直接的答案
SOC 分析師監控組織的網路和系統是否有安全警示,調查每個警示是真正的威脅還是誤報,然後關閉它或將其上報進行更深入的調查和回應。這是一個防禦性的(藍隊)角色,以日誌、警示和工單隊列為中心 —— 不是好萊塢電影中快速打字入侵的景象。
SOC 分析師大部分時間在做分類:Security Information and Event Management 工具(SIEM —— 參見我的 SIEM 初學者指南)會標記某些異常情況,分析師需要判斷是伺服器配置錯誤、沒有真正造成傷害的釣魚點擊,還是需要立即上報的真正危害。
三個等級及每個等級的變化
| 等級 | 焦點 | 典型任務 | 上報給 |
|---|---|---|---|
| Tier 1 | 警示分類 | 審查 SIEM 警示、關閉誤報、記錄工單、遵循運行手冊 | Tier 2 處理任何不清楚或已確認的情況 |
| Tier 2 | 調查 | 更深入的日誌關聯、基本惡意軟體分析、確認和範圍確定事件 | Tier 3 / 事件回應團隊處理重大事件 |
| Tier 3 | 威脅獵捕與回應 | 主動獵捕現有規則未捕獲的威脅、領導事件回應、調整檢測規則 | 與管理層/法律部門合作處理重大資料外洩 |
大多數閱讀本文的人都是以 Tier 1 為目標 —— 它是標準的入門點,我關於 如何成為 SOC 分析師 的指南涵蓋了如何達到那裡。
典型班次,逐任務分解
- 班次交接開始 —— 審查前一班次標記或留下的未解決事項。
- 處理 SIEM 警示隊列,按嚴重程度排定優先級。
- 調查每個警示:檢查源 IP、所涉及的使用者帳戶、行為是否符合已知模式。
- 以記錄的原因關閉誤報(這個記錄比新分析師預期的要重要得多 —— 它是被審計的內容)。
- 將真實或模棱兩可的事件連同你目前的發現上報給 Tier 2。
- 更新工單、執行排定的檢查(補丁狀態、失敗登入報告),並處理來自其他團隊的任何臨時請求。
- 班次交接結束,移交給下一位分析師。
如果團隊提供 24/7 覆蓋,這會在輪班制中透過日班、晚班和夜班重複 —— 如果班次模式對你很重要,值得在面試時詢問。
我對我的學生說的話
我不斷糾正的最大誤解:人們期望 SOC 工作感覺像安全的攻擊面 —— 主動「獵捕駭客」。Tier 1 工作更像是一個知識淵博的分類護士。大多數警示只是噪音。你的工作是知道哪些不是,而這項技能是透過重複和模式識別建立的,而不是純粹的技術卓越。如果你發現重複性、細節密集的工作很無聊,在承諾之前要誠實面對自己 —— 比大多數學習指南承認的對工作滿意度更重要。
另一方面:正是這種重複讓你學習得很快。六個月的 Tier 1 警示分類教會你的關於真實網路實際行為的知識,比一年的自學課程還要多,因為你看到的是真實的流量、真實的配置錯誤和真實的(雖然罕見的)事件。
我也告訴學生不要低估這份工作中有多少是寫作。清晰、簡潔的事件記錄本身就是一項技能,你在 SOC 團隊中的聲譽很大一部分來自於你如何記錄你發現的內容,而不僅僅是你是否發現了它。
你通常會使用的工具
- SIEM 平台 —— Splunk、Microsoft Sentinel、QRadar 或開源選項如 Wazuh。
- 工單系統 —— ServiceNow、Jira 或類似系統,用於追蹤和上報事件。
- EDR 工具 —— 端點檢測和回應軟體(CrowdStrike、Defender for Endpoint、SentinelOne)用於調查個別機器。
- 威脅情報源 —— 檢查某個 IP 或檔案雜湊是否已知為惡意。
如果你在投入時間和金錢之前衡量這個職業道路是否適合你,預約試課,我們可以根據你的背景討論現實的一周實際上是什麼樣的。
常見問題
SOC 分析師是一份有壓力的工作嗎?
可能會是,特別是在真實事件或異常忙碌的班次期間,但日常工作是穩定、流程驅動的工作,而不是持續的危機。班次模式(包括在某些雇主那裡的夜班)通常是比技術內容本身更大的壓力來源。
SOC 分析師寫程式碼嗎?
Tier 1 通常不寫。基本指令碼(Python、PowerShell)在 Tier 2 及以上時對於自動化重複調查任務很有用,但這不是第一天的要求。
SOC 分析師和滲透測試人員有什麼區別?
SOC 分析師進行防禦和監控;滲透測試人員經過許可攻擊系統以首先發現弱點。完整比較見 藍隊對紅隊。
我如何知道 SOC 工作是否適合我?
如果你喜歡結構化、有條不紊的調查工作,並且不介意為了擅長模式識別而進行的重複工作,這是一個強有力的入門點。如果你被安全吸引純粹是因為你在線上看到的攻擊/駭客內容,值得先理解日常現實 —— 這正是本文的目的。