Собеседование на Data Engineer в F.A.C.C.T.
Содержание:
Почему F.A.C.C.T. — особенный работодатель для DE
F.A.C.C.T. (Fight Against Cybercrime and Cyber Threats) — российская кибербезопасность-компания, выделившаяся из Group-IB в 2024 году: продукты для защиты от киберугроз, антифрод-системы для банков и крупного бизнеса, threat intelligence, расследование киберпреступлений. Для Data Engineer это очень специфический контекст: огромный поток событий безопасности от клиентов (банки, fintech, ритейл), real-time детекция угроз, threat intelligence как product feature, серьёзный compliance.
Главные DE-домены: построение DWH событий безопасности от клиентов (миллиарды security events в день); pipeline для threat intelligence (IoC indicators of compromise, IP-репутация, URL-репутация, malware-сигнатуры); real-time антифрод-pipeline (детекция мошеннических транзакций в банковских системах клиентов); CDC и интеграция с клиентскими системами; pipeline для расследований киберпреступлений; SIEM-интеграция (Splunk, ArcSight, Naumen).
Стек: ClickHouse (основной для security events) + PostgreSQL + Elasticsearch для индексации IoC; Kafka + специализированные коннекторы к SIEM-системам клиентов; Airflow + dbt + Spark; собственные R&D-инструменты F.A.C.C.T.. Команда DE работает на стыке с командой threat researchers.
Актуальные вакансии — на hh.ru и сайте F.A.C.C.T.
Информация основана на публичных источниках и опыте кандидатов. F.A.C.C.T. работает с чувствительными security-данными — для большинства ролей обязательна СБ-проверка, уточняйте у рекрутера.
Этапы собеседования
Полный цикл — 4-6 недель, 5-6 этапов. Процесс с серьёзной СБ-проверкой: HR, техническое интервью, архитектурный кейс, профильное интервью с threat researchers, поведенческое, финал + СБ.
1. HR-скрининг (30-45 минут)
Рекрутер уточняет: production-опыт DE (от 2 лет, желательно с security или high-throughput event-DWH контекстом), знание ClickHouse и Kafka, мотивацию идти в F.A.C.C.T., ожидания по компенсации и формату (Москва, частично гибрид). Готовь питч на 90 секунд про самый зрелый production-pipeline.
2. Техническое интервью / SQL и архитектура (60-90 минут)
Базовая секция с senior DE из команды. Темы: SQL deep dive (оконки, оптимизация на security events), модели данных (event-схемы для security, IoC), batch vs streaming, CDC, data quality. Специфический вопрос: «как ты бы построил pipeline для детекции IoC (indicators of compromise) на 10K событий в секунду с low false-positive rate».
Подготовка: SQL для DE, ClickHouse и OLAP, Kafka streaming.
3. Архитектурный кейс (90 минут)
Самая характерная секция. Кейс: «спроектируй real-time pipeline антифрода для банка-клиента с интеграцией threat intelligence», «как ты бы построил threat intelligence DWH с инфраструктурой обогащения IoC из публичных и приватных feed», «как сделать pipeline расследования инцидента с retention 7+ лет». Нужно: уточнить требования, описать архитектуру, выбрать стек, продумать data quality и immutability, заложить аудит. Сильный сигнал — учёт security-специфики.
Подготовка: Airflow patterns, CDC и event sourcing.
4. Профильное интервью с threat researchers (60 минут)
Беседа с threat researchers или incident response команды. Темы: как ты бы построил data infrastructure для расследования инцидентов, как обеспечиваешь chain of custody, как договариваешься с security-экспертами.
5. Поведенческое + culture fit (45 минут)
С тимлидом или представителем направления. STAR-формат: конфликт с клиентом, факап в проде security-pipeline, длинный compliance-проект.
6. Финал + СБ (1-3 недели)
Грейд, оффер, расширенная СБ.
Особенности по командам
Threat Intelligence Platform. Команда строит data infrastructure для threat intelligence: aggregation IoC из публичных feed (CVE, VirusTotal, abuse.ch) и приватных источников. Стек — ClickHouse + Elasticsearch + Spark + кастомные R&D-инструменты. Челлендж — обогащение и нормализация IoC из десятков источников. Подойдёт DE с интересом к security.
Real-time антифрод для банков-клиентов. Команда строит real-time pipeline антифрода: события клиентских банков → ML-модели F.A.C.C.T. → решение. Стек — Kafka + ClickHouse + Redis + кастомные стриминговые сервисы. Подойдёт DE с background в стримах и интересом к security.
SIEM-интеграция. Команда работает с интеграциями SIEM-систем клиентов (Splunk, ArcSight, IBM QRadar): подключение клиентов, нормализация форматов событий, ingest. Стек — REST + Kafka + специализированные коннекторы. Подойдёт DE с background в security operations.
Incident response data layer. Команда строит data infrastructure для расследования инцидентов: chain of custody, immutable forensic records, длинное хранение. Стек — S3 + Iceberg + специализированные forensic-инструменты. Подойдёт DE с compliance-фоном.
Internal R&D. Команда работает с data layer для R&D-команд threat researchers: training data для ML-моделей детекции, фичи для классификаторов угроз. Стек — Spark + ClickHouse + custom R&D-инструменты. Подойдёт DE с ML-инфраструктура background.
