Аналитик безопасности (SOC Tier 1/2/3)
Что такое Аналитик безопасности (SOC Tier 1/2/3)?
Аналитик безопасности (SOC Tier 1/2/3)Сотрудник центра операций безопасности, отслеживающий оповещения, расследующий инциденты и эскалирующий угрозы; обычно работа выстроена по уровням от Tier 1 (первичная сортировка) до Tier 3 (углублённое расследование).
Аналитик безопасности работает в центре операций безопасности (SOC) и отвечает за обнаружение, сортировку и реагирование на потенциальные инциденты. Аналитики Tier 1 следят за очередями SIEM, EDR и XDR, проверяют срабатывания по плейбукам и эскалируют истинные положительные. Tier 2 ведут более глубокие расследования, коррелируют события между инструментами, изолируют затронутые узлы и владеют тикетами инцидентов. Tier 3 разбирают сложные инциденты, занимаются threat hunting, создают детекции и настраивают SIEM. Отчётность, как правило, идёт через SOC-менеджера к директору по операциям безопасности или CISO. Типичные требования — высшее образование, практический опыт с платформами SIEM и EDR, сертификаты Security+, BTL1, GCIA, GCIH или CySA+.
● Примеры
- 01
Аналитик Tier 1 закрывает фишинговые оповещения, убедившись, что почтовый шлюз их заблокировал.
- 02
Аналитик Tier 3 восстанавливает хронологию APT-вторжения по телеметрии EDR и журналам аутентификации.
● Частые вопросы
Что такое Аналитик безопасности (SOC Tier 1/2/3)?
Сотрудник центра операций безопасности, отслеживающий оповещения, расследующий инциденты и эскалирующий угрозы; обычно работа выстроена по уровням от Tier 1 (первичная сортировка) до Tier 3 (углублённое расследование). Относится к категории Роли и карьера в кибербезопасности.
Что означает Аналитик безопасности (SOC Tier 1/2/3)?
Сотрудник центра операций безопасности, отслеживающий оповещения, расследующий инциденты и эскалирующий угрозы; обычно работа выстроена по уровням от Tier 1 (первичная сортировка) до Tier 3 (углублённое расследование).
Как работает Аналитик безопасности (SOC Tier 1/2/3)?
Аналитик безопасности работает в центре операций безопасности (SOC) и отвечает за обнаружение, сортировку и реагирование на потенциальные инциденты. Аналитики Tier 1 следят за очередями SIEM, EDR и XDR, проверяют срабатывания по плейбукам и эскалируют истинные положительные. Tier 2 ведут более глубокие расследования, коррелируют события между инструментами, изолируют затронутые узлы и владеют тикетами инцидентов. Tier 3 разбирают сложные инциденты, занимаются threat hunting, создают детекции и настраивают SIEM. Отчётность, как правило, идёт через SOC-менеджера к директору по операциям безопасности или CISO. Типичные требования — высшее образование, практический опыт с платформами SIEM и EDR, сертификаты Security+, BTL1, GCIA, GCIH или CySA+.
Как защититься от Аналитик безопасности (SOC Tier 1/2/3)?
Защита от Аналитик безопасности (SOC Tier 1/2/3) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Аналитик безопасности (SOC Tier 1/2/3)?
Распространённые альтернативные названия: SOC-аналитик, Аналитик по кибербезопасности.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 1254
XDR (расширенное обнаружение и реагирование)
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
- roles№ 1146
Охотник за угрозами
Старший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику.
- roles№ 523
Инцидент-респондер
Специалист, который ведёт или поддерживает техническое реагирование на подтверждённые инциденты безопасности — сдерживание, ликвидацию, форензику и восстановление — координируясь с юристами, коммуникациями и руководством.
- roles№ 996
Инженер по безопасности
Инженер, который проектирует, создаёт и эксплуатирует средства защиты, автоматизацию и инструменты, обеспечивающие безопасность инфраструктуры, приложений, идентичностей и конвейеров детектирования.