Специалист мониторинга защищённости, SOC Analyst, DevSecOps Engineer, Security Engineer

SIEM/SOC-мониторинг и анализ инцидентов
Работа с MaxPatrol SIEM и Wazuh: корреляция событий, выявление аномалий, построение timeline компрометации, координация действий с аналитиками L1/L3.
Расширенная корреляция через KUMA: настройка правил нормализации и корреляции для изолированных сегментов, интеграция событий в общую SIEM-инфраструктуру.

Threat Intelligence
Анализ целевых атак с использованием Kaspersky KATA (Node, Sandbox), выделение индикаторов компрометации (IoC), определение векторов атак.

Управление уязвимостями
Сканирование и приоритизация уязвимостей в MaxPatrol VM и EDR, анализ метрик CVSS, контроль процесса устранения.
Централизованное управление политиками защиты через Kaspersky Security Center (KSC): настройка задач, обновлений, профилей защиты для 500+ устройств.

DevSecOps и контейнерная безопасность
Самостоятельное развёртывание инфраструктуры:
Установка и полное конфигурирование кластеров Kubernetes: настройка Control Plane, добавление и управление Worker Nodes, конфигурация сетевого плагина (CNI), настройка балансировки нагрузки.
Развёртывание и настройка container runtime: установка и конфигурирование containerd и Docker в соответствии с требованиями безопасности, управление демонами и хранилищами образов.
Внедрение средств защиты контейнеров: установка и интеграция Kaspersky Container Security, настройка политик сканирования образов и runtime-защиты.
Обеспечение безопасности и отказоустойчивости: настройка ролевой модели доступа (RBAC), реализация сетевых политик (Network Policies), мониторинг состояния кластера и оркестрация обновлений.
Интеграция с CI/CD: настройка и доработка пайплайнов GitLab CI/CD для автоматизированного SAST/DAST-сканирования и безопасной сборки образов.

Администрирование экосистемы Kaspersky Enterprise
Kaspersky Security Center (KSC) – единая точка управления политиками, задачами, обновлениями, лицензиями.
KUMA – сбор событий, корреляция, передача в SIEM, настройка уведомлений.
Kaspersky EDR, KSMG – контроль работы агентов, актуальности баз, покрытия устройств.
Интеграция СЗИ через API и SQL: подключение к СУБД, настройка обмена данными между KSC, KUMA и внешними системами.
Мониторинг изолированных сегментов: организация каналов сбора событий при отсутствии прямой связности, диагностика сбоев СЗИ.

Анализ защищённости сетей
Аудит конфигураций сетевого оборудования, выявление уязвимостей, подготовка рекомендаций по повышению защищённости.

Документирование и методология
Разработка playbook'ов, ведение базы знаний, подготовка регламентов и эксплуатационной документации.

Достижения и результаты
Операционная эффективность: Обработано 500+ инцидентов ИБ. Среднее время реакции (MTTA) — 1,5 часа (при установленной норме 4 часа).
Оптимизация правил корреляции: Сокращение количества ложноположительных срабатываний на 25% за счёт тонкой настройки MaxPatrol SIEM и KUMA.
Улучшение метрик SOC: Снижение среднего времени обнаружения (MTTD) с 4 до 2,5 часов; снижение среднего времени устранения (MTTR) с 8 до 4 часов.
Внедрение Solar appScreener:
Интеграция в GitLab CI/CD для автоматизированного SAST/DAST-анализа.
Пилотное тестирование: оценка точности детектирования (CVE, CWE, OWASP Top 10), валидация результатов, сравнительный анализ с аналогами.
Разработка методических рекомендаций для команд разработки и playbook'ов для SOC.
Построение инфраструктуры контейнеризации:
Выполнил полный цикл развёртывания и конфигурирования кластера Kubernetes, а также сред выполнения containerd и Docker для внедрения Kaspersky Container Security и обеспечения работы CI/CD.
Аттестация объектов КИИ: Проведение работ с использованием стека: KATA, MaxPatrol VM, XSpider, Kaspersky Container Security.
Централизованное управление защитой: Настроил KSC для управления политиками и обновлениями на 500+ конечных устройствах; снижение ошибок конфигурации на 30%.
Интеграция KUMA с SIEM: Обеспечил сбор событий из изолированных сегментов, сократив время обнаружения инцидентов на 20%.

