Назад

ML Engineer (Incident Response)

Направление
Информационная безопасность
Уровень
Middle / Senior
Опыт работы
от 3 до 6 лет

Чем предстоит заниматься

  • Разрабатывать и внедрять ML-модели для скоринга, приоритизации и классификации инцидентов для SOC.
  • Строить модели для определения вероятности true positive / false positive, оценки risk score.
  • Формировать ML-датасеты для обучения и валидации моделей: определять целевые переменные, признаки, источники данных и правила разметки.
  • Выполнять feature engineering для SOC: поведенческие признаки по users/hosts/IP/domains, частотность, редкость, временные паттерны.
  • Разрабатывать модели и алгоритмы для поиска похожих кейсов, алертов, observables и прошлых инцидентов.
  • Разрабатывать RAG-системы для поиска по внутренним playbook, runbook, базе прошлых кейсов, threat intelligence.
  • Разрабатывать функции автоматического извлечения IOC, TTP, entities и признаков из текстовых описаний алертов, тикетов и кейсов.
  • Обеспечивать explainability моделей: SHAP, feature importance, reason codes, объяснение факторов, повлиявших на скоринг или рекомендацию.
  • Подбирать и отслеживать метрики качества моделей с учётом SOC-специфики: PR-AUC, F1-macro, MCC, precision@topK, recall по critical/high incidents, false positive reduction.
  • Выполнять fine-tuning / instruction tuning LLM под внутренние SOC/IR-сценарии.
  • Использовать PEFT-подходы, включая LoRA/QLoRA, для адаптации LLM без полного переобучения модели с нуля.
  • Интегрировать ML/LLM сервисы с backend-платформой через REST API.
  • Участвовать в построении ETL/ELT/ML-пайплайнов для сбора, нормализации, обогащения данных, обучения моделей.
  • Настраивать регулярное переобучение моделей, мониторинг качества, контроль data drift.
  • Совместно с SOC-аналитиками валидировать результаты моделей, собирать feedback и улучшать качество рекомендаций.
  • Совместно с backend-командой определять контракты данных, API, схемы событий и формат хранения ML-результатов.
  • Документировать модели, признаки, датасеты, метрики, ограничения.
  • Участвовать в развитии roadmap ML-функций для SOC.

От успешного кандидата мы ожидаем

Обязательно:

  • Уверенное владение Python и ML-стеком: pandas, numpy, scikit-learn, PyTorch.
  • Опыт решения задач классификации, ранжирования, скоринга или anomaly detection.
  • Опыт работы с несбалансированными выборками: class weights, oversampling/undersampling, SMOTE/ADASYN, threshold tuning, cost-sensitive learning.
  • Понимание метрик качества для imbalanced classification: Precision, Recall, F1/F1-macro, PR-AUC, MCC, confusion matrix.
  • Умение интерпретировать модели и объяснять предсказания: SHAP, feature importance, local/global explanations.
  • Уверенное владение SQL
  • Понимание ETL-пайплайнов, подготовки датасетов, feature engineering и версионирования данных.
  • Уверенное владение Docker, Git, REST API.
  • Понимание жизненного цикла ML-модели: обучение, валидация, деплой, мониторинг качества, переобучение.


Желательно:
 

  • Опыт с Airflow, Prefect, Dagster или аналогами для построения data/ML pipelines.
  • Опыт с LLM: классификация, summarization, extraction, генерация аналитических выводов.
  • Понимание fine-tuning LLM, включая LoRA/QLoRA/PEFT.
  • Опыт построения RAG-систем: embeddings, vector DB, chunking, retrieval, reranking, evaluation.
  • Опыт построения ML/LLM-сервисов для inference/scoring.

Будет плюсом:
 

  • Понимание SOC/IR-процессов: alert triage, case management.
  • Знание MITRE ATT&CK, IOC, TTP, kill chain, Threat Intelligence.
  • Базовое понимание сетевых протоколов: TCP/IP, DNS, HTTP/S, TLS, SMTP, LDAP, RDP, SSH.
  • Опыт работы с security logs: SIEM, EDR, firewall, proxy, DNS, Windows Event Logs, Sysmon.
  • Опыт с anomaly detection, time series, graph-based detection или correlation models.

Свой отклик ты можешь отправить на нашу почту HRdep@crpt.ru . Мы обязательно тебе ответим.

Что вам точно понравится:

Заботимся о здоровье

ДМС + Стоматология. Страхование от несчастных случаев и критичных заболеваний. Психологическая поддержка. 100% оплата больничного в течение 10 дней. Выделенная поддержка при Covid

Занимаемся спортом

Сегодня в компании есть несколько команд по разным видам спорта: футбол, волейбол, настольный теннис, йога, шахматы. И ты можешь создать свою!

Собираемся вместе

А если не спорт? Нам есть чем заняться — книжный клуб, праздники для детей, корпоративы, вебинары, техтоки и (не)техтоки с внутренними и внешними экспертами. Есть тема? Предлагай, найдем эксперта.

Создаем комфорт

Ты можешь сам выбирать, где работать — прекрасные офисы в центре Москвы или Санкт-Петербурга или полная удаленка.

Кафетерий льгот

Мы компенсируем затраты 58 000 рублей в год на обучение, спорт, IT решения, расширение ДМС для себя или ДМС для родственников. Материальная помощь в особых случаях. Реферальная программа — на все вакансии, зови друзей и получай бонусы!

Мы компания
«Честный ЗНАК»,
создаем единую распределенную систему цифровой маркировки и прослеживания товаров в России и странах ЕАЭС.

Заботимся о здоровье
Занимаемся спортом
Собираемся вместе
Отзывы о компании
Оценка Dream Job
4,9 отлично
Рекомендуют работодателя
99%