Помню своё первое дежурство в SOC: 23:00, три монитора с дашбордами Splunk, в очереди 47 алертов, а тимлид ушёл на звонок и бросил «разберись пока с low и medium». Я не понимал, куда вообще смотреть. Через три месяца триажил 80 алертов за смену и писал корреляционные правила. Через год перешёл на L2 и начал расследовать инциденты, от которых раньше потели ладони.
Эта статья - то, что я хотел бы прочитать перед тем дежурством. Не абстрактный список навыков и сертификатов, а конкретный маршрут: какие инструменты открывать первыми, какие Event ID запоминать, как не утонуть в ложных срабатываниях и что делать, когда на экране P1-инцидент, а рядом никого.
Что на самом деле происходит в SOC каждый день
Русскоязычные описания профессии обычно сводятся к «мониторит события и выявляет угрозы». На практике аналитик SOC - человек, который за 12-часовую смену проходит четыре фазы: приём дежурства (handoff), непрерывный триаж входящих алертов, расследование эскалированных кейсов и передача смены следующему.По данным Ponemon Institute, средний SOC получает порядка 10 000 алертов в сутки. Большинство - ложные срабатывания: легитимный сканер уязвимостей, который похож на разведку, или пользователь, трижды ошибшийся с паролем. Задача L1-аналитика - пропустить шум и не пропустить сигнал. Тут нужны не энциклопедические знания, а дисциплинированный процесс: открыл алерт, проверил контекст, принял решение - закрыть как false positive или эскалировать на L2. Всё.
Что проходит через экран за типичную смену: фишинговые письма с вложениями, сработки EDR на подозрительные PowerShell-команды, неудачные попытки аутентификации в Active Directory, аномальный DNS-трафик и срабатывания IDS на сигнатуры известных эксплойтов. По данным Huntress, в реальных SOC регулярно прилетают попытки брутфорса, загрузки малвари через вредоносную рекламу, компрометация VPN и RDP, попытки эксфильтрации данных. Скучно не бывает - бывает однообразно, и это хуже.
Смены часто выстроены по модели follow-the-sun - команды в разных часовых поясах передают дежурство друг другу, закрывая 24/7. Графики бывают 12-часовые (день/ночь по два дня) или сжатые четырёхдневки по 10 часов. К сменному режиму нужно быть готовым - это не офис с 9 до 18.
Карьера в ИБ с нуля: три уровня SOC-аналитика
Работа в SOC строится по тирной системе. Понимание иерархии критично - от неё зависит ваш учебный план и куда вы вообще движетесь.L1 - триаж и первая линия обороны
Входная позиция. L1-аналитик разгребает поток алертов из SIEM, определяет - реальная угроза или ложное срабатывание, и при необходимости эскалирует на L2. Ключевые метрики: Mean Time To Respond (MTTR), процент корректных эскалаций, количество обработанных алертов за смену. Типичный срок на позиции - от полугода до двух лет. Именно здесь формируется то самое «чутьё на аномалию», которое из книг не получишь. Оно приходит после пятисотого алерта, когда глаз сам цепляется за нетипичный паттерн.L2 - расследование инцидентов
L2-аналитик берёт эскалированный инцидент и проводит полноценное расследование: строит таймлайн атаки, определяет вектор проникновения, ищет индикаторы компрометации (IoC) по всей инфраструктуре. Здесь начинается форензика - анализ дампов памяти в Volatility, изучение артефактов файловой системы, корреляция логов из разных источников. Нужно практическое знание матрицы MITRE ATT&CK и умение маппить наблюдаемые артефакты на конкретные тактики и техники.L3 - threat hunting и архитектура детектирования
L3 - проактивный поиск угроз, которые ещё не вызвали алерта. Threat hunter формулирует гипотезу («атакующий мог использовать Valid Accounts (T1078, Initial Access) для закрепления») и проверяет её по телеметрии. Здесь же разрабатываются корреляционные правила, пишутся сигнатуры для SIEM и EDR, оптимизируются playbooks. Дальше карьерная лестница ведёт в SOC Manager, Security Engineer или CISO - но это уже совсем другая история.Технический фундамент: что освоить до первого дежурства
Не пытайтесь выучить всё сразу - это верный путь к параличу. Три области, без которых работа в SOC невозможна, и конкретные точки входа в каждую.Сети и протоколы - основа любого расследования
Каждый алерт в SIEM так или иначе связан с сетевым взаимодействием. Вам нужно понимать стек TCP/IP, что такое DNS-резолвинг и почему аномальный DNS-трафик может означать туннелирование данных. Разберитесь с HTTP/HTTPS - какие заголовки важны при анализе веб-атак. Знайте стандартные порты: 80, 443, 22, 3389, 445, 53. Если видите трафик на порт 4444 - насторожитесь (классический дефолт Metasploit, и да, атакующие до сих пор забывают его менять).Практический минимум: поставьте Wireshark, захватите трафик между двумя виртуалками и разберите TCP-хендшейк, DNS-запрос и HTTP GET. Упражнение на 2–3 часа, которое даст больше, чем неделя чтения RFC.