Технологический стек
Средства защиты и мониторинга:
MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, Wazuh, Kaspersky KATA (Node, Sandbox), Kaspersky Container Security, KSC, KUMA, KSMG, Solar appScreener, XSpider.
Инфраструктура и виртуализация:
Kubernetes (установка и полная настройка кластера), Docker, containerd, GitLab CI/CD, VMware, Microsoft Hyper-V.
ОС и сетевое оборудование:
Windows Server, Linux (CentOS, Ubuntu, Astra Linux), Cisco, MikroTik.
Дополнительные компетенции:
Знание и соблюдение законодательства РФ в области ИБ и ИТ.
Разработка нормативной документации, регламентов и стратегий обеспечения информационной безопасности.
Настройка межсетевых экранов и реализация мер по предотвращению НСД.
Обеспечение бесперебойного функционирования технических и программных систем ИБ.
Проведение обучения сотрудников основам кибергигиены и информационной безопасности.
Мониторинг производительности и отказоустойчивости ИТ-инфраструктуры.
Планирование масштабирования и модернизации ИТ-инфраструктуры.

Поддержка пользователей и управление инцидентами (SLA)

Оперативное реагирование на обращения клиентов и внутренних пользователей в рамках жёстких SLA: среднее время первой реакции — менее 30 минут, решение типовых инцидентов — в день обращения.

Удалённая диагностика проблем на стендах заказчиков: подключение к инфраструктурам различной сложности (от одиночных серверов до распределённых инсталляций MaxPatrol SIEM), анализ конфигураций и логов для локализации корневой причины сбоя.

Ведение полного жизненного цикла заявки: регистрация событий, эскалация на разработку, контроль сроков, закрытие с обязательной обратной связью клиенту.

Консультирование клиентов и сотрудников по электронной почте и телефону: от разъяснения базового функционала до сложных кейсов настройки корреляции и написания правил нормализации.

Технический аудит и системный анализ

Комплексное обследование внедрённых решений MaxPatrol 8, MaxPatrol SIEM, MaxPatrol VM и XSpider: оценка оптимальности архитектуры развёртывания, достаточности выделенных системных ресурсов, уровня отказоустойчивости и готовности к аварийному восстановлению (Disaster Recovery).

Выявление скрытых деградаций производительности: анализ узких мест при обработке потоков событий в SIEM, оптимизация индексов и хранилищ, настройка политик ротации данных.

Формирование отчётов и рекомендаций по масштабированию инфраструктуры для поддержания стабильной работы продуктов при росте объёма событий и появлении новых источников.

Взаимодействие с разработкой и развитие продукта

Сбор, систематизация и приоритизация обратной связи от текущих и потенциальных заказчиков по функциональности продуктов MaxPatrol. Выступал связующим звеном между полем (реальные потребности бизнеса) и R&D-центром.

Передача в подразделения разработки структурированных требований на доработку (Feature Request) и подробных отчётов об ошибках (Bug Report) с приложением дампов трафика, логов и сценариев воспроизведения.

Участие в тестировании экспериментальных сборок и патчей: проверка исправлений на стендах, имитирующих реальные конфигурации клиентов, перед отправкой релиза в промышленную эксплуатацию.

Анализ сбоев и расследование инцидентов на уровне кода продукта

Глубокий анализ причин возникновения сбоев в работе MaxPatrol 8, MaxPatrol SIEM, MaxPatrol VM и XSpider. Использование внутренних утилит диагностики, отладчиков и системных логов Linux/Windows для локализации ошибок на уровне компонентов продукта.

Совместная работа с командами разработки над сложными кейсами: участие в сессиях разбора инцидентов (Post-Mortem), выработка временных обходных решений (Workaround) до выхода официального исправления.

Разработка дополнительных вариантов устранения нештатных ситуаций при использовании продуктов MaxPatrol и XSpider. Формирование базы знаний с нестандартными решениями, которая впоследствии использовалась инженерами первой линии для ускорения обработки обращений.

Методическая работа и документация

Разработка методических рекомендаций по адаптации функционала продуктов Positive Technologies под специфические условия эксплуатации клиента (в том числе на основе анализа типовых запросов и повторяющихся проблем).