Что F.A.C.C.T. ценит в DE
Production-опыт. История про pipeline в проде на миллионах событий безопасности. «Запустил real-time антифрод pipeline для банка-клиента с детекцией < 100мс на 50K TPS» — это история.
Знание ClickHouse — большой плюс. Опыт с MergeTree, материализованными представлениями для security-events.
Security-зрелость. Понимание chain of custody, immutability, audit trail, SOC2/PCI DSS — сильный сигнал. Без интереса к security сложно.
Weak vs strong на архитектурном кейсе. Слабый ответ: «возьмём Kafka + ClickHouse для threat intelligence». Сильный ответ: «threat intelligence DWH: aggregation из десятков feed (CVE, VirusTotal, abuse.ch, internal honeypot) → enrichment с метаданными (geo, ASN, reputation) → нормализация в unified IoC-схему (STIX/TAXII-совместимую) → ClickHouse с MergeTree партициями по дате обнаружения. Real-time матчинг событий клиента против IoC — через Redis (in-memory hash table с TTL), полный indexed search — через Elasticsearch. Chain of custody обязательно: каждое изменение IoC фиксируется в immutable audit log. Для R&D — Iceberg в S3 для длинных историй (5+ лет).
Готовность к корпоративной среде и СБ. F.A.C.C.T. — security-компания, СБ серьёзная.
Self-management. Команды компактные. DE работает с экспертами в security.
Как готовиться: план
За 5-7 недель до планируемого собеса:
- Неделя 1-2 — SQL deep dive и ClickHouse. Оконные функции, оптимизация на security events, ClickHouse-специфика. Прорешай 30 SQL Medium-Hard задач + 15 ClickHouse-специфичных. Параллельно — на Карьернике обнови базу по SQL и Python: 1500+ задач, по 15-20 минут в день, чтобы за месяц закрыть пробелы.
- Неделя 3 — Real-time stack и SIEM. Kafka, Debezium, Elasticsearch, SIEM-форматы (Splunk SPL, CEF, LEEF).
- Неделя 4 — Security и threat intelligence контекст. Прочитай OWASP Top 10, обзоры по threat intelligence (MITRE ATT&CK, STIX/TAXII, IoC). Запомни понятия: IoC, TTP, threat hunting, SIEM, chain of custody.
- Неделя 5 — Архитектурные кейсы. Прорешай 5-6 кейсов: real-time антифрод для банка, threat intelligence DWH, SIEM-интеграция, incident response data layer, ML training data для security. Структура — требования → источники → транспорт → процессинг → витрина → SLA → audit. ClickHouse и OLAP.
- Неделя 6-7 — Mocks и behavioral + СБ-документы. Mock-интервью, 5-7 STAR-историй: конфликт с security-командой, факап в security-pipeline, длинный compliance-проект.
Частые ошибки
Не разбираются в security-терминологии. «Что такое IoC, TTP, MITRE ATT&CK, SIEM?» — кандидат теряется.
Игнорируют chain of custody. В security forensic-данные требуют immutability и audit. Без этого balanced проседает.
Не думают про false-positive. В антифроде ложный позитив — это пропуск платежа клиента. Балансировка FP/FN критична.
Хайпуют ML без понимания. Кандидат проектирует ML-pipeline без data quality и labeling strategy.
Не задают вопросы про compliance. На кейсе сразу — стек, а не «какие требования регулятора, какой retention forensic-данных». Это первый фильтр.
Связанные темы
- Собеседование на Data Engineer
- ClickHouse и OLAP
- Kafka streaming
- Собеседование на Data Engineer в Тинькоффе
- Собеседование на Data Scientist в F.A.C.C.T.
FAQ
Удалёнка в F.A.C.C.T. для DE?
Преимущественно офис в Москве. Для security-команд гибрид/удалёнка ограничены — security-данные требуют защищённого периметра.
Зарплатные вилки 2026?
Middle DE: 270-410k. Senior: 410-650k. Lead — выше, особенно в antifraud и threat intelligence.
Нужен ли английский?
Желательно. Часть threat intelligence feed на английском (CVE, VirusTotal). Свободного говорящего не требуется, но reading-skills нужны.
Сколько этапов?
5-6 этапов, 4-6 недель из-за расширенной СБ.
Реально ли пройти без security-опыта?
Сложно. Хотя бы базовое понимание security (IoC, SIEM, MITRE ATT&CK) должно быть. Background в antifraud банков — большой плюс.
Какие книги и ресурсы помогут подготовиться?
«Designing Data-Intensive Applications», документация MITRE ATT&CK, STIX/TAXII, статьи Sans Institute и Group-IB про threat intelligence. По SQL — задачник Карьерника.
Что подчеркнуть на финале в F.A.C.C.T.?
Интерес к security и threat intelligence, опыт работы с security event-pipeline, готовность к работе в защищённом периметре и расширенной СБ-проверке. Истории про работу с antifraud в банке или integration с SIEM-системами — серьёзный плюс.
Чем работа в F.A.C.C.T. отличается от обычного DE?
Главное отличие — фокус на security data: события безопасности, IoC, antifraud. Это требует понимания security-контекста, специфической терминологии (MITRE ATT&CK, STIX/TAXII), и работы в защищённом периметре. Также расширенная СБ-проверка и compliance — стандартная часть процесса.
Это официальная информация?
Этапы основаны на публичных источниках и опыте кандидатов. Уточняйте у рекрутера — формат и грейды отличаются по командам.