🎯 SOC Analyst Skill Tree

Карта развития навыков от L1 до L3 аналитика

🛡️ Основы безопасности

Сетевые протоколы Обязательно

TCP/IP, OSI модель, HTTP/HTTPS, DNS, DHCP

Network+ Wireshark tcpdump

Операционные системы Обязательно

Windows, Linux основы, файловые системы, процессы

Windows Linux CLI

Основы криптографии Важно

Хеширование, шифрование, PKI, SSL/TLS

SSL/TLS Certificates Hashing

🔍 Мониторинг и анализ

SIEM основы Обязательно

Работа с алертами, простые запросы, понимание логов

Splunk QRadar Elastic

Анализ логов Обязательно

Windows Event Logs, Syslog, Apache/Nginx логи

Event Viewer grep regex

Типы атак Важно

Phishing, malware, DDoS, brute force, SQL injection

OWASP MITRE ATT&CK

🛠️ Инструменты

Ticketing системы Обязательно

ServiceNow, JIRA, управление инцидентами

ITSM SLA

EDR/AV консоли Важно

CrowdStrike, SentinelOne, управление алертами

EDR Endpoint

Базовые утилиты Обязательно

nslookup, ping, traceroute, netstat, whois

CLI Networking

🔬 Продвинутый анализ

Threat Hunting Обязательно

Проактивный поиск угроз, гипотезы, IOC hunting

MITRE ATT&CK Yara Sigma

Malware Analysis Важно

Статический анализ, sandbox, поведенческий анализ

VirusTotal Cuckoo IDA

Forensics Важно

Memory forensics, disk forensics, timeline analysis

Volatility Autopsy FTK

⚙️ Автоматизация

Scripting Обязательно

Python, PowerShell, Bash для автоматизации

Python PowerShell APIs

SOAR платформы Важно

Создание playbooks, интеграции, оркестрация

Phantom XSOAR Automation

SIEM Engineering Важно

Создание правил корреляции, парсеры, dashboards

SPL KQL Lucene

🌐 Threat Intelligence

OSINT Важно

Сбор информации из открытых источников

Shodan Maltego OSINT Framework

TI платформы Важно

MISP, ThreatConnect, работа с IOC

MISP STIX/TAXII IOCs

APT анализ Продвинуто

Анализ TTPs, attribution, campaign tracking

APT Groups TTPs Attribution

🎯 Лидерство и стратегия

SOC Architecture Обязательно

Дизайн SOC, процессы, метрики, KPI

NIST ISO 27001 Metrics

Управление командой Обязательно

Менторинг, обучение, управление сменами

Leadership Mentoring Training

Business Alignment Важно

Связь ИБ с бизнес-целями, риск-менеджмент

Risk Management ROI Compliance

🏗️ Продвинутые технологии

Cloud Security Обязательно

AWS, Azure, GCP security, CSPM, CWPP

AWS Azure Kubernetes

ML/AI в безопасности Продвинуто

UEBA, аномалии, predictive analytics

Machine Learning UEBA Analytics

DevSecOps Важно

CI/CD security, SAST/DAST, container security

GitLab Docker SAST

🚨 Incident Response Leadership

Crisis Management Обязательно

Управление крупными инцидентами, коммуникации

CSIRT Communications Stakeholders

Threat Modeling Важно

STRIDE, PASTA, архитектурный анализ

STRIDE Architecture Risk Assessment

Purple Teaming Продвинуто

Совместные учения, adversary emulation

Red Team Blue Team Exercises

🗺️ Карьерный путь SOC аналитика

Junior SOC Analyst (0-2 года)

• Мониторинг алертов и первичная обработка
• Изучение основ сетевой безопасности
• Работа с SIEM и ticketing системами
• Базовый анализ логов и инцидентов

SOC Analyst (2-5 лет)

• Глубокий анализ инцидентов
• Threat hunting и проактивный поиск
• Автоматизация рутинных задач
• Менторинг junior аналитиков

Senior SOC Analyst (5+ лет)

• Архитектура и стратегия SOC
• Управление сложными инцидентами
• Разработка процессов и процедур
• Лидерство и развитие команды

🏅 Рекомендуемые сертификации

🔰

Security+

CompTIA

Entry Level

🌐

CySA+

CompTIA

L1-L2

🛡️

GSEC

SANS

L1-L2

🔍

GCIH

SANS

🎯

GNFA

SANS

L2-L3

🏆

GCFA

SANS

☁️

AWS Security

Amazon

L2-L3

🔐

CISSP

ISC²

L3+

📚 Ресурсы для обучения

Онлайн платформы

Cybrary - курсы по кибербезопасности
SANS Cyber Aces - бесплатные туториалы
TryHackMe - практические лаборатории
HackTheBox - CTF и пентест

Книги и руководства

Blue Team Field Manual (BTFM)
The Practice of Network Security Monitoring
Practical Malware Analysis
SANS Reading Room

Сообщества и блоги

r/blueteamsec - Reddit сообщество
DFIR Diva - блог о форензике
Krebs on Security - новости ИБ
SOC Prime - платформа для аналитиков