Статья Карьера SOC-аналитика в 2026: реальный путь от новичка до специалиста

Я помню свою первую ночную смену в SOC. Два часа ночи, 47 алертов в очереди, и я понятия не имею - это реальный инцидент или сканер уязвимостей, который кто-то забыл остановить. Рядом сидит коллега, который уже третий год на L2, и спокойно говорит: «Посмотри source IP. Видишь /24 подсеть? Это наш Qualys, каждый вторник в два ночи он сканирует DMZ. Добавь в исключения и закрой тикет». Вот так и начинается карьера SOC аналитика - не с эффектного взлома, а с умения отличить шум от угрозы.

Эта статья - не маркетинговый лендинг курса. Я расскажу, как выглядит путь в информационную безопасность в 2026 году для человека, который сейчас на нуле. С конкретными сроками, инструментами, командами и ощущениями, о которых обычно молчат.

Что на самом деле делает специалист по мониторингу безопасности​

Security Operations Center - это не комната с красивыми дашбордами из кино. В реальности SOC - команда людей, которые в режиме 24/7 смотрят на поток событий из SIEM и решают: это нормально или нет. Средний enterprise SOC разгребает тысячи алертов в день. Большинство - false positives. Ваша работа на первой линии - научиться отсеивать мусор, не пропустив реальную атаку.

Типичный день SOC tier 1 аналитика выглядит так:

• Приходите на смену, принимаете от предыдущей смены очередь тикетов и устный брифинг - что было за ночь, какие алерты повторяются, есть ли незакрытые инциденты
• Открываете SIEM (Splunk, QRadar, ELK, MaxPatrol SIEM, KUMA - зависит от работодателя) и начинаете разгребать очередь
• На каждый алерт - смотрите source/destination IP, порт, тип события, проверяете по контексту: легитимный пользователь или аномалия
• Ложные срабатывания закрываете с комментарием в тикете. Подозрительные - эскалируете на L2 с описанием того, что нашли
• В перерывах - документация, обновление плейбуков, иногда внутреннее обучение

Звучит монотонно? Первые полгода - да. Но именно эта монотонность формирует насмотренность: способность за секунду отличить нормальный логон от бокового перемещения атакующего. Без этой базы невозможно стать ни threat hunter-ом, ни incident responder-ом. Для тех кто в танке - это как у врачей интернатура: сначала рутина, потом хирургический стол.

Как стать SOC-аналитиком с нуля: честный разбор требований​

Если вы сейчас далеки от кибербезопасности - это нормально. По данным

Ссылка скрыта от гостей

2024, значительная часть менеджеров по найму отдаёт приоритет демонстрируемым навыкам, а не диплому. На позицию junior SOC аналитика берут людей из техподдержки, сетевого администрирования, разработки и даже гуманитарных специальностей - при условии, что вы доказали базовые технические навыки.

Но «базовые» - понятие растяжимое. Вот что реально проверяют на техническом интервью для L1:

Сети - не просто «знать модель OSI», а уметь объяснить, что произойдёт при DNS-запросе, какие порты использует HTTPS, чем SYN-scan отличается от полного TCP-соединения. Если вам покажут дамп трафика в Wireshark и спросят «что здесь подозрительного» - вы должны не растеряться. Лично я на собеседовании завалился именно на pcap-анализе - и потом две недели не вылезал из Wireshark.

Операционные системы - знать, где лежат логи в Linux (/var/log/auth.log, /var/log/syslog), что показывает ps aux, как с помощью grep найти нужную строку в гигабайтном файле. В Windows - понимать Event Viewer, ключевые Event ID (4624 - успешный вход, 4625 - неуспешный, 4688 - создание процесса, 4720 - создание аккаунта), уметь работать с базовым PowerShell.