Подготовка внутренних и клиентских инструкций: «Как правильно обновить MaxPatrol SIEM в кластерной конфигурации», «Best Practices по настройке XSpider для сканирования изолированных сегментов сети».

Ведение деловой переписки с клиентами и партнёрами на высоком уровне технической грамотности: умение объяснить сложные технические нюансы понятным языком как системному администратору, так и руководителю отдела ИБ.

Достижения и сертификация (Positive Technologies)
Подтверждённая экспертная квалификация

MaxPatrol 8: Сертифицированный специалист Certified Specialist (CS) и сертифицированный профессионал Certified Professional (CP) .

MaxPatrol SIEM: Сертифицированный специалист Certified Specialist (CS) и сертифицированный профессионал Certified Professional (CP) .

MaxPatrol VM: Сертифицированный специалист Certified Specialist (CS) .

Проактивное выявление сбоев: На основе анализа эксплуатации у текущих клиентов выявил ряд критических сценариев отказа, воспроизведённых и подтверждённых разработчиками, что позволило выпустить внеплановые патчи до массового проявления проблемы у других заказчиков.

Участие в приёмочном тестировании: Провёл цикл тестовых работ разработанных решений и исправлений для продуктов MaxPatrol 8, MaxPatrol SIEM, MaxPatrol VM и XSpider. Цель — валидация качества перед включением в новые мажорные версии и пакеты обновлений.

Пополнение базы знаний: Автор материалов с описанием неочевидных решений возникших сбоев, которые сократили среднее время решения повторных инцидентов на линии технической поддержки на ~15% .

Ключевые навыки в рамках продуктового стека PT
Эксплуатация и администрирование: Глубокое знание внутренней архитектуры MaxPatrol SIEM (коллекторы, коррелятор, хранилище), MaxPatrol VM (механизмы сканирования и приоритизации), MaxPatrol 8 и XSpider.

Диагностика: Навыки чтения и анализа логов компонентов, работа с консолью управления, понимание процессов взаимодействия модулей на сетевом уровне.

Коммуникация: Опыт работы с VIP-клиентами и сложными эскалациями, умение гасить конфликты и выстраивать доверительные отношения в стрессовых ситуациях сбоя систем безопасности.

Проектирование и консалтинг в области ИБ

Участие в разработке архитектурных моделей систем информационной безопасности для заказчиков из финансового и промышленного секторов. Консультирование клиентов по вопросам выбора оптимальных средств защиты, оценки рисков и соответствия нормативным требованиям.

Экспертная поддержка на этапе предпроектного обследования: анализ текущего состояния ИТ- и ИБ-инфраструктур, выявление узких мест, формирование вектора развития систем защиты.

Разработка и совершенствование проектных решений в составе кросс-функциональных команд. Участие в защите технических проектов перед заказчиком.

Внедрение, настройка и сопровождение средств защиты

Развёртывание стендов тестовых площадок для пилотирования решений ИБ: подготовка виртуальной инфраструктуры, установка и конфигурирование целевых программных продуктов, интеграция с существующими ИТ-системами заказчика.

Внедрение и тонкая настройка программных продуктов ИТ и ИБ в промышленную эксплуатацию в рамках проектов построения комплексных систем защиты.

Обеспечение бесперебойного функционирования распределённого программно-технического комплекса организации: мониторинг доступности сервисов, оперативное реагирование на инциденты, плановое техническое обслуживание.

Установка, эксплуатация и администрирование технических средств защиты информации: межсетевых экранов, средств криптографической защиты, систем обнаружения вторжений, средств защиты от несанкционированного доступа.

Аудит и анализ защищённости

Проведение комплексного аудита ИТ- и ИБ-систем заказчиков, включая обследование систем АСУ ТП и технологических объектов. Анализ конфигураций сетевого оборудования, серверов и средств защиты на предмет соответствия лучшим практикам и требованиям регуляторов.

Оценка защищённости рабочих помещений и выделенных зон с точки зрения технической защиты информации. Подготовка рекомендаций по устранению выявленных недостатков и усилению режима безопасности.

Методологическая поддержка и обучение

Разработка, внедрение и актуализация внутренних нормативных и распорядительных документов, регламентирующих процессы информационной безопасности: политики, регламенты, инструкции пользователей и администраторов.

