Статья Карьера в SOC: как пройти путь от IT-джуна до тимлида Blue Team

Начну с объяснений, почему SOC пользуется спросом на уровне законодательства.​

Дефицит кадров в кибербезопасности растёт ежегодно, как в России, так и по всему миру. По оценкам отраслевых экспертов, уже сегодня нехватка специалистов в Blue Team измеряется десятками тысяч. И чем интенсивнее цифровизация бизнеса и государства, тем выше нагрузка на первые линии обороны SOC.

Если Red Team ищет слабые места и проверяет системы «на прочность», то Blue Team это команда ежедневной защиты в реальном времени. И здесь ключевую роль играют аналитики SOC: они мониторят инфраструктуру, выявляют атаки, реагируют на инциденты и минимизируют ущерб.

Для тех, кто уже работает в ИТ: техподдержка, системные администраторы, инженеры, переход в Blue Team через позицию SOC-аналитика является одной из самых предсказуемых и достижимых карьерных траекторий в ИБ.

Попасть в SOC можно даже без ИТ-бэкграунда, хотя путь в этом случае будет заметно сложнее. В отрасли действительно немало специалистов, которые пришли из совершенно непрофильных сфер, из нефтегаза, банков, продаж, логистики, силовых структур и даже гуманитарных направлений. Но важно понимать, что SOC это не лёгкий и не «быстрый» вход в информационную безопасность: здесь нужен минимальный технический фундамент, без которого аналитик просто не сможет выполнять свою работу. Придётся освоить основы сетевых технологий, принципы работы Windows и Linux, разобраться в протоколах, логах, типах атак и научиться работать с SIEM-системами. Но об этом, поговорим позже.

Самое главное с точки зрения актуальности направления, SOC сегодня прямо закреплён в российском законодательстве как элемент системы обеспечения безопасности.

Юридическая необходимость SOC: что прямо предписывает российское законодательство​

SOC в современных российских реалиях, знаете, не просто «желательно иметь», а фактически обязательный элемент системы защиты по требованиям законодательства. Его появление в компаниях обусловлено не модой рынка и не тенденциями зарубежных практик, а прямыми нормами федеральных законов и подзаконных актов. Российская нормативная база прямо предписывает организациям выстраивать процессы круглосуточного мониторинга, обнаружения компьютерных атак, регистрации инцидентов, их анализа, эскалации и взаимодействия с государственными центрами реагирования.

Ключевым документом здесь является 187-ФЗ «О безопасности критической информационной инфраструктуры». Он обязывает субъекты КИИ обеспечивать непрерывный мониторинг событий информационной безопасности, своевременное выявление инцидентов, реагирование на атаки и обязательное взаимодействие с ГосСОПКА.

Кроме того, закон предусматривает эксплуатацию сертифицированных средств защиты и создание процессов, обеспечивающих фактическое функционирование систем обнаружения и мониторинга. По сути, все эти требования полностью соответствуют функциям SOC.

Приказы ФСТЭК, включая №235 и сопутствующие методические материалы, конкретизируют обязанности организаций: вести постоянный контроль защищённости, регистрировать события безопасности, обнаруживать инциденты, проводить расследования, корректно вести журналы событий, обеспечивать их хранение, а также эксплуатировать средства мониторинга и корреляции, в том числе SIEM-системы. Эти требования фактически описывают архитектуру и ежедневную работу SOC, закрепляя необходимость аналитиков, процессов реагирования и инструментов корреляции.

В финансовом секторе аналогичную роль играют стандарты Банка России (СТО БР ИББС), которые делают обязательными круглосуточное реагирование, корреляцию событий, ведение процедур Incident Response (IRP), документирование, отчётность, анализ атак и их последствия. В банковской сфере невозможно соблюсти эти требования без полноценной SOC-функции, будь она реализована внутри компании или вынесена на аутсорсинг.

Таким образом, SOC не просто удобный операционный центр, а инструмент исполнения прямых норм закона. И именно поэтому эта профессия остаётся устойчиво востребованной, высокооплачиваемой и долгосрочной: она не зависит от трендов рынка, она встроена в правовую базу обеспечения информационной безопасности в России.

SOC L1​

Аналитик SOC уровня L1 это вход в профессию, начальная линия обороны, обеспечивающая круглосуточный мониторинг инфраструктуры и своевременную реакцию на инциденты. На этом уровне специалист занимается наблюдением за событиями в SIEM, NTA, WAF и других системах, проводит первичную обработку алертов, отличает реальные угрозы от ложных срабатываний, эскалирует серьёзные инциденты на уровень L2, контролирует корректную работу дашбордов и средств мониторинга, а также ведёт полный цикл сопровождения инцидентов в IRP.

Основные обязанности L1​

• мониторинг событий в SIEM, NTA, WAF и смежных системах;
• первичная обработка алертов и обращений пользователей;
• классификация событий, определение приоритета и критичности;
• эскалация серьёзных инцидентов на уровень L2;
• анализ ложноположительных срабатываний;
• контроль работоспособности SIEM, агентов и дашбордов;
• проверка подозрительных объектов и файлов в песочницах;
• полное ведение инцидентов в IRP (Incident Response Platform);
• формирование сменных отчётов и логов;
• выявление повторяющихся инцидентов и аномалий;
• участие во внутренних Bug Bounty активностях компании.

Что должен уметь аналитик L1​

• понимать принципы TCP/IP, модели OSI, протоколы HTTP, DNS, DHCP, уметь работать с VPN;
• уверенно работать с Windows и Linux на уровне пользователя и младшего администратора;
• владеть основами лог-менеджмента и уметь анализировать логи ОС, приложений и средств защиты;
• понимать принципы работы SIEM и базовые механизмы корреляции событий;
• знать типовые атаки, техники и тактики из MITRE ATT&CK;
• обладать базовыми навыками OSINT для проверки подозрительных объектов;
• желательно иметь базовые знания Python, PowerShell и SQL для автоматизации и быстрой аналитики.
  