Понимание атак - не на уровне «хакеры взламывают», а через призму

Ссылка скрыта от гостей

. Когда вы видите кучу Event ID 4625 с одного IP - это

Ссылка скрыта от гостей

, Credential Access). Когда легитимный аккаунт начинает логиниться в 3 часа ночи из нетипичной геолокации - это может быть Valid Accounts (T1078, Initial Access). Фишинговое письмо с вредоносным вложением - Phishing (T1566, Initial Access). Всю матрицу заучивать не нужно, но десяток ключевых техник - обязательно.

SOC-аналитик: навыки для каждого уровня карьеры​

Фундамент для junior SOC-аналитика​

Повторю: начинать нужно не с SIEM и не с курсов по «этичному хакингу». Начинать нужно с сетей и командной строки. Без них SIEM - просто разноцветные окошки, которые непонятно о чём говорят.

Минимальный набор навыков для входа на L1:

Категория	Что конкретно нужно уметь	Где учить
Сети	TCP/IP, DNS, HTTP/HTTPS, порты, чтение pcap	CompTIA Network+ материалы, TryHackMe Pre-Security
Linux	grep, tail, cat, ps, find, навигация по файловой системе, чтение логов	Любой Linux в виртуалке + ежедневная практика
Windows	Event Viewer, ключевые Event ID, базовый PowerShell, реестр	Своя VM с Windows 10/11, генерация событий
Безопасность	CIA-триада, типы атак, kill chain, базовый MITRE ATT&CK	CyberDefenders, LetsDefend бесплатные модули
Инструменты	Базовый SIEM-запрос, VirusTotal, Whois, Wireshark	Splunk free tier, Elastic community edition

Навыки L2: когда алерты перестают быть страшными​

Переход с L1 на L2 обычно занимает от 6 месяцев до полутора лет. На L2 от вас ждут не просто «закрыл тикет», а умения:

• Писать и оптимизировать правила корреляции в SIEM
• Проводить глубокий анализ инцидентов - строить таймлайн атаки от первого артефакта до последнего
• Автоматизировать рутину: Python-скрипт, который проверяет список хешей через API VirusTotal, парсер логов, интеграция с тикет-системой
• Работать с MITRE ATT&CK как с живым справочником: маппить обнаруженную активность на конкретные техники
• Писать плейбуки реагирования для L1-аналитиков

На этом уровне вы уже не просто мониторите - вы улучшаете сам процесс мониторинга. Когда я впервые переписал корреляционное правило, которое генерировало 200 ложных срабатываний в день, и довёл их до 5 - вот ради этого ощущения стоит терпеть первые месяцы рутины.

L3 и развилки карьеры SOC-аналитика​

После 3–5 лет в SOC появляется развилка. Карьера в кибербезопасности с нуля привела вас в точку, где нужно выбирать специализацию:

Threat Hunting - проактивный поиск угроз, которые не ловятся правилами. Вы формируете гипотезу («а что если атакующий использует

Ссылка скрыта от гостей

, Execution) через PowerShell для загрузки инструментов?») и проверяете её на данных. По сути - детективная работа, только вместо улик - логи.

Incident Response - вас зовут, когда всё уже плохо. Цифровая форензика, анализ дампов памяти, восстановление хронологии взлома. Нужны стальные нервы и умение работать под давлением.

Security Engineering - вы строите инфраструктуру SOC: пишете парсеры, коннекторы, автоматизацию через SOAR-платформы. Тут нужен код (Python, Go) и архитектурное мышление.

Management - руководитель SOC, который координирует команду, распределяет ресурсы, общается с CISO о бюджете. Soft skills и стратегическое видение выходят на первый план.

Обучение SOC-аналитика: план на 90 дней​

Этот план я составил на основе своего опыта и рекомендаций практико-ориентированных зарубежных ресурсов (CybKnow, CyberDefenders). Рассчитан на человека, который может выделять 2–3 часа в день.

