直接回答
SOC 分析师监控组织的网络和系统中的安全告警,调查每个告警是真实威胁还是误报,然后关闭它或将其升级以进行更深入的调查和响应。这是一个防御性(蓝队)角色,以日志、告警和工单队列为中心——并不是好莱坞电影中快速输入代码的黑客场景。
SOC 分析师的大部分时间是进行分流:安全信息和事件管理工具(SIEM——参见我的 SIEM 初学者指南)标记出异常内容,分析师需要判断这是否是配置错误的服务器、没有造成后果的钓鱼点击,或需要立即升级的真正被攻击的情况。
三个级别及各级别的变化
| 级别 | 重点 | 典型任务 | 升级至 |
|---|---|---|---|
| Tier 1 | 告警分流 | 审查 SIEM 告警、关闭误报、记录工单、遵循 runbook | Tier 2(任何不清楚或已确认的内容) |
| Tier 2 | 调查 | 更深入的日志关联、基础恶意软件分析、确认和界定事件范围 | Tier 3 / 事件响应团队(重大事件) |
| Tier 3 | 威胁狩猎与响应 | 主动狩猎现有规则未捕捉到的威胁、领导事件响应、调优检测规则 | 与管理层/法律部门合作处理重大泄露 |
大多数阅读这篇文章的人都在目标第 1 级——这是标准的入职点,我的 如何成为 SOC 分析师 指南涵盖了如何进入该岗位。
典型的班次工作,逐个任务
- 班次交接开始——审查前一班次标记的或留下的未处理内容。
- 通过 SIEM 告警队列,按严重程度排序。
- 调查每个告警:检查源 IP、涉及的用户账户、行为是否与已知模式匹配。
- 关闭误报并记录原因(这种文档比新分析师预期的更重要——这是会被审计的内容)。
- 将真实或模糊的事件升级至 Tier 2,并附上目前的调查结果。
- 更新工单、运行定期检查(补丁状态、失败登录报告),处理来自其他团队的任何临时请求。
- 班次交接给下一位分析师。
如果团队运行 24/7 覆盖,这会按轮班在日班、晚班和夜班重复——如果班次模式对你很重要,面试时值得提问。
我对学生说的话
我经常纠正的最大误解是:人们期望 SOC 工作感觉像安全的攻防一方——主动