Проведение обучающих семинаров и инструктажей для персонала заказчика по вопросам информационной безопасности и правилам работы с внедрёнными средствами защиты.

Консультирование клиентов по продуктам ИБ и методологии их встраивания в существующую ИТ-инфраструктуру. Помощь в адаптации решений под бизнес-процессы заказчика.

Кросс-функциональное взаимодействие

Участие в работе проектных команд по развитию ИТ-инфраструктуры в смежных направлениях: виртуализация, сетевое взаимодействие, системы хранения данных.

Координация действий с техническими специалистами заказчика и подразделениями разработки для обеспечения целостности и непротиворечивости внедряемых решений.

Достижения и реализованные проекты

Построение системы резервного копирования: разработал и внедрил решение для резервного копирования критически важных систем заказчика с использованием специализированного ПО (Acronis Data Protection и Veeam Backup & Replication). Обеспечено надёжное восстановление данных в случае сбоев и соответствие требованиям непрерывности бизнеса.

Участие в проекте внедрения Kaspersky Industrial CyberSecurity for Networks: принимал непосредственное участие в развёртывании и настройке решения для мониторинга и защиты промышленных сетей. Выполнял интеграцию компонентов KICS for Networks в существующую инфраструктуру заказчика.

Методическое обеспечение аттестации объектов КИИ: разработал пакет материалов и документации для выполнения работ по внедрению системы информационной безопасности значимых объектов критической информационной инфраструктуры в соответствии с требованиями 187-ФЗ. Подготовленные документы легли в основу аттестационных мероприятий и успешно прошли проверку контролирующих органов.

Проектное управление и внедрение систем безопасности

Участие в полном цикле проектов по настройке системы информационной безопасности: от этапа оценки рисков и угроз до передачи решения в промышленную эксплуатацию.

Проведение стендовых испытаний специального программного обеспечения для оптимизации работы ИТ-инфраструктуры и валидации заявленных характеристик безопасности.

Руководство проектами по развитию ИТ-инфраструктуры и интеграция задач ИБ в смежные ИТ-направления в рамках кросс-функциональных команд.

Эксплуатация и обеспечение отказоустойчивости

Обеспечение бесперебойного функционирования распределённого программно-технического комплекса организации в составе 7 физических серверов и 50+ рабочих станций.

Администрирование платформ виртуализации VMware и Microsoft Hyper-V, контроль состояния оборудования IBM и HP, оперативное устранение сбоев.

Надзор и контроль состояния информационной безопасности, ИТ-инфраструктуры и средств защиты информации в средах Windows и Linux.

Установка, эксплуатация и администрирование технических средств защиты информации, участие в мероприятиях по защите персональных данных в соответствии с требованиями регуляторов.

Анализ инцидентов и нормативное обеспечение

Анализ выявленных инцидентов ИБ и участие во внутренних расследованиях: сбор цифровых доказательств, локализация вектора атаки, выработка компенсирующих мер.

Разработка и совершенствование внутренних нормативных и распорядительных документов, регламентирующих требования и процессы информационной безопасности.

Обучение персонала основам информационной безопасности и правилам эксплуатации средств защиты, повышение общего уровня кибергигиены в организации.

Достижения и ключевой проект

Проект для Администрации Владимирской области: Выполнил внедрение и настройку специализированного программного обеспечения для функционирования системы информационной безопасности государственного заказчика. Проект включал полный цикл работ: развёртывание стенда, конфигурирование средств защиты, интеграцию в существующую инфраструктуру и передачу в эксплуатацию с пакетом регламентной документации.

Стратегическое управление состоянием ИБ
Проведение комплексной оценки состояния информационной безопасности, анализ рисков и актуальных угроз для информационных систем военного назначения. Формирование отчётов и рекомендаций для принятия управленческих решений командованием.

Осуществление постоянного надзора и контроля за соблюдением требований ИБ в эксплуатируемых информационных системах, включая контроль администрирования ОС Windows и Linux, а также функционирования программных и программно-аппаратных средств защиты.

Разработка и внедрение нормативной базы
Полный цикл разработки, внедрения и актуализации внутренних нормативных и распорядительных документов, регламентирующих процессы обеспечения информационной безопасности.

Приведение документации в соответствие с требованиями законодательной базы по работе с конфиденциальной информацией и персональными данными. Обеспечение юридической чистоты процессов обработки информации ограниченного доступа.