  Переходите по ссылке, чтобы узнать подробности о курсе, который даст вам необходимые навыки и практику для старта на позиции SOC-аналитик L1: 3.5-месячный онлайн-курс Специалист центра мониторинга инцидентов информационной безопасности (SOC)
  
  
  
  
  

  SOC L2​

  Аналитик SOC уровня L2 это специалист, который выходит за рамки простого мониторинга и становится полноценным расследователем. Его задача не только обнаруживать угрозы, но и разбираться в их причинах, механизмах развития и глубинных последствиях. На этом уровне специалист проводит детальный анализ сетевого трафика, артефактов и логов, строит гипотезы, выявляет цепочки атаки, создаёт правила корреляции для SIEM, улучшает точность и эффективность детектов. L2 отвечает за настройку источников логирования, эксплуатацию SOAR/EDR/NTA-систем, оптимизацию процессов реагирования, а также выступает наставником для L1. Это уровень, на котором аналитик действительно становится инженером безопасности, способным улучшать SOC, а не только поддерживать его работу.
  

  Обязанности L2​

• Детальные расследования инцидентов (сетевой трафик, логи, артефакты).
• Создание правил корреляции SIEM.
• Аудит защищённости и оценка рисков.
• Настройка источников логирования.
• Наставничество и помощь L1.
• Работа с SOAR, EDR, NTA, TIP.
• Участие в тестах на проникновение.
• Разработка методик реагирования.
• Анализ защищённости сервисов и инфраструктуры.
• Работа с osquery, Fleet, нормализацией логов.
• Разработка запросов, парсеров и сценариев корреляции.
  
  Навыки L2
• Глубокое знание сетей и протоколов.
• Работа с логами: Syslog, CEF, JSON, nxlog, Elastic.
• Понимание архитектуры инфраструктуры и Active Directory.
• Навыки автоматизации: bash / Python / PowerShell.
• Знание MITRE ATT&CK, OWASP, Kill Chain.
• Опыт реальных расследований.
• Опыт настройки SIEM / EDR / IDS / IPS.
• Понимание эксплуатации уязвимостей.
  
  
  

SOC L3​

Специалист SOC уровня L3 эксперт, ориентированный на проактивную защиту, поиск сложных угроз и развитие архитектуры SOC. L3 работает на стыке Threat Intelligence, Threat Hunting, реверсинга, форензики и построения продвинутых правил детектирования. На этом уровне аналитик не ждёт, пока угроза проявится, он сам формирует гипотезы, изучает TTP злоумышленников, анализирует IOC и TI-источники, выявляет скрытые следы APT-активности, создаёт YARA и Sigma-правила, определяет точки наблюдения и недостающие источники логов. L3 участвует в расследованиях наивысшего уровня сложности, взаимодействует с Red Team, выстраивает логику enrichment-пайплайнов и помогает определять архитектуру SOC и его эволюцию. Это уровень, где аналитик становится мозгом SOC и ключевой фигурой в защите компании.

Обязанности L3​

• Threat Hunting: построение гипотез и поиск скрытых следов APT.
• Работа с TI-платформами, фидами, IOC.
• Анализ TTP злоумышленников и построение моделей угроз.
• Разработка YARA / Sigma / Suricata-правил.
• Проактивный поиск аномалий в логах и сетевом трафике.
• Участие в расследованиях высокого уровня.
• Разработка корреляций, нормализации и enrichment-логики.
• Участие в Purple Team и Red Team упражнениях.
• Реверс-инжиниринг вредоносного ПО.
• Форензика: анализ памяти, дисков, артефактов.
• Построение и оптимизация архитектуры SOC.

Навыки L3​

• Глубокое знание сетевых протоколов и архитектур.
• Анализ памяти, дампов, артефактов.
• Опыт работы с EDR / NDR / XDR.
• Владение YARA, Sigma, Snort/Suricata.
• Навыки реверс-инжиниринга и анализа ВПО.
• Уверенное владение Python / Bash / PowerShell.
• Глубокое знание Kill Chain, MITRE ATT&CK, D3FEND.
• Опыт расследования APT и Red Team атак.
• Умение строить threat models (STRIDE, PASTA).
  
  

  Лидерство (Team Lead / Head of SOC)​

  
  Переход к руководству, является по большей степени сменой фокуса с технических задач на управление процессами, людьми и стратегией. Тимлид отвечает за контроль и оптимизацию всех процессов SOC, а также за стратегическое развитие (внедрение новых средств защиты). Но это уже совсем другая история..
  
  З.Ы:
  
  Отыскал историю Марии, ученицы с потока по SOC. По её словам, обладала сильным аналитическим мышлением, но не имела профильного IT-образования. Ее целью был переход в высокооплачиваемую сферу Blue Team. Мария начала с нуля, освоив базовые знания по сетям и ОС на курсе + самостоятельное обучение. Ее аналитический склад ума и упорство, позволили ей разобраться в логике SIEM. классификации MITRE ATT&CK. Она устроилась на позицию младшего аналитика SOC. Мария отлично справлялась с анализом данных и составлением отчетности. Активно осваивала скрипты на Python (чтобы облегчить рутинный анализ). Сейчас она участвует в разработке внутренних playbook-ов и готовит техническую документацию, двигаясь в сторону L2.
  
  Так что всем начинающим сил и усердия, не сдавайтесь, не сбивайтесь с пути и вы обязательно придёте к своей цели. Если моя статья была полезна для вас, не скупитесь на комментариях и реакции