Инженер по обнаружению угроз (Security Detection Engineer)

Что предстоит делать

Локация: Удаленно Команда: Security / Platform О компании Наш клиент — ведущая компания в области технологий автономных транспортных средств, работающая на переднем крае разработки программного обеспечения для самоуправляемых автомобилей. Обзор роли Мы ищем не традиционного SOC-аналитика. Эта роль заключается в создании систем обнаружения, а не в кликах по оповещениям. Вы будете работать с большими объемами логов (облачных, прикладных, сетевых), разрабатывать логику обнаружения и улучшать ее со временем. Это включает как обнаружение на основе правил (SIEM/XDR), так и подходы, основанные на данных (статистические модели, обнаружение аномалий, простые ML там, где это имеет смысл). Вы должны комфортно относиться к логам как к проблеме данных, а не просто как к потоку мониторинга. Важно! Это не та роль, где вы: целый день сидите в SIEM и кликаете по оповещениям слепо добавляете правила чрезмерно усложняете всё с помощью ML Это та роль, где вы: создаете системы обнаружения, которые работают на практике. Чем вы будете заниматься Обнаружение и аналитика Создавать и поддерживать механизмы обнаружения для: логов приложений (аутентификация, API, злоупотребление бизнес-логикой) облачной активности (CloudTrail, IAM, изменения инфраструктуры) сетевой телеметрии (DNS, прокси, фаервол, NetFlow) Работать напрямую с данными в таких платформах, как Elasticsearch / Splunk / аналогичные Писать и настраивать логику обнаружения (запросы, корреляционные правила) Снижать уровень шума — ожидайте, что будете тратить время на исправление ложных срабатываний, а не только на добавление новых правил. Работа с данными (это большая часть работы) Создавать пайплайны для: приема логов нормализации извлечения признаков Работать с потоковыми или пакетными пайплайнами (Kafka / очереди / запланированные задачи) Преобразовывать сырые логи (например, CloudTrail) в структурированные данные, пригодные для обнаружения. Обнаружение аномалий / ML (практическое, не теоретическое) Применять простые модели там, где они добавляют ценность (например, One-Class SVM или аналогичные подходы) Фокусироваться на: базовом профилировании поведения оценке аномалий Настраивать модели на основе реальных результатов (ложные срабатывания важнее теории) Если ML не улучшает сигнал — не используйте его. Автоматизация и реагирование Создавать плейбуки реагирования для типовых случаев Автоматизировать там, где это действительно экономит время (а не ради самой автоматизации) Интегрироваться с SOAR или писать легковесную оркестрацию Улучшать: скорость обнаружения согласованность реагирования. Использование AI (реалистичные ожидания) Использовать LLM для: обогащения оповещений сводок по результатам расследований внутренних инструментов Не создавать "AI-платформу безопасности" Фокусироваться на практической выгоде, а не на хайпе. Threat hunting Проводить целенаправленные поиски на основе гипотез Использовать внутренние данные + внешние сигналы Выявлять пробелы в логировании и обнаружении.

Что ждём от вас

• Существенный опыт работы с SIEM (Elastic, Splunk, Sentinel и т.д.)
• Глубокое понимание:
• облачной активности (особенно AWS логов и IAM)
• основ сетевых технологий
• современного поведения приложений (API, потоки аутентификации)
• Комфортная работа с большими наборами данных (не бояться сырых логов)
• Python или аналогичный язык для обработки данных
• Опыт автоматизации (SOAR или кастомные скрипты).
• Желательно (но не критично)
• Опыт применения ML к логам (даже простых моделей достаточно)
• Знакомство с LLM в инструментах (не в исследованиях)
• Опыт работы с пайплайнами данных (Kafka, Spark и т.д.)
• Маппинг на MITRE ATT&CK
• Что поможет вам быть эффективным здесь
• Вы не доверяете оповещениям слепо
• Вы заботитесь о качестве сигнала, а не о количестве обнаружений
• Вы можете отладить, почему обнаружение шумное или бесполезное
• Вы понимаете системы, а не только инструменты
• Вы предпочитаете создать что-то один раз, вместо того чтобы повторять ручную работу.
• Как выглядит успех
• Меньше ложных срабатываний
• Лучшая видимость по всем системам
• Более быстрые расследования
• Меньше ручной работы в SOC
• Обнаружения, которые действительно ловят реальные проблемы