательный для кандидата формат: в штат по ТК РФ, по ИП, по самозанятости, по ГПХ)

Вам предстоит:

Расследование сложных и целевых инцидентов (APT), то есть полный цикл реагирования (IR) на продвинутые угрозы: от сбора артефактов, анализа памяти и дисков, до выявления точки входа и восстановления полной цепочки компрометации.

Разработка и внедрение автоматизации (SOAR-подход):

• Создание скриптов и сценариев автоматизации (Python, PowerShell) для рутинных операций реагирования (изоляция хостов, сбор артефактов, блокировка IoC).
• Интеграция инструментов (Wazuh, MaxPatrol SIEM, PT EDR, тикетинг) для автоматизации процессов SOC.

Наставничество и развитие команды L1/L2:

• Обучение аналитиков методам расследования, работе с инструментами, ведению документации.
• Проведение воркшопов и тренировок по инцидентам.
• Постановка задач по улучшению мониторинга и качества расследований.

Развитие и оптимизация технологического стека SOC:

• Тонкая настройка правил корреляции в MaxPatrol SIEM, создание сложных логических детекторов.
• Разработка кастомизированных правил для Wazuh и сценариев реагирования для PT EDR.
• Оценка и внедрение новых инструментов и методологий.

Участие в создании и обновлении политик и процедур SOC, а именно формализация процессов реагирования, составление playbooks.

Что нам важно увидеть в кандидате обязательно (требования к позиции):

• Опыт работы в SOC/IR-команде не менее 3-4 лет, с фокусом на расследование сложных инцидентов.

• Экспертный уровень владения стеком и смежными областями:

  • MaxPatrol SIEM: глубокая настройка, написание сложных корреляций, оптимизация производительности.
  • PT EDR: экспертное владение для проведения расследований, создание кастомных детекторов, понимание архитектуры.
  • Wazuh: умение писать собственные правила (XML), настраивать деки, интегрировать с внешними системами.
• Продвинутые навыки в администрировании и анализе ОС: глубокое понимание внутренних процессов Windows (WinAPI, работа с памятью) и Linux (ядро, системные вызовы) для целей форензики.
• Опыт автоматизации: базовое владение Python (основные библиотеки для парсинга логов, работы с API) и PowerShell/Bash для создания утилит автоматизации.
• Экспертиза в цифровой форензике: практический опыт работы с профессиональными инструментами (Velociraptor, X-Ways, AXIOM, Volatility, Rekall), понимание принципов работы файловых систем, памяти, форматов файлов.
• Глубокое знание MITRE ATT&CK Framework и умение применять его для hunting, расследований и создания детекторов.
• Навыки базового реверсинга и анализа вредоносного ПО (использование sandbox, анализ дампов, работа с дизассемблерами/дебаггерами на базовом уровне).

Что нам желательно увидеть в кандидате (будет большим плюсом):

• Опыт внедрения или работы с SOAR-платформами (TheHive, Cortex, Siemplify и др.).
• Наличие экспертных сертификатов: GCIH, GCFA, GNFA, GREM, OSCP.
• Опыт выступления на конференциях, написания технических статей.
• Опыт проведения пентестов или красных команд (Red Team) для понимания тактик противника.
• Знание сетевого анализа (пакетный уровень, анализ трафика в Wireshark)

Почему выбирают Rossko / Blacklight-IT:

Надёжность. Устойчивая компания с полностью белой зарплатой, прозрачными процессами и понятным управлением.
Технологичность. Масштабные внутренние продукты, современная инфраструктура и экспертиза в 1С.
Гибкость. Удалёнка, свободный график (старт 07:00–09:00 МСК), без переработок.
Развитие. Обучение и курсы за счёт компании после испытательного срока, карьерный рост внутри ИТ-блока.
Культура. Партнёрство, уважение, доверие — без микроменеджмента и бюрократии.

Среди личных качеств наших сотрудников особенно ценим:

• профессионализм и стремление к развитию,
• умение работать самостоятельно, проактивность и системность,
• честность и ответственность,
• умение доброжелательно и конструктивно коммуницировать с коллегами и заказчиками

Если вам хочется быть в экспертной среде и работать над действительно интересными проектами и доводить их до результата — присоединяйтесь к Blacklight-IT!