Ведущий специалист по информационной безопасности (SIEM)

Функциональные обязанности:

* поддержка, администрирование и развитие SIEM-системы;
* поддержка, администрирование и развитие систем безопасности почтового периметра компании, доступа к IM сетям (Jabber-сервер с транспортами в IM сети);
* поддержка, администрирование и развитие PKI;
* участие в расследовании инцидентов ИБ;
* участие в проектной и операционной деятельности;

Требования к кандидату:

* высшее образование (информационные технологии / защита информации).
* опыт работы с *nix-системами на уровне администратора (обязательное требование);
* опыт разработки сигнатур на основе regexp (обязательное требование);
* опыт работы с SIEM системами;
* опыт работы с IPS в крупной распределенной сети;
* опыт работы с системами безопасности почтового периметра и IM;
* опыт работы с инфраструктурой PKI;
* опыт администрирования серверного оборудования на базе ОС Windows;
* знание принципов работы SIEM систем, понимание принципов сбора, нормализации и корреляции событий информационной безопасности;
* знание принципов работы систем безопасности и журналирования событий в различных операционных системах;
* базовые знания Python, Apache, Postgresql;
* знание законодательства РФ по информационной безопасности;
* знание международных стандартов по информационной безопасности;
* знание принципов построения сетей;
* знание принципов работы криптографических алгоритмов;
* наличие профильных сертификатов является плюсом.
* английский (технический)
* стрессоустойчивость, умение работать в коллективе.

Условия:

* «белый» фиксированный оклад (80,000 руб gross);
* работа в крупной динамичной компании;
* работа в сильной команде профессионалов;
* соц.пакет: ДМС, скидки на все виды страхования;
* возможности обучения на внутренних тренингах компании;
* возможности профессионального роста;
* офис в районе ст.м. Шаболовская;
* график работы 5/2, 9.00 - 18.00.

Резюме направлять на firsovma at alfastrah.ru

Всем привет. Просьба не пинать, поиском пользовался, поиск результата не дал :(

Есть сервак на котором трудится Debian Sqeeze. На серваке крутится система мониторинга событий, которая следит за журналами syslog'а и складывает себе в базу нужные события. Появилась задача писать евенты с IPS системы в систему мониторинга событий. Cisco IPS евенты в syslog писать не умеет, их возможно передавать только по snmp, наверно это не самый лучший вариант (не смотря на то, что этот вариант работает). Хотел попробовать забирать евенты с SDEE, но наткнулся на проблему...

С SDEE не умеет работать практически ни один продукт (кроме некоторых коммерческих)... В одном треде на сайте cisco удалось найти perl'овый скрипт, который вероятно может подойти для решения моей задачи (перекладывать SDEE в syslog), но при попытке подключения к IPS сенсору скрипт вываливается с ошибкой:

ERROR gnutls_handshake() failed: A TLS packet with unexpected length was received.
ARRAY(0x9d64b00)body:
no subid passed to getSomeEevents
outputstring #     

Помогите пожалуйста справиться со скриптом, как игнорить хендшейк?

Всем привет!
Занимаюсь настройкой системы логирования, собрал ее на Debian'е, она состоит из OSSEC'а, prelude-lml’a, prelude-manager’a и других полезностий. К OSSEC'у подключены контроллеры домена на форточках. OSSEC используется для сохранения виндового лога в отдельный файлик (через syslog-output). Далее за работу берется prelude-lml, он берет OSSEC’овский лог-файл и аккуратно нарезает его в IDMEF (имхо это на порядок удобнее, чем prelude-output), передает разобранный лог prelude-manager’у, который в свою очередь укладывает это все в БД. Система несколько громоздка, но все работает.
В недавнее время появилось желание логировать керберосовскую аутентификацию, но логировать не каждое событие, а одно в ограниченный промежуток времени, от одного пользователя, с одного хоста. То есть: если я прошел аутентификацию на компьютере с адресом 10.0.0.1, под логином User1 событие должно создаться; если вышел/вошел, система должна проигнорировать это событие; если вошел как User2 на этом компьютере (или как User1 на другом компьютере), событие должно создаться. Т.е. не хочу логировать повторную аутентификацию (некоторое время), иначе лишними логами базу замусорит.
Для этого поправил декодер и сигнатурки OSSEC'а, правило стало выглядеть приблизительно так:
<rule ... timeframe=«60» ignore=«60»>
...
<same_user />
<same_source_ip />
</rule>
Но это не помогло, сигнатура игнорит все керберосовские события после первого срабатывания... Подскажите как можно решить такую задачу, может кто это уже делал и готов поделиться опытом?

Всем привет!
Прикупил себе ноут, все бы ничего, но тачпад криво работает, определяется как:
input: ETPS/2 Elantech Touchpad as /devices/platform/i8042/serio1/input/input7
Если тыкать по нему, появляются такие ошибки:
psmouse.c: Touchpad at isa0060/serio1/input0 lost sync at byte 4
На касания по центру не реагирует, на касания по левому/правому краю выкидывает курсор к краям экрана. Подскажите в чем может быть проблема? В гугле ответов не нашел :(

Всем привет, помогите разобраться с проблемой выпадения rtorrent'a пожалуйста. Система Debian lenny, rtorrent версии 0.8.6 (самосборный с поддержкой xml-rpc) при проверке хеша вываливается с ошибкой в консоль:

Caught Bus error, dumping stack:
Stack dump not enabled.
A bus error probably means you ran out of diskspase.
Аварийный останов

Хеш он досчитать может (раза с десятого, если торрент не особо большой). Ошибка появилась после перемещения раздела download на другой диск. Раньше все работало, место на дисках есть. При этом скорость скачивания/раздачи существенно увеличилась.

В чем может быть проблема?