Описание вакансии
В Yandex Cloud активно развиваются продукты безопасности для внешних клиентов. Сейчас особенный интерес к нашим SIEM и SOC-сервисам — продукт вышел в апреле и уже вызывает большой ажиотаж. А значит, нужно не просто поддерживать интерес, а выстраивать системную работу с клиентами на этапе пресейла и пилотов.
Мы ищем архитектора, который возьмёт на себя техническую часть этого процесса. Ваша задача — понять потребности клиента, спроектировать подходящую архитектуру решения и провести его через пилот к промышленной эксплуатации. Для этого нужно глубоко погрузиться и в задачи клиента, и в возможности продукта. В работе будете тесно взаимодействовать с командами SOC, внедрения, разработки и продукта.
Какие задачи вас ждутКоординация технической части пилотов
Вы будете «владельцем» технического контура пилотного проекта. Это значит, что вам предстоит формировать его цели, архитектуру и набор источников, а также определять критерии готовности. В задачу входит подготовка технического плана, координация подключения источников, контроль качества данных, выявление интеграционных ограничений и организация взаимодействия между заказчиком и внутренними командами.
Участие в проработке сценариев мониторинга
Совместно с командой SOC вы будете помогать заказчику определять, какие угрозы для него актуальны и какие источники данных нужны для их обнаружения. Важно не просто собрать требования, а связать задачи клиента с возможностями продукта в целостное решение. От вас потребуется понимание, как распределяются зоны ответственности и как будет выстроена эскалация инцидентов.
Развитие типовых материалов
Мы идём до конца в стремлении сделать процессы эффективными. По итогам проектов вы будете создавать материалы, которые ускорят запуск следующих пресейлов и пилотов: типовые архитектуры, чек-листы, шаблоны проектов и демонстрационные сценарии.
- Работали с SIEM, SOC или проектами по мониторингу информационной безопасности от трёх лет в роли архитектора, пресейл-инженера, инженера внедрения или специалиста SOC
- Участвовали в проектировании, внедрении или промышленной эксплуатации SIEM
- Понимаете, как устроены процессы мониторинга, обработки алертов, расследования и реагирования на инциденты
- Знакомы хотя бы с одной из распространённых SIEM-платформ (KUMA, MaxPatrol SIEM, ArcSight, Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security, Wazuh или аналогичной)
- Разбираетесь в архитектуре сбора, передачи, обработки и хранения событий безопасности, умеете работать с логами (Syslog, JSON, CEF, LEEF)
- Умеете писать поисковые и аналитические запросы на языках KQL, SPL, PDQL или аналогичных
- Можете проектировать технические решения и оформлять их в виде понятных архитектурных схем и документов
- Способны объяснять сложные технические вопросы как инженерам, так и руководителям
- Самостоятельно ведёте задачи и координируете работу заказчика, продаж, SOC и разработки
- Владеете английским на уровне чтения технической документации
- Работали аналитиком, архитектором или руководителем направления в SOC
- Участвовали в оценке производительности SIEM, расчёте EPS или объёма хранения
- Создавали ПМИ, технические задания и выступали на конференциях или вебинарах
- Знакомы с MITRE ATT&CK и умеете связывать сценарии мониторинга с техниками атак
- Умеете работать с облачной инфраструктурой Yandex Cloud, AWS, Azure или Google Cloud
- Понимаете особенности мониторинга гибридной инфраструктуры и контейнерных сред (Kubernetes, Docker)
- Знакомы с Kafka, Logstash, Fluent Bit, Vector, Beats или другими инструментами доставки событий
- Можете автоматизировать задачи с помощью Python, Bash, API или CLI
- Знакомы с требованиями российских регуляторов к регистрации событий и реагированию на инциденты
Мы строим единое направление мониторинга безопасности, в котором SIEM, SOC-сервис, детектирование и расследование работают как связанные части одной системы. В команде тесно взаимодействуют разработчики, продуктовые менеджеры, аналитики SOC и другие архитекторы.
Здесь можно напрямую влиять на продукт: фидбэк от клиентов и результаты пилотов становятся основой для развития архитектуры и правил детектирования. Вы будете не просто общаться с клиентами, а участвовать в создании облачной платформы мониторинга безопасности — от первых крупных внедрений до формирования стандартов её промышленной эксплуатации. Мы ищем человека, который разделяет нашу увлечённость, готов брать ответственность за свой результат и получать удовольствие от процесса.