Entry № 1106
安全分析师(SOC Tier 1/2/3)
安全分析师(SOC Tier 1/2/3) 是什么?
安全分析师(SOC Tier 1/2/3)在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。
安全分析师在安全运营中心(SOC)中负责检测、分诊与响应潜在的安全事件。Tier 1 分析师监控 SIEM、EDR 与 XDR 告警队列,按 playbook 验证告警并升级真阳性;Tier 2 分析师执行更深入的调查,跨工具关联事件、隔离受影响主机并负责事件工单;Tier 3 分析师处理高级事件,开展威胁狩猎、编写检测规则并对 SIEM 进行调优。分析师通常向 SOC 经理汇报,SOC 经理再向安全运营总监或 CISO 汇报。常见资质包括本科学历、SIEM/EDR 平台的实战经验,以及 Security+、BTL1、GCIA、GCIH 或 CySA+ 等认证。
● 示例
- 01
Tier 1 在确认邮件网关已拦截后关闭钓鱼告警。
- 02
Tier 3 借助 EDR 遥测和认证日志重建一次 APT 入侵的时间线。
● 常见问题
安全分析师(SOC Tier 1/2/3) 是什么?
在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。 它属于网络安全的 角色与职业 分类。
安全分析师(SOC Tier 1/2/3) 是什么意思?
在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。
如何防御 安全分析师(SOC Tier 1/2/3)?
针对 安全分析师(SOC Tier 1/2/3) 的防御通常结合技术控制与运营实践,详见上方完整定义。
安全分析师(SOC Tier 1/2/3) 还有哪些其他名称?
常见的别称包括: SOC 分析师, 网络安全分析师。