Администратор стека Positive Technologies (SIEM/VM/EDR/Sandbox/WAF)

Новый «Олимпийский» − самый амбициозный, современный, технологичный многофункциональный комплекс России и Европы.

Скоро «Олимпийский» откроет свои двери для посетителей и станет уникальной точкой притяжения, объединяющей спорт, здоровье, музыку, культуру, семейный досуг, развлечения, шопинг и качественные сервисы.

Присоединяйтесь к команде первоклассных специалистов и станьте частью культовой истории одного из лучших и современных инфраструктурных объектов страны!

Обязанности:

• Эксплуатация и администрирование решений Positive Technologies:MaxPatrol SIEM, MaxPatrol VM, PT EDR, PT Sandbox, PT Application Firewall (WAF).
• Интеграции источников (сетевое и серверное железо, ОС, БД, веб-сервисы, приложения, облака): Syslog/JSON/CEF/LEEF, агенты, коннекторы.- Нормализация/обогащение/корреляция: парсеры, словари, гео/CMDB-обогащение, , дедупликация, suppression, анти-FP.
• Правила и дашборды: разработка/тюнинг use-case’ов, алертов, KPI/метрик; отчётность для ИТ/ИБ/бизнеса.- VM: скан-профили, расписания, исключения, приоритизация (CVSS/контекст активов), отчёты для ремедиации. Совместная эксплуатация.
• EDR: управление агентами и политиками, IOC/IOA, изоляция, откат, экспорт телеметрии в SIEM; плейбуки реагирования. Совместная эксплуатация.- Sandbox: профили детонации, интеграции (почта/веб-шлюзы/ICAP), автоматическое обогащение артефактов в SIEM.
• WAF: публикация сервисов, обновление и тюнинг правил, интеграция логов, плановые изменения без даунтайма. Совместная эксплуатация.

Процессы:
- эксплуатационные регламенты, runbooks/playbooks, бэкапы/ретеншен/архив, обновления, отказоустойчивость/HA, мониторинг здоровья.
- участие в разборе инцидентов, сопровождение изменений (CAB), документация.

Требования:

• Практический опыт администрирования минимум 3–4 решений PT из списка: MaxPatrol SIEM / MaxPatrol VM / PT EDR / PT Sandbox / PT AF.
• Уверенные знания Linux/Windows Server, сетей (TCP/IP, DNS, NAT, балансировщики), TLS/PKI (сертификаты).- Опыт работы с логами и форматами Syslog/JSON/CEF/LEEF, умение писать парсеры/регэкспы, строить обогащение.
• Опыт проведения профилирования событий.- Опыт работы с Sysmon, AuditD.
• Понимание корреляции событий, приоритизации алертов, базовых метрик эффективности (FP/FN, MTTA/MTTR).- Навыки скриптинга (Bash/Python/PowerShell) для автоматизации рутин и отчётности.

• Документация и коммуникации: чёткие инструкции, понятная корпоративная переписка, работа под нагрузкой.

  Будет плюсом:
  - Участие в расследованиях инцидентов (IR/SOC), MITRE ATT&CK, работа с TI (STIX/TAXII).
  - CTF/bug bounty (веб/форензика/детекция).- Умение писать правила нормализации/обогащения/корреляций «с нуля»; опыт SIEM-интеграций с IRP/SOAR.
  - MaxPatrol экосистема целиком (в т.ч. отчётность/хранилище/ретеншен).- Базы данных и очереди на уровне админа (понимание ретеншена, шардирования, бэкапов).
  - Знание о Detection-as-Code, SIGMA.

  Бонус:
  готовность расширить периметр компетенций на экосистему Kaspersky (KUMA, Kaspersky EDR Expert, KATA/Sandbox, KSC): администрирование, интеграции, экспорт событий, корреляции. Возможность развиваться в написании детектирующих правил или другое направление SOC.

Условия:

• График работы 5/2 (на период испытательного срока офис с гибким началом рабочего дня, после - "гибридный" график работы)
• Работа в уникальном проекте с интересными задачами по всем направлениям бизнеса;
• Официальное трудоустройство трудоустройство в соответствии с ТК РФ;
• Корпоративное питание;
• Комфортный офис в центре Москвы, в шаговой доступности от метро