安全分析师(SOC Tier 1/2/3)
安全分析师(SOC Tier 1/2/3) 是什么?
安全分析师(SOC Tier 1/2/3)在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。
安全分析师在安全运营中心(SOC)中负责检测、分诊与响应潜在的安全事件。Tier 1 分析师监控 SIEM、EDR 与 XDR 告警队列,按 playbook 验证告警并升级真阳性;Tier 2 分析师执行更深入的调查,跨工具关联事件、隔离受影响主机并负责事件工单;Tier 3 分析师处理高级事件,开展威胁狩猎、编写检测规则并对 SIEM 进行调优。分析师通常向 SOC 经理汇报,SOC 经理再向安全运营总监或 CISO 汇报。常见资质包括本科学历、SIEM/EDR 平台的实战经验,以及 Security+、BTL1、GCIA、GCIH 或 CySA+ 等认证。
● 示例
- 01
Tier 1 在确认邮件网关已拦截后关闭钓鱼告警。
- 02
Tier 3 借助 EDR 遥测和认证日志重建一次 APT 入侵的时间线。
● 常见问题
安全分析师(SOC Tier 1/2/3) 是什么?
在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。 它属于网络安全的 角色与职业 分类。
安全分析师(SOC Tier 1/2/3) 是什么意思?
在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。
安全分析师(SOC Tier 1/2/3) 是如何工作的?
安全分析师在安全运营中心(SOC)中负责检测、分诊与响应潜在的安全事件。Tier 1 分析师监控 SIEM、EDR 与 XDR 告警队列,按 playbook 验证告警并升级真阳性;Tier 2 分析师执行更深入的调查,跨工具关联事件、隔离受影响主机并负责事件工单;Tier 3 分析师处理高级事件,开展威胁狩猎、编写检测规则并对 SIEM 进行调优。分析师通常向 SOC 经理汇报,SOC 经理再向安全运营总监或 CISO 汇报。常见资质包括本科学历、SIEM/EDR 平台的实战经验,以及 Security+、BTL1、GCIA、GCIH 或 CySA+ 等认证。
如何防御 安全分析师(SOC Tier 1/2/3)?
针对 安全分析师(SOC Tier 1/2/3) 的防御通常结合技术控制与运营实践,详见上方完整定义。
安全分析师(SOC Tier 1/2/3) 还有哪些其他名称?
常见的别称包括: SOC 分析师, 网络安全分析师。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 1254
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
- roles№ 1146
威胁猎手
资深防御人员,基于假设、威胁情报与行为分析,主动在企业遥测中搜寻已绕过现有检测的攻击者活动。
- roles№ 523
事件响应人员
在确认发生的安全事件中主导或协助技术应对的专业人员,负责遏制、清除、取证分析与恢复,并与法务、公关、管理层紧密协作。
- roles№ 996
安全工程师
负责设计、构建并运维各类安全控制、自动化与工具的工程师,工作覆盖基础设施、应用、身份与检测体系等领域。
● 参见
- № 992安全意识培训师