Windows и Linux: логи, которые вы будете читать каждый день
Около 70% инцидентов связаны с Windows-инфраструктурой. Для аналитика SOC критически важны следующие Event ID:- 4624 - успешный вход в систему (тип логона 3 = сетевой, 10 = RDP)
- 4625 - неудачная попытка входа (основа детекта брутфорса)
- 4672 - назначение специальных привилегий (сигнал о привилегированном доступе)
- 4688 - создание нового процесса (в связке с Sysmon Event ID 1 даёт полную картину запуска)
- 4720 - создание учётной записи (потенциальное закрепление через Valid Accounts, T1078)
- 7045 - установка нового сервиса (один из индикаторов персистенции)
В Linux ваши основные источники -
/var/log/auth.log (аутентификация), /var/log/syslog (общие события), журнал journalctl. Команды ss -tlnp, netstat -anp, ps aux - ежедневный инструментарий для проверки активных соединений и процессов.Поставьте Sysmon от Sysinternals на тестовую Windows-машину - он радикально улучшает видимость, добавляя события создания процессов с полной командной строкой, сетевые соединения и изменения реестра. Без Sysmon вы полуслепые.
MITRE ATT&CK: общий язык индустрии
MITRE ATT&CK - не абстрактный фреймворк для красивых отчётов. Это язык, на котором аналитик описывает поведение атакующего. Массовые неудачные логины с одного IP - Brute Force (T1110, Credential Access). Пользователь открывает вложение, запускается макрос - Phishing (T1566, Initial Access). Атакующий отключает антивирус - Disable or Modify Tools (T1562.001, Defense Evasion). Чистит логи за собой - Indicator Removal (T1070, Defense Evasion).Не пытайтесь выучить все 200+ техник. Начните с десяти, которые чаще всего встречаются в реальных инцидентах: T1566 (Phishing), T1078 (Valid Accounts), T1110 (Brute Force), T1190 (Exploit Public-Facing Application), T1070 (Indicator Removal), T1562.001 (Disable or Modify Tools), T1518.001 (Security Software Discovery), T1654 (Log Enumeration). Для каждой техники разберитесь: как она выглядит в логах, какой источник данных нужен для детекта и какое корреляционное правило можно написать.
SIEM для начинающих: главный инструмент аналитика SOC
SIEM (Security Information and Event Management) - ядро любого SOC. Сюда стекаются логи со всей инфраструктуры: контроллеров домена, файрволов, прокси-серверов, EDR, DNS, почтовых шлюзов. SIEM нормализует эти данные, применяет корреляционные правила и генерирует алерты.Splunk, QRadar, Elastic - что выбрать для обучения
Splunk - самая распространённая платформа в коммерческих SOC. Бесплатная версия Splunk Free принимает до 500 МБ логов в день - для домашней лаборатории хватит за глаза. Язык запросов SPL (Search Processing Language) - первое, что стоит освоить. Splunk предлагает бесплатный курс Splunk Fundamentals 1 и датасеты Boss of the SOC (BOTS) с реальными сценариями атак.IBM QRadar Community Edition - бесплатная версия для обучения. QRadar использует другой подход к корреляции (offenses вместо отдельных алертов), и опыт работы с ним ценится в enterprise-средах.
Elastic Stack (ELK) - опенсорсная связка Elasticsearch + Logstash + Kibana. Полностью бесплатна, но требует больше возни при настройке. Зато отлично показывает, как SIEM работает «под капотом» - без магии вендорских абстракций.
На старте выберите одну платформу и доведите до уверенного уровня. Лучше глубоко знать Splunk, чем поверхностно - три.
