Архитектор XDR/SIEM

В команду премиальной поддержки ищем сервис-менеджера on-premises инфраструктуры XDR для одной из крупнейших и самых высоконагруженных инсталляций eXtended Detection and Response (XDR) — с интегрированными компонентами классов IRP, SIEM (KUMA), EDR, система управления антивирусом (KSC).

В этой роли вы будете развивать сервис и обеспечивать его стабильную эксплуатацию: много общаться с клиентом, работать в связке с технической поддержкой, командой SOC-аналитиков, разработкой, а также интегратором, обеспечивающим поддержку инфраструктуры. Важно уметь соединять потребности бизнеса и «технику» — и вместе с клиентом строить понятную дорожную карту развития решения в его инфраструктуре, учитывая планы клиента и наш роадмап по XDR.

Основные задачи:

• Развивать и сопровождать сервис XDR и его инфраструктуру совместно с интегратором (операционные системы, серверы и системы хранения, сетевое оборудование), обеспечивая стабильность, производительность и масштабируемость.
• Совместно с клиентом согласовывать план развития сервиса: ожидания и приоритеты клиента; текущие возможности решения; будущий product roadmap XDR.
• Совместно с клиентом управлять изменениями в сервисе XDR, учитывая влияние на инфраструктуру: подключение новых источников/сенсоров, рост потока событий и нагрузок, изменения правил нормализации/корреляции, изменение сроков хранения и политик; оценка рисков и влияния, планирование работ/окон, согласование с клиентом, контроль внедрения и пост-проверки.
• Формировать и вести план регулярного обслуживания и проактивной профилактики рисков эксплуатации (capacity-планирование, контроль деградаций, регулярные проверки интеграций, рекомендации по hardening настройкам).
• Координировать работу интегратора, и вовлечённых команд Лаборатории Касперского (Professional Services и Technical Support) в формате «единого окна» по всем вопросам клиента.
• Лично подключаться к разбору инцидентов и координировать восстановление сервиса при сбоях (до полного восстановления и фиксации корректирующих действий).
• Регулярно взаимодействовать с продуктовой командой и разработкой XDR: передавать обратную связь клиента, инициировать улучшения, сопровождать устранение дефектов и RCA по сбоям/инцидентам.
• Выявлять, формализовать и выносить риски эксплуатации сервиса (технические, процессные, ресурсные) на уровень аккаунт-команды; обсуждать вводные и предлагать варианты митигации, фиксировать договорённости и дальнейшие действия со сроками и ответственными.

Какие результаты от Вас ожидаются:

• Стабильная работа сервиса XDR в инфраструктуре клиента: высокая доступность и производительность, отсутствие незапланированных и несогласованных простоев.
• Прозрачное и управляемое внедрение изменений: изменения согласованы, выполняются в окна, проходят пост-проверки, без негативного влияния на сервис.
• Инженерные работы по XDR выполняются в согласованные сроки и с ожидаемым качеством.
• Сформирована и исполняется совместная дорожная карта развития сервиса XDR у клиента (приоритеты согласованы, прогресс отслеживается на регулярных ревью).
• Минимизация критичных эскалаций: решение проблем в режиме единого окна, с понятными сроками и ответственными.

Какие навыки Вам необходимы:

• Навык кросс-функционального взаимодействия: выстраивать работу «в одной связке» с разработкой, продуктовой командой, SOC, технической поддержкой, Professional Services, интегратором в рамках субподряда.
• Опыт эксплуатации и администрирования высоконагруженных инсталляций SIEM/IRP/SOAR (EPS>50 000), включая мониторинг, тюнинг, интеграции, troubleshooting, планирование и оптимизация нагрузки.
• Практический опыт управления изменениями в продукте, проведение работ в согласованные окна, контроль влияния и пост-проверки.
• Координация работы интегратора для поддержки инфраструктуры, на которой работает XDR:
  • ClickHouse, PostgreSQL, SQLite (резервное копирование/восстановление, репликация/HA, оптимизация запросов, тюнинг).
  • Контейнеризация и оркестрация: Kubernetes K8S (deploy/upgrade, networking, storage, troubleshooting, базовая безопасность, наблюдаемость).
  • Astra Linux 1.7 «Воронеж» и выше (bonding/team, аудит и журналирование, hardening, performance-тюнинг).
  • Аппаратная платформа и storage: серверы YADRO, RAID (уровни, отказоустойчивость, деградации).
  • Компьютерные сети для высоких нагрузок: NIC teaming/bonding, предотвращение сетевых проблем (потери, дубликаты MAC, ошибки LACP/bonding, влияние неисправного оборудования).
  • Базовые инфраструктурные сервисы предприятия: MS AD DS, ALD Pro, DNS, DHCP (интеграции, эксплуатация).