5112 подписчиков
Почему в SOC горят люди с горящими глазами
Первая ночная смена в SOC выглядит одинаково у всех. Монитор залит дашбордами, в очереди мигают сотни алертов, и ты не понимаешь — это реальная атака или антивирус поругался на макрос в Excel на бухгалтерском ПК. Через час человек, который пришёл с горящими глазами, тонет в потоке событий.
Это не страшилка — это стандартный онбординг без онбординга. Никто не объясняет, как именно работает аналитик SOC в реальной инфраструктуре: не в теории курсов, а на боевой смене с тикетной системой и SLA на два часа.
🔍 Что происходит внутри смены
Рабочий день аналитика SOC — это не «смотреть в экран». По данным Dropzone AI, одно расследование алерта занимает от 15 до 40 минут. Умножьте на очередь из пятидесяти срабатываний — и становится понятно, почему здесь нужен не просто интерес к ИБ, а выстроенный рабочий процесс.
Смена строится вокруг пяти блоков:
• Приём handover-отчёта — что открыто, что ждёт эскалации.
• Триаж алертов в SIEM — реальная угроза или false positive.
• Расследование — контекст события: хост, пользователь, хронология.
• Документирование в тикете, эскалация с описанием сделанного.
• Передача смены с перечнем открытых кейсов.
Пропущенный handover — не формальность. Реальный случай: критический инцидент «потерялся» между сменами на шесть часов именно из-за этого.
🎯 Три уровня — три разные профессии
Карьера в SOC устроена по тирам, и это не просто грейды зарплаты.
Tier 1 — триаж и мониторинг. Около 80% сотрудников SOC начинают здесь. Основной инструмент — SIEM (Splunk, QRadar, ELK), основная задача — сортировать поток и эскалировать подтверждённые инциденты. Опыт от нуля, но нужны внимательность и базовое понимание TCP/IP, DNS, HTTP. Честно: здесь высокая монотонность и alert fatigue — профессиональная болезнь первой линии. Но именно здесь формируется чутьё на аномалии, которое не даст ни один курс.
Tier 2 — расследование инцидентов. Здесь уже нужны скрипты автоматизации (Python, Bash), уверенная работа с MITRE ATT&CK и опыт с несколькими SIEM. На переходном собеседовании дают реальный кейс: вот набор логов, вот алерт — покажи, как расследуешь. Никаких тестов на знание теории.
Tier 3 — threat hunting и инженерия детектирования. Это 10–15% команды. Они не ждут алертов — проактивно ищут угрозы, которые автоматические правила не поймали. Пишут Sigma-правила, YARA-сигнатуры, расследуют APT-кампании.
💡 Главный контринтуитивный вывод
Большинство новичков думают: «Выучу больше инструментов — стану лучше». На практике разрыв между Tier 1 и Tier 2 — не в знании инструментов, а в умении задавать правильные вопросы к данным. Почему именно этот хост? Почему именно сейчас? Что было за пять минут до?
Полный разбор — с реальными сценариями, командами и плейбуками — в статье.
2 минуты
26 апреля