Дни 1-30: фундамент​

Неделя 1-2: Сети и ОС

Начните с TryHackMe Pre-Security или бесплатных материалов CompTIA Network+. Каждый день - минимум 30 минут в терминале Linux. Установите любой дистрибутив в виртуальную машину и выполняйте реальные задачи:

# Найти все неуспешные SSH-входы в лог
# На системах с rsyslog (Debian, Ubuntu до 22.04):
grep "Failed password" /var/log/auth.log | tail -20
# На системах с systemd (Ubuntu 22.04+, Fedora, RHEL 8+), если auth.log отсутствует:
# journalctl -u sshd --since '24 hours ago' | grep 'Failed password' | tail -20

# Посмотреть активные сетевые соединения
ss -tunap

# Найти процессы, потребляющие CPU
ps aux --sort=-%cpu | head -10

На Windows - откройте Event Viewer, настройте фильтр на Event ID 4625 (неуспешный вход) и поймите, как выглядит Brute Force (T1110) в логах:

# Поиск неуспешных входов за последние 24 часа
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4625
    StartTime=(Get-Date).AddDays(-1)
} | Select-Object TimeCreated, Message | Format-List

Неделя 3-4: Базовая безопасность и первые инструменты

• Изучите 10 реальных фишинговых писем (берите на PhishTank) - разберите заголовки, проверьте ссылки, прогоните хеши вложений через VirusTotal
• Откройте MITRE ATT&CK и изучите 10 техник, которые чаще всего прилетают в SOC: Phishing (T1566), Valid Accounts (T1078), Brute Force (T1110), Command and Scripting Interpreter (T1059), OS Credential Dumping (T1003), Indicator Removal (T1070), Impair Defenses (T1562), Network Service Discovery (T1046)
• Установите Wireshark и откройте любой pcap из публичных репозиториев. Найдите DNS-запросы, HTTP-сессии, попробуйте определить, что делал пользователь

Дни 31-60: руки в логах​

Фаза, на которой большинство людей буксует - продолжают смотреть видео вместо того, чтобы делать. Не повторяйте эту ошибку.

Проект 1 - Домашняя лаборатория для сбора логов:

Поднимите Windows или Linux в виртуальной машине. Настройте пересылку логов в бесплатный Splunk (до 500 МБ/день) или Elastic community edition. Сымитируйте атаку: множественные неуспешные входы, создание нового пользователя, запуск подозрительного процесса. Напишите отчёт на одну страницу: что случилось, какие логи это показали, какие действия вы бы предприняли.

Проект 2 - Расследование фишингового письма:

Возьмите 3 фишинговых письма с PhishTank или учебной SOC-платформы. Для каждого: разберите заголовки, проверьте ссылки на репутацию, прогоните хеш вложения через VirusTotal, напишите заключение с уровнем уверенности (подозрительно / вредоносно / ложное срабатывание).

Эти два проекта - ваши первые записи в портфолио. Каждый write-up должен содержать четыре элемента: что произошло, какие доказательства вы проверили, почему алерт подозрителен или безопасен, какой следующий шаг вы рекомендуете. Скриншоты обязательны.

Платформы для практики:

• TryHackMe - SOC Level 1 path (SIEM, фишинг, Wireshark, MITRE ATT&CK)
• LetsDefend - симуляция реальных SOC-алертов, пошаговое расследование
• Blue Team Labs Online - задачи по анализу логов и форензике памяти
• CyberDefenders - CTF-задачи для blue team
• Splunk Boss of the SOC (BOTS) - бесплатный датасет для практики в Splunk

Стремитесь пройти минимум 10–15 сценариев до первого собеседования.

Дни 61-90: сертификация и поиск работы​

Выберите одну сертификацию начального уровня:

Сертификация	Для кого	Особенности
CompTIA Security+	Универсальный вход	Наиболее признаваемая базовая сертификация. Многие работодатели указывают её в требованиях
BTL1 (Blue Team Level 1)	Тем, кто идёт именно в SOC	Максимально практическая, заточена под работу SOC-аналитика
Google Cybersecurity Certificate	Бюджетный вариант	Доступно, включает практические лабораторные
Splunk Core Certified User	Если целитесь в компанию со Splunk	Валидирует SIEM-навыки, которые спрашивают на собеседовании

Параллельно - откликайтесь минимум на 5 вакансий в неделю. Ищите позиции «стажёр SOC», «junior SOC аналитик», «аналитик L1 мониторинга ИБ». КРОК, Positive Technologies, Лаборатория Касперского, Solar, BI.ZONE, «Информзащита» - все они набирают стажёров регулярно.

