Teamlead команды SOC

3-6 лет
Полная занятость
Удаленная работа
Москва
Краснодар

КРОК — крупная российская ИТ-компания с сильной экспертизой в области информационной безопасности.

Наша SOC-команда объединяет три линии экспертизы по противодействию киберугрозам и работает с инцидентами полного жизненного цикла. Мы ищем Тимлида, который будет развивать команду и повышать устойчивость и качество сервиса.

Ваши задачи

Организовывать работу L1 SOC в мультиклиентской среде:планировать смены и графики, обеспечивать необходимое покрытие по SLA/OLA, управлять загрузкой и приоритетами команды;
Руководить командой аналитиков: ставить задачи, проводить регулярные 1:1, сопровождать адаптацию новых сотрудников, развивать экспертизу, формировать индивидуальные планы обучения, проводить разборы инцидентов и внутренние семинары;
Обеспечивать качество сервиса: контролировать соблюдение регламентов, корректность классификации инцидентов, полноту и качество артефактов в тикетах, своевременную и корректную эскалацию на уровни L2/L3;
Развивать и улучшать процессы SOC: актуализировать runbook’и и плейбуки, чек-листы и шаблоны тикетов, стандарты коммуникации с заказчиками; участвовать во внедрении и оптимизации ITSM-процессов;
Управлять метриками и отчетностью: отслеживать ключевые KPI (SLA, доля ложноположительных, качество эскалаций), готовить регулярные отчеты и сводки, выявлять узкие места и формировать планы по их улучшению;
Взаимодействовать со смежными командами: L2/L3, инженерами SIEM/EDR, threat intelligence, командой корреляций и контента, сервис-менеджерами — для обеспечения стабильного, масштабируемого и предсказуемого сервиса;
Развивать базу знаний SOC: наполнять KB качественными артефактами и материалами по взаимодействию с клиентами и типовым кейсам.

Наши ожидания

Опыт работы в ИБ или ИТ от 3 лет — в SOC, Blue Team или эксплуатации средств защиты (уровень требований гибкий и зависит от глубины задач);
Практический опыт работы в SOC на уровне L1/L2: понимание жизненного цикла инцидента, правил эскалации и взаимодействия с заказчиком;
Опыт управления командой или выраженная лидерская роль: тимлид, сменный руководитель, старший аналитик — с участием в наставничестве, контроле качества и развитии процессов;
Уверенная техническая база:
- основы сетевых технологий (TCP/IP, DNS, HTTP(S), SMTP);
- базовые знания AD, Windows и Linux;
- понимание типовых техник атак и артефактов на базе MITRE ATT&CK (на уровне практического применения);
- опыт анализа логов и событий, понимание источников данных: FW, WAF, Proxy, EDR, AV, AD, VPN, Cloud и др.
Опыт работы с SIEM-системами (конкретный стек не принципиален — важнее логика корреляции и расследования инцидентов);
Навыки выстраивания процессной дисциплины: разработка и соблюдение регламентов, runbook’ов, контроль выполнения и непрерывное улучшение процессов;
Развитые коммуникативные навыки: умение доносить статус и риски до заказчика понятным языком, управлять ожиданиями и работать в рамках SLA.