EDR, сетевой анализ и тикетинг-системы
EDR (Endpoint Detection and Response) - вторая по значимости категория инструментов. CrowdStrike Falcon, Microsoft Defender for Endpoint, Carbon Black - зависит от того, что стоит у работодателя. Вы будете видеть алерты на подозрительные процессы, инъекции в память, латеральное перемещение. Для обучения есть Velociraptor - бесплатный open-source агент с серьёзными возможностями сбора артефактов.Wireshark и
tcpdump - для анализа сетевого трафика, когда нужно разобрать конкретную сессию на уровне пакетов.TheHive - open-source платформа для управления инцидентами (IRP). В связке с Cortex (автоматическое обогащение IoC через VirusTotal, AbuseIPDB и десятки других анализаторов) она даёт полноценный workflow расследования. Если в вашем SOC используют Jira или ServiceNow для тикетов - разберитесь в процессе создания, эскалации и закрытия тикетов в первую неделю. Серьёзно, в первую. Потому что без тикета инцидент как бы не существует.
Первые 90 дней в SOC: пошаговый план выживания
Самый важный раздел. Первые три месяца определяют, станете ли вы уверенным аналитиком или выгорите и уйдёте. По данным Abnormal AI за 2025 год, 71% SOC-аналитиков сталкиваются с выгоранием. Конкретный план снижает стресс и даёт ощущение прогресса - а не бесконечного «беличьего колеса».Недели 1–2: адаптация и первый алерт
Цель: понять процессы, инструменты и людей.В первый день попросите тимлида показать три вещи: основной дашборд SIEM, очередь алертов и текущий playbook для фишинговых инцидентов. Не пытайтесь запомнить всё - запишите.
Конкретные действия:
- Получите доступы ко всем системам: SIEM, EDR, тикетинг, wiki с playbooks
- Прочитайте три последних закрытых инцидента из тикет-системы - разберитесь, какие шаги предпринимал аналитик и почему
- Сядьте рядом с опытным коллегой на полную смену и наблюдайте за процессом триажа - записывайте каждый шаг (да, буквально каждый клик)
- Задайте тимлиду вопрос: «Какие пять алертов я могу начать обрабатывать самостоятельно?» - обычно это сработки антивируса, неудачные логины и корпоративные сканеры
Недели 3–6: самостоятельный триаж и построение рутины
Цель: обрабатывать low/medium алерты самостоятельно, эскалировать без ошибок.К третьей неделе вы должны уметь открыть алерт в SIEM, проверить source IP через
whois и Threat Intelligence (VirusTotal, AbuseIPDB), посмотреть контекст в EDR и принять решение: false positive или эскалация.Начните отслеживать собственную метрику: сколько алертов обрабатываете за смену и каков процент обоснованных эскалаций. Если тимлид возвращает 80% эскалаций как false positive - вы триажите недостаточно глубоко, нужно добавить шаги проверки.
В этот период освойте базовые поисковые запросы в SIEM. Например, в Splunk запрос для обнаружения брутфорса по Windows Event ID 4625:
Код:
index=wineventlog EventCode=4625
| stats count by src_ip, Account_Name
| where count > 10
| sort -countcount > 10 - стартовая точка, которую вы будете адаптировать под свою среду (в одном SOC, где я работал, нормой было 50 неудачных попыток от легитимного сервиса мониторинга - так-что пороги штука индивидуальная). Запомните паттерн stats ... by ... | where - он покрывает 60% повседневных задач в SPL.Недели 7–12: уверенность, метрики и выбор направления
Цель: самостоятельно вести полный цикл триажа, начать писать или улучшать правила детектирования.К концу третьего месяца вы должны:
- Обрабатывать типовые алерты без обращения к тимлиду
- Знать основные playbooks наизусть (фишинг, брутфорс, малварь на эндпоинте)
- Писать базовые поисковые запросы в SIEM для ad-hoc расследований
- Понимать, какие источники логов есть в инфраструктуре и каких не хватает
- Определить для себя направление роста: форензика, threat hunting, автоматизация (SOAR), threat intelligence
Get-MpComputerStatus, sc query windefend, wmic /namespace:\\root\SecurityCenter2 path AntiVirusProduct get displayName на критичных серверах. Это и полезно, и на performance review смотрится хорошо.Как выглядит триаж реального алерта: разбор от начала до конца
Допустим, SIEM сгенерировал алерт: «Multiple failed logon attempts from single source IP» - 47 неудачных попыток входа по RDP за 5 минут с адреса 185.220.101.xx на контроллер домена.Шаг 1 - контекст источника. Проверяю IP в VirusTotal и AbuseIPDB. Адрес из блока Tor exit nodes, в базе AbuseIPDB - сотни отчётов о брутфорсе. Это не внутренний сканер.