Что спрашивают на собеседовании в SOC​

Ниже будут вопросы, которые я задавал кандидатам, а также что спрашивали у меня:

Технические:

• «Пользователь жалуется, что его аккаунт заблокирован. В SIEM вы видите 500 событий 4625 с одного IP за последний час. Ваши действия?» (Проверяют понимание Brute Force T1110 и процесс реагирования)
• «Вам прилетел алерт: PowerShell на рабочей станции бухгалтера скачивает файл с внешнего IP. Что делаете?» (Command and Scripting Interpreter T1059 - оцените контекст, проверьте репутацию IP, посмотрите что за файл)
• «Чем отличается TCP от UDP? На каком порту работает DNS?» (Базовые сети - если не ответите, дальше разговор не пойдёт)
• «Что такое lateral movement? Как выглядит в логах?» (Понимание kill chain)

Процессные:

• «Вы на ночной смене один. Видите алерт, который не понимаете. Ваши действия?» (Правильный ответ: эскалация, а не самодеятельность)
• «Как вы приоритизируете 50 алертов в очереди?» (Критичность актива + тип угрозы + время в очереди)

Soft skills:

• «Расскажите случай, когда вы ошиблись. Что сделали?» (Честность и способность учиться)
• «Как объясните руководителю отдела продаж, зачем ему менять пароль?» (Коммуникация с нетехническим персоналом)

Зарплаты SOC-аналитика в России в 2026 году​

Ориентировочные диапазоны на основе выборочного анализа вакансий на hh.ru и профильных Telegram-каналах за 2025 - начало 2026 года. Это не исчерпывающее исследование, а моё субъективное мнение:

Уровень	Опыт	Диапазон, руб./мес.	Что влияет
Стажёр / Junior L1	0-1 год	60 000 - 120 000	Москва/регионы, сменный график
L1 со стажем	1-2 года	100 000 - 150 000	Тип компании, ночные надбавки
L2	2-4 года	150 000 - 250 000	SIEM-экспертиза, автоматизация
L3 / Senior	4+ лет	250 000 - 400 000+	Специализация, отечественные SIEM

Несколько вещей, о которых не пишут на курсах:

• Ночные и выходные смены добавляют 25–35% к базовому окладу. Бывает, что L1 с надбавками зарабатывает больше L2 на дневном графике без бонусов
• Знание отечественных SIEM (MaxPatrol SIEM, KUMA от Kaspersky) сейчас котируется отдельно - особенно в госсекторе и на критической инфраструктуре, где требования регуляторов жёстче
• Москва и Петербург платят на 30–50% выше регионов, но удалёнка постепенно выравнивает ситуацию
• Финтех и банки традиционно платят больше аутсорсинговых SOC

По отдельным вакансиям на hh.ru senior-позиции с опытом работы с отечественными SIEM доходят до 400 000–500 000 рублей в месяц, хотя такие предложения единичны.

Что изменилось в 2026: AI в SOC и новые навыки​

Если вы читали карьерные гайды годичной давности - половину можно выбросить. По данным ISC2, знание AI второй год подряд лидирует в списке навыков для безопасников (41% опрошенных), опережая даже cloud security (36%).

Что это означает на практике:

AI не заменяет SOC-аналитиков, но меняет их работу. Рутинный триаж автоматизируется. По данным CyberDefenders, AI-решения на базе SOAR-платформ уже выполняют первичное обогащение алертов, автоматическую корреляцию и даже предлагают плейбуки реагирования. Звучит красиво, но на деле - автоматика пока ошибается достаточно часто, чтобы без человека не обойтись.

