Разработал передовые правила обнаружения и рабочие книги SOC в Microsoft Sentinel, что значительно усилило защиту от фишинга и попыток компрометации учетных записей. Выступал в роли ведущего специалиста по реагированию на инциденты (Lead Incident Responder) при расследованиях высокой степени серьезности, руководя процессами локализации угроз, устранения последствий и составления отчетов после инцидентов. Разработал и провел тренинги по повышению осведомленности в области кибербезопасности для русскоязычных филиалов; совершал командировки для проведения очных занятий. Внедрил рабочие процессы автоматизации в Sentinel/Logic Apps, сократив время на сортировку (triage) оповещений и оптимизировав процесс обогащения данных. Подготавливал информационные сводки (intelligence briefs) для руководства компании, повышая прозрачность сведений об активных угрозах и эффективности работы SOC. Осуществлял сбор разведданных о новых киберкампаниях против журналистов путем мониторинга onion-сайтов в даркнете и открытых источников, интегрируя полученные результаты в логику обнаружения.

Руководил реагированием на инциденты для различных международных клиентов, возглавляя расследования фишинга, компрометации учетных записей и вторжений на конечные точки. Предоставлял индивидуальные рекомендации по устранению последствий, а также составлял подробные отчеты об инцидентах и инструкции по реагированию (playbooks) для клиентских инфраструктур. Выступал наставником и обучал младших аналитиков в ходе реальных расследований и официальных сессий по обмену знаниями.

Расследовал сложные угрозы (advanced threats) для крупных клиентов, включая ведущий банк и Управление здравоохранения Дубая (Dubai Health Authority). Обеспечивал полный цикл обработки инцидентов: расследование, локализация, рекомендации по устранению и отчетность для руководящего звена. Проводил расследования фишинговых атак и разрабатывал сценарии реагирования (playbooks) для повышения устойчивости клиентов к угрозам. Осуществлял мониторинг киберугроз (threat intelligence) во время атаки на цепочку поставок SolarWinds/SUNBURST, подтвердив отсутствие компрометации и проконсультировав по долгосрочным мерам защиты.

Leveraged team expertise, industry best practices, and research and engaged in such activities, as: - Supported Cyber Security Monitoring tasks. - Supported Cyber Security tools administration tasks (SIEM, CASB, DLP, UEBA, FW, WAF, IDS/IPS). - Supported risk analysis processes, created reports and submitted for remediation. - Assisted Cyber Security incident management, and remediation process.