Инженер ИБ (информационная безопасность)/SIEM Engineer

О компании:
Xello – IT-компания, прошедшая путь от стартапа до одного из ключевых игроков на рынке информационной безопасности. Мы создаём передовые продукты в сфере кибербезопасности, направленные на предотвращение хакерских атак. Наши решения помогают бизнесам любого масштаба защищать свои критические данные и данные клиентов.
Мы аккредитованная IT-компания в Минцифры и резиденты Сколково, и наши сотрудники могут воспользоваться предлагаемыми льготами.
Наша команда регулярно участвует в профильных конференциях, а проекты реализуются на современном технологическом стеке, что обеспечивает инновационность и качество наших решений.
Мы работаем с передовым технологическим стеком и решаем сложные задачи, связанные с созданием высоконагруженных систем и архитектурных компонентов. У нас вы будете участвовать в разработке решений, которые взаимодействуют с операционными системами и инфраструктурой, обрабатывают сотни тысяч событий в секунду и оптимизируют процессы хранения данных и коммуникации между компонентами. Мы ценим инновации и открыты для экспериментов, постоянно используем современные подходы и инструменты в разработке.
Сегодня мы разрабатываем собственную платформу для работы с событиями безопасности и решаем сложные задачи, связанные со сбором, обработкой и анализом данных в режиме реального времени.
Сейчас мы ищем инженера, который будет заниматься развертыванием и администрированием компонентов внутреннего SOC и смежных средств безопасности.
Вы будете работать с реальной инфраструктурой, проектировать и настраивать пайплайны сбора событий безопасности, следить за качеством данных и формировать техническую документацию, на которую будут опираться другие команды.
Чем вам предстоит заниматься:
• Развертывание и администрирование компонентов сбора и обработки логов в production-окружении;
• Развертывание и администрирование агентов сбора логов на хостах;
• Нормализация событий к единому внутреннему формату;
• Мониторинг pipeline от получения события до записи в базу данных;
• Развертывание и администрирование смежных средств информационной безопасности/СЗИ;
• Написание и отладка парсеров и регулярных выражений для новых источников данных (regExp, PQL и других);
• Написание технической документации по администрируемым компонентам;
• Плотное взаимодействие с CISO, Product Lead, DevOps и другими отделами компании.
Что ожидаем от кандидата:
• Знания на уровне администратора ОС Linux и Windows;
• Базовые навыки работы с Docker;
• Понимание принципов работы компьютерных сетей — модель OSI, TCP/IP, UDP, DNS, DHCP, SSH, HTTP(S);
• Понимание форматов передачи логов — Syslog (RFC 3164/5424), CEF, JSON, XML;
• Опыт работы с Windows Event Log, Active Directory, Auditd, CEF-источниками;
• Опыт написания технической документации — чётко, структурированно, без воды;
• Аналитический склад ума и внимание к деталям — качество данных здесь критично.
Будет плюсом:
• Опыт работы с инструментами сбора и обработки логов — Logstash, Fluentd, Vector или аналоги;
• Опыт работы с брокерами сообщений — Kafka/RabbitMQ;
• Опыт работы с колоночными или аналитическими СУБД;
• Понимание принципов работы Firewall, EDR, IDS/IPS, Proxy.
Мы предлагаем:
• Гибкий гибридный график работы;
• Возможность удаленной работы;
• Достойную заработную плату, которая обсуждается с каждым кандидатом индивидуально и зависит от знаний и опыта;
• Пересмотр заработной платы в соответствии с профессиональным ростом;
• Возможность максимально влиять на продукт;
• Профессиональный рост, возможность работы над сложными задачами в рамках уникального продукта;
• Возможность принимать участие в профильных мероприятиях и конференциях;
• Качественный пакет ДМС, day-off pack, и т.д.