SOC L3-аналитик

SOC L3 (Security Operations Center Level 3) — это эксперт высшего уровня в команде SOC, который берет на себя самые сложные задачи и влияет на вектор развития SOC. Если L2 — "детектив", то L3 — "эксперт-криминалист" и стратег, который не только расследует инциденты, но и формирует защитные механизмы на будущее.

Чем занимается SOC L2
Главная задача — расследовать эскалированные инциденты, которые не смог закрыть L2, и принимать решения о реагировании.

Основные задачи
1.Экспертный анализ инцидентов:
Разбор инцидентов, которые не смогли решить L1 и L2, проведение глубокого анализа вредоносного ПО, реконструкция цепочки атак и выявление сложных угроз (APT, zero-day, сложные фишинговые и целевые атаки).
2. Проактивный Threat Hunting:
Инициация охоты за угрозами, threat intelligence и собственные аналитические методы. Выявление скрытых атак, которые не были замечены корреляционными правилами или на предыдущих линиях.
3. Разработка и оптимизация защитных механизмов:
Создание новых сценариев обнаружения угроз, настройка SIEM, IDS/IPS, EDR, написание правил нормализации, разработка собственных инструментов для анализа и автоматизации процессов.
4. Стратегическое лидерство и наставничество:
Обучение L1/L2, разработка playbook-ов, создание инцидент-респонс-планов.
5. Взаимодействие со смежными внешними и внутренними командами:
Участвует в расследованиях с другими подразделениями (форензика, IR, threat intelligence).
6. Формирование и внедрение стратегий безопасности:
L3 участвует в разработке политики безопасности/внутренних регламентов, тестировании и выборе новых технологий и инструментов, проведении аудитов.

Ключевые обязанности
1. Глубокий форензический анализ инцидентов, включая реверс-инжиниринг вредоносного ПО и анализ дампов памяти.
2. Проактивный threat hunting с использованием threat intelligence и собственных гипотез.
3. Разработка, оптимизация и автоматизация detection-правил и сценариев реагирования.
4. Проведение комплексных расследований атак, включая APT и zero-day.
5. Разработка и обновление playbook-ов, обучение и наставничество младших аналитиков.
6. Участие в аудите и совершенствовании архитектуры безопасности.

Как может выглядеть рабочий день SOC L3
1. Анализ сложного инцидента, эскалированного L2 (например, подозрение на APT).
2. Реверс-инжиниринг вредоносного файла и составление YARA-правил.
3. TI по новым IoC и TTPs из внешних источников.
4. Разработка detection-правил для SIEM/EDR/IDPS.
5. Проведение тренинга для L1/L2 по новым атакам.
6. Встреча с IR-командой для обсуждения пост-инцидентных мер.
7. Участие в разработке стратегии внедрения новых средств защиты.

Инструментарий SOC L3
1. SIEM (KUMA, MP SIEM, Splunk, QRadar, ArcSight, ELK)
2. IDS/IPS/NTA (Zeek, PT NAD, Arkime)
3. EDR (KEDR, MP EDR, Bi.Zone EDR)
4. Форензика (Volatility, Eric Zimmerman's tools, EventLogExplorer, hayabusa и т.д.)
5. Malware analysis (IDA Pro, Cuckoo Sandbox)
6. Threat intelligence платформы (MISP, OpenCTI)
7. Системы автоматизации (SOAR/IRP, собственные скрипты на Python/Bash)

Как стать SOC L3
1. Базовые навыки (минимальные требования):
- Глубокие знания сетевых протоколов, архитектуры ОС, принципов работы вредоносного ПО.
- Опыт форензики, реверс-инжиниринга, threat hunting, разработки detection-правил.
- Навыки программирования/скриптинга (Python, Bash, PowerShell).
2. Практика:
- Лабы: LetsDefend, Blue Team Labs Online, CyberDefenders, Hack The Box.
- CTF для SOC: MITRE ATT&CK Evaluations, Splunk Boss of the SOC.
- Анализ реальных кейсов: MalwareBazaar, ANY.RUN.
- Опыт реальных расследований на предыдущих позициях в SOC.
3. Сертификации (рекомендуемые):
- OSCP
- SOC-200
- eCTHP
4. Soft Skills:
- отличные аналитические и коммуникативные навыки
- умение принимать решения в стрессовых ситуациях

Суммируем
SOC L3 — это эксперт, который закрывает самые сложные инциденты и участвует в стратегическом развитии SOC. Повышает качество выявления атак как с технической стороны, так и занимается повышением компетенций инженеров L1 и L2 SOC.

#ликбез

👨‍🏫 Менторство ИБ | Чат