Шаг 2 - масштаб. Ищу в SIEM все события с этого IP за последние 24 часа:
index=[I] src_ip="185.220.101.[/I]" | stats count by dest_ip, EventCode. Вижу - тот же адрес стучится на три других сервера с открытым RDP. Нехорошо.Шаг 3 - проверка успеха. Критический вопрос: были ли успешные входы? Ищу Event ID 4624 с
Logon_Type=10 (RDP) от этого IP. Не нахожу - брутфорс пока не привёл к компрометации.Шаг 4 - маппинг на MITRE ATT&CK. Техника - Brute Force (T1110, Credential Access). Если бы вход удался, следующим этапом мог быть Valid Accounts (T1078) для закрепления.
Шаг 5 - решение и действия. Создаю тикет с severity Medium, рекомендую блокировку IP на файрволе и проверку: все ли RDP-серверы закрыты от прямого доступа из интернета (спойлер - обычно не все). Эскалирую на L2 с пометкой проверить аналогичные паттерны за последнюю неделю.
Весь процесс - 8 минут. Через месяц работы такие кейсы будете проходить за 3–4 минуты.
Домашняя лаборатория SOC-аналитика: собираем за выходные
Требования к окружению: хост с 16 ГБ ОЗУ (минимум 8 ГБ, но будет тесно), VirtualBox или VMware Workstation Player (бесплатные), доступ в интернет для скачивания дистрибутивов. Все работы - на локальной машине.Минимальная лаборатория из трёх компонентов:
Windows 10/11 VM с Sysmon. Скачайте evaluation-образ Windows с сайта Microsoft (бесплатно на 90 дней). Поставьте Sysmon с конфигурацией от SwiftOnSecurity (репозиторий
sysmon-config на GitHub) - она покрывает основные события: создание процессов, сетевые соединения, загрузку DLL. Именно эти логи будут поступать в вашу SIEM.Splunk Free на отдельной VM (Ubuntu Server). Splunk Free принимает до 500 МБ логов в день. Настройте Universal Forwarder на Windows-машине для пересылки Windows Event Log и Sysmon-логов в Splunk. Это воспроизводит реальную архитектуру production SOC - только без 500 серверов и нервных менеджеров.
Kali Linux или Ubuntu - для генерации трафика. Запустите
nmap -sV против Windows-машины, выполните Hydra-брутфорс RDP - и наблюдайте, как алерты появляются в Splunk. Увидите Event ID 4625 в реальном времени и сможете отработать весь процесс триажа на себе.Для тренировки на готовых датасетах: Boss of the SOC (BOTS) от Splunk и платформы TryHackMe (комната SOC Level 1), LetsDefend.io (симулятор SOC-дежурства) и CyberDefenders.org (форензика и расследования).
Сертификации и обучение аналитика SOC: что имеет смысл на старте
Рынок завален сертификатами, и новичку легко потратить полгода на бесполезный. Приоритизированный список, основанный на том, что реально спрашивают на собеседованиях:CompTIA Security+ (SY0-701) - отраслевой стандарт для входа в профессию. Широко признан как в России (при работе с западными клиентами), так и за рубежом. Включён в список DoD 8570. Подготовка - 2–3 месяца при 10 часах в неделю. Стоимость экзамена около $400.
BTL1 (Blue Team Labs Level 1) от Security Blue Team - практический экзамен: расследование реального инцидента за 24 часа. Security+ проверяет знание теории, а BTL1 проверяет, можете ли вы реально расследовать инцидент. Для SOC-аналитика - прямое попадание в профиль.
Certified SOC Analyst (CSA) от EC-Council - узкоспециализированная сертификация, заточенная под работу в SOC.
Google Cybersecurity Certificate на Coursera - бюджетный вариант ($49/мес, 6 месяцев). Включает Python и работу с SIEM. Неплохое дополнение, но не замена Security+ или BTL1.
Бесплатные ресурсы для обучения: Splunk Fundamentals 1 (бесплатный курс от Splunk), Cisco Networking Basics на NetAcad, Professor Messer's CompTIA-серии на YouTube, модули MITRE ATT&CK на официальном сайте.