Аналитик становится супервизором AI. Вместо ручного разбора каждого алерта вы проверяете решения автоматики: достаточно ли данных для закрытия, верно ли приоритизирован инцидент, не пропустила ли система нечто контекстуальное. Грубо говоря, раньше вы были дежурным - теперь вы дежурный над роботом-дежурным.

Появились новые навыки: умение формулировать запросы к AI-помощникам (prompt engineering для security copilot), интерпретация рекомендаций ML-моделей, понимание ограничений автоматизации - когда доверять, а когда перепроверять.

Но базовые навыки никуда не делись. AI бесполезен, если вы не понимаете, что он вам показывает. Понимание сетей, логов, атак - по-прежнему фундамент. Просто теперь поверх фундамента появился новый инструментальный слой.

Чего вам не расскажут на курсах: честные предупреждения​

Я бы хотел, чтобы мне сказали это перед первым рабочим днём в SOC.

Первые полгода будет ощущение, что вы ничего не понимаете. Это нормально. Каждая инфраструктура уникальна, каждая SIEM настроена по-своему, а названия внутренних систем никто не объясняет - вы узнаёте их по ходу дела. Заведите заметки и записывайте всё: какие источники подключены, что значат внутренние аббревиатуры, какие IP принадлежат каким сервисам. Я первый месяц вёл тетрадку - бумажную, да - и она спасала меня раз десять.

Сменный график - это серьёзно. Работа 2/2 или «сутки через трое» ломает привычный ритм жизни. Ночные смены бьют по здоровью и социалке. Это не романтика «ночного дозора», а реальная бытовая нагрузка. Учитывайте это при выборе компании.

80% алертов - ложные срабатывания. Это не баг, а реальность. Правило корреляции написано широко, чтобы ничего не пропустить, и в итоге срабатывает на легитимную активность. Ваша задача - не злиться, а помогать улучшать правила (когда дорастёте до L2).

Alert fatigue - профессиональная болезнь. Когда вы 200-й раз за смену видите «Suspicious DNS query» и это снова false positive - есть соблазн закрыть тикет не глядя. Именно в этот момент вы можете пропустить реальный инцидент. Дисциплина процесса отличает хорошего аналитика от посредственного. Тут как в анекдоте про сапёров - ошибаешься один раз.

Документация - это не бюрократия. Каждый закрытый тикет с хорошим комментарием экономит время следующей смене. Каждый плейбук, который вы написали, снижает время реагирования команды. В SOC ваша документация - это ваша репутация.

Практический чек-лист: с чего начать прямо сейчас​

Конкретные шаги, которые можно сделать сегодня:

1. Установите VirtualBox или VMware. Разверните Ubuntu и Windows 10. Это ваша лаборатория на ближайшие 3 месяца
2. Зарегистрируйтесь на TryHackMe (бесплатный тариф). Начните путь Pre-Security, затем SOC Level 1
3. Установите Splunk Free (до 500 МБ/день) или поднимите ELK-стек в Docker. Начните пересылать туда логи из ваших виртуальных машин
4. Откройте MITRE ATT&CK Navigator. Отметьте 8 техник, которые я перечислил выше. Для каждой прочитайте описание и примеры детектирования
5. Создайте GitHub-репозиторий для портфолио. Каждое выполненное задание, каждый write-up - туда
6. Подпишитесь на 2–3 Telegram-канала по SOC и мониторингу ИБ. Не «чтобы быть в теме», а чтобы видеть, какие атаки обсуждают прямо сейчас

Карьера SOC аналитика - не спринт, а марафон. Первый год будет монотонным. Второй - интересным. На третий вы поймёте, что можете расследовать инцидент от начала до конца и объяснить любому, что произошло.

Откройте терминал, запустите grep "Failed password" /var/log/auth.log на своей виртуалке - и если там пусто, попробуйте несколько раз ввести неправильный пароль по SSH. Посмотрите, как выглядит ваша первая «атака» в логах. Обучение информационной безопасности начинается не с сертификата, а с этой строчки в терминале.