SOC 分析师做什么?
指南 发布于 2026年7月7日

SOC 分析师做什么?

SOC 分析师整天做什么?任务、工具和职业级别的清晰拆解,来自一位训练过许多人进入该岗位的导师。

直接回答

SOC 分析师监控组织的网络和系统中的安全告警,调查每个告警是真实威胁还是误报,然后关闭它或将其升级以进行更深入的调查和响应。这是一个防御性(蓝队)角色,以日志、告警和工单队列为中心——并不是好莱坞电影中快速输入代码的黑客场景。

SOC 分析师的大部分时间是进行分流:安全信息和事件管理工具(SIEM——参见我的 SIEM 初学者指南)标记出异常内容,分析师需要判断这是否是配置错误的服务器、没有造成后果的钓鱼点击,或需要立即升级的真正被攻击的情况。

三个级别及各级别的变化

级别重点典型任务升级至
Tier 1告警分流审查 SIEM 告警、关闭误报、记录工单、遵循 runbookTier 2(任何不清楚或已确认的内容)
Tier 2调查更深入的日志关联、基础恶意软件分析、确认和界定事件范围Tier 3 / 事件响应团队(重大事件)
Tier 3威胁狩猎与响应主动狩猎现有规则未捕捉到的威胁、领导事件响应、调优检测规则与管理层/法律部门合作处理重大泄露

大多数阅读这篇文章的人都在目标第 1 级——这是标准的入职点,我的 如何成为 SOC 分析师 指南涵盖了如何进入该岗位。

典型的班次工作,逐个任务

  1. 班次交接开始——审查前一班次标记的或留下的未处理内容。
  2. 通过 SIEM 告警队列,按严重程度排序。
  3. 调查每个告警:检查源 IP、涉及的用户账户、行为是否与已知模式匹配。
  4. 关闭误报并记录原因(这种文档比新分析师预期的更重要——这是会被审计的内容)。
  5. 将真实或模糊的事件升级至 Tier 2,并附上目前的调查结果。
  6. 更新工单、运行定期检查(补丁状态、失败登录报告),处理来自其他团队的任何临时请求。
  7. 班次交接给下一位分析师。

如果团队运行 24/7 覆盖,这会按轮班在日班、晚班和夜班重复——如果班次模式对你很重要,面试时值得提问。

我对学生说的话

我经常纠正的最大误解是:人们期望 SOC 工作感觉像安全的攻防一方——主动

本文由 AI 辅助生成并发布到 Korra Studio 知识库。发现错误?请告诉我们。

战地笔记

准备深入学习?

将这些战地笔记转化为实战技能 — 在 DEFENSE_GRID 的相关段落中进行部署。

bolt 创建免费账户

相关段落

arrow_back所有战地笔记 grid_view探索运维库