Расследование инцидентов и техническая защита
Участие в расследовании выявленных инцидентов ИБ в качестве технического эксперта: сбор цифровых доказательств, анализ лог-файлов, восстановление хронологии событий, выработка мер по недопущению повторения.

Установка, настройка, эксплуатация и администрирование технических средств защиты информации (СЗИ). Обеспечение их бесперебойного функционирования в составе распределённого программно-технического комплекса.

Реализация мероприятий по технической защите информации в выделенных помещениях: контроль выполнения норм противодействия утечке по техническим каналам.

Обучение и повышение осведомлённости персонала
Организация и проведение занятий с личным составом и сотрудниками по вопросам информационной безопасности, кибергигиены и правилам обращения с носителями информации ограниченного доступа.

Достижения и результаты (Служба в ВС РФ)
Признание и статус
Капитан запаса. Успешное прохождение службы на офицерских должностях, связанных с защитой информации и эксплуатацией специального программного обеспечения.

Награждён ведомственными медалями Министерства обороны Российской Федерации за вклад в обеспечение безопасности информации и модернизацию технических средств.

Модернизация инфраструктуры и средств защиты
Техническое переоснащение: Выполнил модернизацию ряда технических изделий путём перехода на более современные сертифицированные средства защиты информации. Обеспечил совместимость нового ПО с существующими автоматизированными рабочими местами пользователей без потери производительности.

Усиление режима безопасности: Инициировал и реализовал доработку конфигураций средств защиты информационных систем, включая ввод дополнительных ограничений по использованию съёмных носителей информации. Данная мера позволила существенно снизить риск утечек данных и заражения вредоносным ПО в изолированных сегментах сети.

Нормативное обеспечение
Приведение в соответствие с НПА: Разработал и оформил пакет нормативной документации, обеспечивающий полное соответствие процессов обработки конфиденциальной информации требованиям законодательства Российской Федерации. Успешно пройдены проверки контролирующих органов.

Эксплуатация и администрирование систем защиты информации

Обслуживание и обеспечение бесперебойного функционирования технических средств защиты информации в распределённой инфраструктуре военного назначения.

Мониторинг текущего состояния оборудования в режиме 24/7, превентивное формирование ЗИП и планирование расхода материалов для исключения простоев.

Развёртывание и сопровождение комплексной системы защиты информации, включая настройку политик доступа и аудит событий безопасности.

Интеграция и сбор событий ИБ

Подключение и настройка источников событий безопасности: операционные системы семейств Windows и Linux, сетевое оборудование, базы данных и специализированные средства защиты.

Централизованный сбор и первичный анализ событий для последующего расследования инцидентов и выявления аномалий.

Разработка документации и регламентов реагирования

Разработка внутренней нормативной и эксплуатационной документации по вопросам информационной безопасности.

Создание сценариев реагирования на инциденты (playbook'ов) и компенсирующих мер по результатам анализа уязвимостей.

Взаимодействие с разработчиками и смежными подразделениями

Тесное взаимодействие с технической поддержкой производителей ПО для эскалации и решения критических проблем.

Сопровождение пользователей и сбор обратной связи для программно-аналитического отдела с целью формирования требований на доработку индивидуального программного обеспечения под специфику подразделений.

Анализ защищённости и техническая поддержка

Проведение регулярного анализа защищённости сетевых активов, выявление уязвимостей и подготовка адресных рекомендаций по их устранению.

Участие в расследовании инцидентов информационной безопасности: сбор цифровых доказательств, восстановление хронологии событий, определение вектора атаки.

Оказание квалифицированной технической поддержки пользователям по вопросам эксплуатации средств защиты информации.

Достижения и результаты

Модернизация АРМ: Провёл комплексную доработку автоматизированных рабочих мест с целью приведения их производительности в соответствие с оптимальными требованиями конечных пользователей в условиях ограниченных аппаратных ресурсов.

Влияние на разработку ПО: Осуществил сбор и структурирование материалов о потребностях пользователей для программно-аналитического отдела, что позволило разработать и ввести в эксплуатацию кастомизированное ПО, точно отвечающее задачам подразделения.

Ввод в строй: Обеспечил успешный ввод в эксплуатацию модернизированных рабочих систем без нарушения непрерывности выполнения служебных задач.