Инженер по обнаружению угроз (Detection Engineer)

Что предстоит делать

Обзор роли: Мы ищем не традиционного SOC-аналитика. Эта роль посвящена созданию систем обнаружения, а не пролистыванию оповещений. Вы будете работать с большими объемами логов (облачных, приложений, сетевых), разрабатывать логику обнаружения и со временем ее улучшать. Это включает как обнаружение на основе правил (SIEM/XDR), так и подходы, основанные на данных (статистические модели, обнаружение аномалий, простые ML там, где это имеет смысл). Вы должны комфортно относиться к логам как к проблеме данных, а не просто как к потоку мониторинга. Важно! Это не та роль, где вы: весь день сидите в SIEM, кликая по оповещениям слепо добавляете правила усложняете всё с помощью ML Это та роль, где вы: создаете системы обнаружения, которые работают на практике. Чем вы будете заниматься: Обнаружение и аналитика Создавать и поддерживать механизмы обнаружения для: логов приложений (аутентификация, API, злоупотребление бизнес-логикой) облачной активности (CloudTrail, IAM, изменения инфраструктуры) сетевой телеметрии (DNS, прокси, межсетевой экран, NetFlow) Работать напрямую с данными в таких платформах, как Elasticsearch / Splunk / аналогичные Писать и настраивать логику обнаружения (запросы, корреляционные правила) Снижать уровень шума — ожидайте, что будете тратить время на исправление ложных срабатываний, а не только на добавление новых правил. Работа с данными (это большая часть работы) Создавать пайплайны для: приема логов нормализации извлечения признаков Работать с потоковыми или пакетными пайплайнами (Kafka / очереди / запланированные задачи) Преобразовывать сырые логи (например, CloudTrail) в структурированные данные, пригодные для обнаружения. Обнаружение аномалий / ML (практическое, не теоретическое) Применять простые модели там, где они добавляют ценность (например, One-Class SVM или аналогичные подходы) Фокусироваться на: построении базового поведения (baselining) оценке аномалий (anomaly scoring) Настраивать модели на основе реальных результатов (ложные срабатывания важнее теории) Если ML не улучшает сигнал — не используйте его. Автоматизация и реагирование Создавать плейбуки реагирования для типовых случаев Автоматизировать там, где это действительно экономит время (а не ради самой автоматизации) Интегрироваться с SOAR или писать легковесную оркестрацию Улучшать: скорость обнаружения согласованность реагирования. Использование AI (реалистичные ожидания) Использовать LLM для: обогащения оповещений сводок по расследованиям внутренних инструментов Не создавать "AI-платформу безопасности" Фокусироваться на практической выгоде, а не на хайпе. Threat hunting Проводить целенаправленный поиск угроз на основе гипотез Использовать внутренние данные + внешние сигналы Выявлять пробелы в логировании и обнаружении.

Что ждём от вас

• Уверенный опыт работы с SIEM (Elastic, Splunk, Sentinel и т.д.)
• Глубокое понимание:
• облачной активности (особенно логов AWS и IAM)
• основ сетевых технологий
• современного поведения приложений (API, потоки аутентификации)
• Комфортная работа с большими наборами данных (не бояться сырых логов)
• Python или аналогичный язык для обработки данных
• Опыт автоматизации (SOAR или пользовательские скрипты).
• Желательно (но не критично):
• Опыт применения ML к логам (даже простых моделей достаточно)
• Знакомство с LLM в инструментах (не в исследованиях)
• Опыт работы с пайплайнами данных (Kafka, Spark и т.д.)
• Маппинг MITRE ATT&CK
• Что поможет вам быть эффективным здесь:
• Вы не доверяете оповещениям слепо
• Вы заботитесь о качестве сигнала, а не о количестве обнаружений
• Вы можете отладить, почему обнаружение шумное или бесполезное
• Вы понимаете системы, а не только инструменты
• Вы предпочитаете создать что-то один раз, вместо того чтобы повторять ручную работу.
• Как выглядит успех:
• Меньше ложных срабатываний
• Лучшая видимость во всех системах
• Более быстрые расследования
• Меньше ручной работы в SOC
• Обнаружения, которые действительно ловят реальные проблемы