Не гонитесь за количеством. Два целенаправленных сертификата (Security+ и BTL1) плюс активный GitHub с write-ups расследований из TryHackMe перевесят пять бумажек без практического опыта. На собеседовании вас попросят разобрать кейс - и тут бумажка не поможет.
Выгорание и alert fatigue: как не сгореть за первый год работы в SOC
Это не мотивационный параграф - это практическая проблема с измеримыми последствиями. По исследованию Devo за 2023 год, до 70% SOC-специалистов испытывают симптомы выгорания. По отчёту Abnormal AI за 2025 год, 71% аналитиков перегружены алертами. Данные ISACA: около 50% команд по кибербезопасности недоукомплектованы. По данным Mimecast, треть аналитиков планирует уйти из профессии. Цифры невесёлые.Причины: сменный график, постоянный поток однотипных ложных срабатываний, ощущение «беличьего колеса» и давление при работе с P1-инцидентами. Что реально помогает:
Автоматизация рутины. Если каждую смену руками проверяете одни и те же IP в VirusTotal - напишите скрипт или настройте интеграцию через Cortex/SOAR. По данным SANS SOC Survey за 2023 год, 91% SOC инвестируют в автоматизацию. Даже простой Python-скрипт, который обогащает список IP через API AbuseIPDB, экономит 30 минут за смену. За месяц - это два полных рабочих дня.
Метрики вместо ощущений. Ведите личный трекер: количество обработанных алертов, время на алерт, количество эскалаций. Когда кажется, что стоите на месте, цифры покажут рост.
Границы. После смены - закрывайте ноутбук. SOC работает 24/7, но конкретно вы - нет. Обсудите с тимлидом ожидания по доступности вне смены и зафиксируйте письменно. Это не лень, это гигиена.
Менторство и сообщество. Найдите ментора внутри команды - человека, которому можно задать «глупый» вопрос без страха. Вне работы подключитесь к профессиональным сообществам: r/SOC и r/SecurityCareerAdvice на Reddit, тематические чаты в Telegram, форум Codeby.
Ротация задач. Если работодатель позволяет - чередуйте чистый триаж с написанием правил детектирования, документированием playbooks или тестированием новых источников логов. Разнообразие убивает монотонность.
Навыки аналитика безопасности: чек-лист для самопроверки
Прежде чем идти на собеседование, проверьте себя. Каждый пункт - конкретный навык, не абстрактная «компетенция»:| Навык | Что именно проверить | Где отработать |
|---|---|---|
| Чтение логов Windows | Отличить Event ID 4624 (Logon Type 3) от 4625, найти 4720 в потоке событий | Домашняя лаба + Sysmon |
| Базовые запросы SIEM | Написать запрос для поиска брутфорса, top talkers, аномального DNS | Splunk Free + BOTS |
| Анализ сетевого трафика | Разобрать PCAP-файл в Wireshark, найти подозрительный DNS-запрос | TryHackMe, CyberDefenders |
| MITRE ATT&CK маппинг | Сопоставить наблюдаемый артефакт с конкретной техникой и тактикой | Официальный сайт ATT&CK |
| Обогащение IoC | Проверить IP/домен/хеш через VirusTotal, AbuseIPDB, Shodan | Любой кейс из LetsDefend |
| Документирование инцидента | Написать тикет с таймлайном, IoC, MITRE-маппингом и рекомендациями | Практические кейсы TheHive |
| Базовый скриптинг | Написать скрипт парсинга лога на Python или PowerShell | Задачи автоматизации в лабе |
| Коммуникация | Объяснить инцидент нетехническому менеджеру за 2 минуты | Ролевые игры с коллегами |
Если шесть пунктов из восьми можете продемонстрировать на практике - вы готовы к позиции L1. Оставшиеся два дотянете в первые недели на рабочем месте.
Вопрос к читателям
Для тех, кто уже разворачивал домашний SIEM-стенд: какую конфигурацию Sysmon вы используете - стандартную SwiftOnSecuritysysmonconfig-export.xml или кастомную с дополнительными фильтрами Event ID 1 (ProcessCreate) и Event ID 3 (NetworkConnect)? Какой порог RuleName в конфиге даёт лучшее соотношение покрытия к количеству шума при пересылке в Splunk Free с лимитом 500 МБ/день? Поделитесь фрагментом вашего <EventFiltering> блока - интересно сравнить подходы.
Последнее редактирование:
