Live-данные · обновлено 23.06.26

SOC-аналитик: кто это и чем занимается

SOC-аналитик превращает поток событий безопасности в понятные решения: закрыть шум, собрать контекст, наблюдать или эскалировать инцидент.

АТ Алексей Тюрин · Технический редактор · Эксперт по информационной безопасности
Вакансии
31
Москва и МО · 23.06.26
Оценка зарплаты
175 000 ₽
Оценка по профессии и близкому рынку
Спрос
10 / 100
Низкий · #44
Уровень
Senior
58% вакансий
Формат
офисный формат
удал. 3% · гибрид 42% · офис 55%
Выборка зарплат
2
вакансий с зарплатой

Как ещё называют SOC-аналитика

В вакансиях смешиваются русские и английские названия. Смотрите не только на заголовок, а на задачи: мониторинг событий, SIEM, triage, false positives, escalation и incident report.

Синонимы
SOC-аналитиканалитик SOCSOC analystSecurity Operations AnalystSIEM-аналитиканалитик центра мониторинга безопасности
Смежные роли
Security EngineerIncident ResponderThreat HunterDetection EngineerDevSecOps EngineerПентестерСистемный администраторСетевой инженерNOC Engineer
Рыночный вывод

Свежие данные рынка: 31 активных вакансий, медианная зарплата 175 000 ₽, спрос 10/100. Срез по Москве и МО от 23.06.2026.

Зарплатная выборка по активным вакансиям - n=2, центральный диапазон - —–—. В формате работы заметно преобладает офис: удалённо 3%, гибрид 42%, офис 55%. По уровням рынок распределён так: Senior 58.3%, Lead —, Middle 41.7%, Junior —, Intern —.

Все профессии

Коротко о профессии

SOC - это Security Operations Center, центр мониторинга и реагирования на события информационной безопасности. Внутри SOC аналитик работает с очередью алертов, логами Windows и Linux, DNS, TCP/IP, Active Directory, EDR, сетевыми событиями и тикетами. Он не атакует системы и не занимается пентестом: роль находится на стороне Blue Team.

Главная задача - отличить обычное поведение от подозрительного. Для этого аналитик проверяет источник события, контекст пользователя и системы, соседние события, severity, возможный false positive и правила эскалации. Хороший SOC-аналитик умеет не только читать SIEM, но и писать ясные incident reports, передавать смену и давать feedback для tuning правил.

Для этой профессии доступны ограниченные данные. Аналитика носит ориентировочный характер.

По зарплате у профессии нет достаточной собственной актуальной выборки. Поэтому на странице показана оценка с явной маркировкой источника, а не точная медиана только по текущим активным вакансиям.

Как читать данные на странице

Числовые метрики показывают вакансии Москвы и Московской области. Описание роли, задач и навыков относится к профессии в целом.

Регион
Москва и МО
Срез
23.06.26
Зарплата
Оценка по профессии и близкому рынку
Выборка
n=2
Методология зарплат Методология спроса

Актуальные данные по профессии

Актуальный срез по вакансиям, зарплате, спросу и динамике найма для SOC-аналитика в Москве и МО.

Вакансии Количество активных вакансий на сегодня в регионе Москва и МО. Не включает закрытые или приостановленные.
31
активных вакансий
Москва и МО · текущий срез 23.06.26
7 дней назад
137
16.06.26 -77%
30 дней назад
84
24.05.26 -63%
Спрос 50 = средний по рынку, 100 = в 4× больше вакансий чем у средней IT-профессии. Метрика считается по актуальной выборке Москва и МО.
10
из 100
Ранг по спросу
#44 из 71
Статус
Низкий
Топ спроса
#1
Системный аналитик
645
#2
Продакт-менеджер
521
#3
Бизнес-аналитик
504
Оценка зарплаты
Оценка
175 000
Москва и МО · Оценка по профессии и близкому рынку
Последний месячный срез профессии (2026-03) · n=22
Рынок направления · n=105
Диапазон и позиция в зарплатном рейтинге не показаны: зарплата рассчитана в estimated-режиме, поэтому SkillStat не выводит эти значения, чтобы не создавать ложную точность.
Средний тренд Сначала сравниваем последние 30 дней с предыдущими 30. Если в одном из окон меньше 14 точек, пробуем 45, 60, 90 дней. Ряд использует ту же семантику активных публичных вакансий, что и верхнее число.
↑ 35.8%
последние 30 дней vs предыдущие 30
среднее последнего окна выше предыдущего
105 против 77 вакансий, последние 30 дней vs предыдущие 30
сглаживание 30 дней

Кто такой SOC-аналитик

SOC-аналитик - это специалист Blue Team, который следит за событиями безопасности и помогает компании быстрее понять, где обычный шум, а где возможный инцидент. В его рабочей очереди могут быть события SIEM, EDR, Windows Event Log, Linux auth/syslog, Active Directory, DNS, proxy, firewall, WAF, почтовых шлюзов и других источников.

Роль не сводится к нажатию кнопки «закрыть алерт». Аналитик проверяет контекст: кто пользователь, какая система затронута, насколько событие нормально для этой роли, есть ли соседние события, совпадает ли сигнал с known playbook и нужна ли эскалация. На L1 чаще работают по инструкциям и отсеивают false positives. На L2 и L3 добавляются самостоятельный triage, incident report, threat hunting, detection tuning и связь с incident response.

Для бизнеса SOC-аналитик важен потому, что инцидент редко выглядит как очевидная тревога. Чаще это цепочка слабых сигналов: необычный вход, странная активность PowerShell, DNS-аномалия, событие EDR, изменение в Active Directory или подозрительная почта. Аналитик превращает эти сигналы в решение: закрыть, наблюдать, собрать больше контекста или эскалировать.

Рабочий объект

Алерты, журналы, SIEM-запросы, цепочки действий, индикаторы и признаки атаки

Главная ценность

Отделяет реальный инцидент от шума и передаёт команде проверенный контекст

Ключевой риск

False positives перегружают смену, а пропущенный сигнал даёт атаке время

Что делает SOC-аналитик

SOC-аналитик проверяет события из SIEM, EDR, системных журналов, сети, почты и облачных сервисов. Он смотрит на действие, место, время, пользователя и соседние признаки. Так становится понятно, событие похоже на нормальную работу или на атаку.

Сильный аналитик не ограничивается одним индикатором. Он сверяет входы, процессы, сетевые обращения, историю узла и поведение учётной записи. Только после этого можно решить, перед командой штатная активность, странная аномалия или цепочка для срочного реагирования.

Работа требует быстрой гипотезы. Нужно назвать подозрительный факт, проверить подтверждения и понять, кому передавать ситуацию дальше. Без такой логики SOC пропускает важное или перегружает команду пустыми тревогами.

Почему расследование важнее очереди тревог

В SOC легко попасть в ловушку бесконечной очереди алертов. Но очередь ничего не значит, если специалист не умеет выделить важное.

Сильный аналитик ценится за triage. Он проверяет подозрение до разумной уверенности, не пропускает опасную цепочку и не отправляет команде сырой шум.

Зрелость видна в escalation. Передать инцидент дальше - не значит нажать кнопку. Нужно собрать контекст: затронутые системы, учётная запись, проверенные версии, вероятный риск и безопасный следующий шаг.

Ещё одна часть роли - снижение шума. Если ложная тревога повторяется неделями, SOC-аналитик помогает улучшить правило, добавить контекст или уточнить playbook.

С чем не путать профессию

SOC-аналитик не равен инженеру безопасности. Инженер строит защиту, а SOC проверяет живые события. Incident responder подключается глубже, когда атаку нужно сдержать и закрыть.

От пентестера роль тоже отличается. Пентестер ищет путь атаки. SOC-аналитик ищет признаки, что атака уже происходит или могла начаться. DevSecOps встраивает безопасность в разработку, а SOC работает с мониторингом.

Роль нельзя сводить к механической работе по инструкции. Часть случаев идёт по playbook. Но ценные навыки появляются там, где сигнал похож на норму, логов мало, а цепочка растянута по времени.

Сильный SOC-аналитик становится ранним фильтром риска. Он помогает не утонуть в событиях, поднять правильный приоритет и передать расследование без потери контекста.

Коротко о профессии SOC-аналитика

Эта таблица помогает быстро понять, что именно делает SOC-аналитик и как читать рыночные данные SkillStat.

Параметр Значение Как читать
Кто это Аналитик центра мониторинга безопасности Специалист Blue Team, который разбирает события ИБ и помогает эскалировать реальные инциденты.
Главная задача Отличить шум от угрозы Не каждый алерт является атакой; SOC-аналитик проверяет контекст и принимает аккуратное решение.
Что анализирует Логи, алерты, события, обращения, тикеты Источники зависят от зрелости SOC и подключённой телеметрии.
Основные источники SIEM, EDR/XDR, Windows/Linux logs, AD, DNS, firewall, proxy, WAF, IDS/IPS Чем больше источников, тем важнее triage и приоритизация.
Ключевые навыки SIEM, Windows, Linux, SQL, Python, DNS, TCP/IP, Active Directory, incident report Эти сущности встречаются в требованиях работодателей и отражают ядро роли.
Медиана SkillStat 175 000 ₽ Москва и МО, срез 23.06.2026, n=2.
Диапазон —–— Центральный диапазон по активным вакансиям, не зарплата каждого уровня.
Вакансии 31 активных вакансий Текущий активный срез по региону.
Спрос 10/100, #44 из 71 Низкий относительно массовых IT-ролей, но заметный внутри ИБ.
Формат офис 55%, гибрид 42%, удалённо 3% SOC часто связан со сменами, регламентами и закрытым контуром.
Уровень входа Junior —, Intern — Вход есть, но требует базы по сетям, логам, ОС и SIEM.
Куда растёт L2/L3, IR, threat hunting, detection engineering, security engineering, SOC Lead Рост идёт через качество triage, отчётов, детектов и коммуникации.

Чем занимается SOC-аналитик

Работа SOC-аналитика строится вокруг события: получить сигнал, проверить контекст, принять решение, оформить результат и передать кейс дальше, если риск подтверждается.

01

Получает алерт или событие

Аналитик смотрит очередь SIEM, EDR, SOAR или тикетов и понимает, что именно сработало. На этом этапе нельзя делать вывод по заголовку алерта: нужно проверить источник, время, систему и тип события.

02

Проверяет источник и контекст

Он уточняет, откуда пришёл сигнал: Windows, Linux, AD, DNS, proxy, firewall, EDR, WAF или другой источник. Контекст помогает понять, насколько событие релевантно для этой системы.

03

Сравнивает с нормальным поведением

SOC-аналитик проверяет, похоже ли событие на обычную работу пользователя, сервиса или администратора. Для этого нужно знать baseline: что нормально для конкретной роли, времени и системы.

04

Ищет соседние события в логах

Аналитик собирает события вокруг времени алерта: входы, ошибки, сетевые обращения, изменения прав, endpoint-события. Конкретные запросы не публикуются; задача - найти контекст, а не доказать угрозу любой ценой.

05

Определяет: шум, аномалия или инцидент

Если событие объясняется штатной активностью, его можно закрыть как false positive. Если есть признаки риска, аналитик фиксирует аномалию или эскалирует инцидент.

06

Собирает таймлайн

Таймлайн показывает, что произошло раньше, что позже, какие системы затронуты и какие данные подтверждены. Это помогает L2 или IR-команде не начинать расследование с нуля.

07

Готовит incident report

В отчёте фиксируются источник, время, затронутые активы, наблюдения, предварительная severity, гипотеза и рекомендации. Хороший отчёт не драматизирует и не скрывает неопределённость.

08

Эскалирует L2, IR или security engineer

Если событие выходит за рамки L1 или требует действий владельца системы, аналитик передаёт кейс дальше. Эскалация должна содержать факты: что известно, что проверено и что остаётся неясным.

09

Даёт feedback для tuning правил

Если алерт часто ложный или слишком шумный, аналитик фиксирует это для команды detection engineering или SIEM. Цель - снизить false positives, не потеряв полезный сигнал.

10

Документирует результат

Аналитик закрывает тикет, обновляет заметки, playbook или knowledge base. Документация делает сменную работу устойчивой: следующий аналитик понимает, что уже проверяли и почему приняли решение.

Рабочий день SOC-аналитика: от алерта до эскалации

В начале смены SOC-аналитик принимает очередь, смотрит handover, проверяет критичные открытые кейсы и приоритизирует алерты. Дальше он разбирает события, обогащает контекст, общается с владельцами систем, оформляет incident report и передаёт сложные случаи L2, IR или security engineering.

Ситуация Что проверяет аналитик Какой результат ожидается Когда нужна эскалация
Подозрительный вход Пользователь, время, география, устройство, MFA, история входов Закрыть как штатное, оставить под наблюдением или оформить аномалию Если есть признаки компрометации или затронут критичный аккаунт
PowerShell-активность Источник события, пользователь, система, связь с админскими задачами Понять, штатная ли это админская активность Если активность необычна для роли или связана с другими тревогами
Фишинговое письмо Отправитель, получатели, вложения и ссылки на уровне безопасной проверки, реакция gateway Классифицировать обращение и зафиксировать действия Если письмо массовое, есть переходы пользователей или признаки компрометации
Необычный DNS-запрос Домен, хост, частота, связь с процессом или пользователем Понять, это штатный сервис, ошибка или подозрительная аномалия Если запросы связаны с endpoint или network events
EDR-алерт Host, пользователь, процесс, severity, соседние события Подтвердить ложное или настоящее срабатывание на уровне SOC Если требуется изоляция, IR или разбор endpoint
Массовые ошибки входа Учётная запись, источник, время, affected systems Отличить ошибку конфигурации от подозрительной активности Если событие затрагивает privileged account или несколько систем
Активность в Active Directory Изменения групп, права, входы, блокировки, админские операции Понять, соответствует ли событие регламенту Если есть риск изменения привилегий или цепочка событий
Событие WAF Сервис, тип сигнала, частота, затронутые URL, связь с другими логами Отделить шум web-трафика от подозрительной серии Если затронут критичный сервис или есть подтверждение в app/proxy logs
Аномалия сетевого трафика Источник, назначение, объём, время, протокол на уровне метаданных Понять, штатная ли это коммуникация Если есть связь с EDR, DNS, firewall или критичным активом

SOC-аналитик, SIEM-аналитик, Blue Team analyst и смежные роли

SOC часто смешивают с SIEM, incident response, threat hunting, пентестом и общей инженерной ИБ. Таблица показывает границы, чтобы страница не конкурировала с соседними профессиями.

Роль Главный фокус Что делает Типовой результат Чем отличается от SOC-аналитика
SOC-аналитик Мониторинг и triage событий Разбирает алерты, проверяет логи, закрывает false positives, эскалирует инциденты Incident report, decision, escalation, tuning feedback Это базовая роль страницы.
SIEM-аналитик SIEM, источники и корреляции Работает с событиями, правилами, dashboards и качеством данных SIEM Настроенный поток событий и корректные алерты Уже по фокусу: SIEM - инструмент, SOC - операционная функция.
Blue Team analyst Защитная аналитика Работает с detection, monitoring, response, hardening context Подтверждённые защитные решения Часто шире SOC и может включать hunting или detection.
Security Engineer Защитные системы и настройки Внедряет и поддерживает меры защиты, доступы, hardening, инструменты Рабочая защитная инфраструктура Инженер строит и чинит защиту, SOC анализирует события.
Incident Responder Подтверждённый инцидент Ведёт containment, eradication, recovery, post-incident review Закрытый инцидент и lessons learned IR глубже реагирует после эскалации.
Threat Hunter Проактивный поиск Ищет признаки угроз без готового алерта, проверяет гипотезы Hunting report и новые detection ideas Threat hunting обычно L3/Senior практика.
Detection Engineer Детекты и качество сигналов Проектирует правила, снижает шум, улучшает coverage Рабочие detection rules и меньше false positives Не просто разбирает очередь, а улучшает саму систему обнаружения.
Пентестер Легальная проверка защищённости Проверяет систему с позиции атакующего в согласованном scope Отчёт о найденных рисках Пентестер проверяет прочность защиты, SOC мониторит и реагирует.
DevSecOps Безопасность delivery Встраивает security checks в CI/CD, контейнеры, IaC и релизы Безопасная поставка изменений DevSecOps работает до и во время релиза, SOC - с событиями эксплуатации.

Уровни SOC: L1, L2, L3 и Lead

В SOC рост обычно описывают не только грейдами Junior/Middle/Senior, но и линиями L1/L2/L3. Чем выше уровень, тем меньше механической очереди и больше самостоятельного анализа, улучшения детектов и ответственности за процесс.

Уровень Роль Типичные задачи Какие навыки нужны Инструменты Что показать в портфолио Куда расти
Intern / стажёр Помогает в смене и учится triage Разбор учебных событий, документация, простые тикеты Сети, Windows/Linux basics, что такое лог и алерт SIEM viewer, ticket system, wiki Конспект логов, учебный incident report L1
L1 / Junior SOC Analyst Первая линия очереди Playbook, false positives, первичная классификация, базовая эскалация TCP/IP, DNS, HTTP, Windows/Linux logs, SIEM basics SIEM, EDR console, ticket system, dashboards Разбор учебного алерта, таймлайн, false positive decision L2
L2 / Middle SOC Analyst Самостоятельный triage Проверка контекста, incident report, уточнение severity, feedback по детектам SIEM-запросы на концептуальном уровне, AD, EDR, MITRE, IR basics SIEM, EDR/XDR, SOAR/IRP, logs, case management Несколько расследований с таймлайном и рекомендациями L3, IR, detection
L3 / Senior SOC Analyst Сложные цепочки и улучшение detection Threat hunting, сложный triage, detection tuning, связь с IR Глубокие логи, AD, сетевой контекст, MITRE, автоматизация SIEM, EDR, NTA, SOAR, Sigma/YARA на уровне defensive use Hunting note, tuning case, playbook improvement Lead, IR, threat hunting
Lead SOC Analyst / SOC Lead Качество SOC и процессы Метрики SOC, качество triage, playbooks, обучение смен, SLA, эскалации Управление сменами, методология, коммуникация, incident process SIEM/SOAR dashboards, KPI, case management, knowledge base Улучшение процесса, снижение false positives, обучение L1/L2 SOC Manager, Head of SOC

Чем занимается SOC-аналитик

Требования

сценарии, критерии и постановка задачи

  • Разбирать alert из SIEM, EDR, IDS/IPS, Windows, Linux и сетевых источников.
  • Отделять false positives от событий, которые требуют наблюдения или срочной escalation.
Система

данные, api, статусы и интеграции

  • Делать enrichment: добавить данные о пользователе, хосте, времени, критичности системы и похожих событиях.
  • Готовить incident report: таймлайн, факты, индикаторы, риск, проверенные версии и следующий шаг.
Команда

согласование и работа с разработкой

  • Строить hypothesis и проверять её через SIEM query, логи, EDR и сетевую телеметрию.
  • Давать feedback на tuning правил, чтобы снижать шум и не терять важные сигналы.

Как выглядит работа по задаче

Для SOC-аналитика стартовая точка - алерт или подозрительное событие. Рабочий цикл выглядит так: alert -> enrichment -> hypothesis -> SIEM query -> escalation -> report -> tuning. Это путь от тревоги до понятного вывода и улучшения правила.

Шаг 01

Получает событие

Смотрит источник правила, время, пользователя, хост и критичность системы.

Шаг 02

Собирает контекст

Ищет соседние события в SIEM, EDR, Active Directory, DNS, HTTP и почтовых логах.

Шаг 03

Проверяет гипотезу

Отделяет штатную активность от атаки. Пишет SIEM query и фиксирует факты.

Шаг 04

Передаёт инцидент

Описывает риск, приоритет, затронутые объекты и следующий безопасный шаг.

Шаг 05

Улучшает правило

После разбора отмечает, где снизить шум, добавить источник данных или уточнить playbook.

SOC-аналитик, security engineer и incident responder: в чём разница

В кибербезопасности эти роли часто стоят рядом, но отвечают за разные моменты жизненного цикла угрозы.

01
Фокус
SOC-аналитик

Мониторинг, triage, проверка тревог, первичное расследование и эскалация.

Инженер безопасности

Настройка защитных средств, закрытие уязвимостей, правила и технические меры контроля.

02
Рабочий материал
SOC-аналитик

SIEM, EDR, журналы, алерты, таймлайн действий, индикаторы компрометации.

Инженер безопасности

Политики, системы защиты, настройки инфраструктуры, уязвимости и требования безопасности.

03
Цена ошибки
SOC-аналитик

Ложная тревога перегружает команду, пропущенный сигнал даёт атаке время.

Инженер безопасности

Слабая настройка защиты оставляет путь для повторной атаки или системной уязвимости.

04
Результат
SOC-аналитик

Подтверждённый или снятый инцидент с понятным контекстом и следующим действием.

Инженер безопасности

Улучшенная защита, правило, настройка или закрытый технический риск.

Навыки SOC-аналитика: что требуют работодатели

Рабочий стек SOC строится вокруг SIEM, EDR, журналов Windows и Linux, сетевых событий и Active Directory. Дополнительно помогают PowerShell, Bash, Python и базы индикаторов. Важно не запомнить список инструментов, а понимать путь события от источника до решения.

Базовый слой - сети, системы, учётные записи и типовые техники атак. Рабочий слой - alert, enrichment, hypothesis, SIEM query, escalation и incident report. Продвинутый слой - threat hunting, detection tuning, MITRE ATT&CK и обратная связь инженерам безопасности.

На собеседовании по SOC часто дают маленький инцидент. Это может быть ночной вход, PowerShell-команда, DNS-запрос к странному домену или фишинговое письмо. Сильный кандидат проговаривает ход проверки: какие данные нужны, где искать подтверждение, что считать false positive и когда нужна escalation.

В текущем активном срезе по этой роли 31 вакансий. Список работодателей ниже построен по накопленной статистике SkillStat, поэтому его нужно читать как ориентир по источникам вакансий, а не как долю текущего рынка.
Топ работодателей
Компании, которые встречаются в вакансиях по профессии SOC-аналитик
1
Центральный банк Российской Федерации (Банк России)
21 вак.
2
RWB (Wildberries & Russ)
21 вак.
3
F6
15 вак.
4
Positive Technologies
14 вак.
5
Лаборатория Касперского
13 вак.
6
VK
9 вак.
Полная карта навыков SOC-аналитик →
Вход через junior
0%
от рынка

Рынок ориентирован на опытных специалистов.

Навыков на вакансию
6
в среднем

Столько требований работодатели обычно собирают в одной позиции по этой роли.

Курс · подобран по данным рынка

Лучший курс для SOC-аналитика

Соответствие рассчитано по стеку из 31 вакансий — это не реклама, а совпадение со спросом работодателей.

Лучшее совпадение
81%
соответствие
Практикум
Практикум
онлайн · с куратором
Аналитик SOC
4 месяцев Сертификат
4.5
от 4 776 ₽/мес

Hard skills SOC-аналитика

В данных SkillStat среди частых требований видны SIEM, Windows, Linux, Information Security, SQL, Python, DNS и TCP/IP. Их нужно читать как рабочее ядро SOC, а не как случайный набор слов.

Навык Зачем нужен Уровень
TCP/IP Понимать сетевые события и контекст коммуникаций Junior+
DNS Разбирать доменные обращения и аномалии Junior+
HTTP/HTTPS Понимать web, proxy и WAF-события Junior+
Windows Читать события входа, учётных записей и endpoint Junior+
Linux Понимать auth/syslog, процессы и сервисы Junior+
Active Directory Разбирать права, группы и доменные события Middle+
SIEM Смотреть корреляции, алерты, контекст и кейсы Junior+
EDR/XDR Понимать endpoint alerts и контекст host Middle+
SQL Работать с данными и отчётностью, понимать запросный подход Junior+
Python/Bash/PowerShell Автоматизация рутины, разбор логов, helper scripts Middle+
MITRE ATT&CK Классифицировать техники и связывать события Junior/Middle
Incident response basics Понимать escalation и роль IR Junior+
Documentation Писать incident report, handover и playbook Junior+

Soft skills и навыки по уровням

SOC-аналитик работает со стрессом, шумом, неполными данными и сменной передачей контекста. Поэтому мягкие навыки здесь не вторичны.

Зона Что нужно Почему важно
Junior / L1 Внимательность, playbook discipline, базовая эскалация, аккуратный тикет Первая линия должна не терять факты и не перегружать L2 плохими эскалациями.
Middle / L2 Критическое мышление, самостоятельный triage, incident report, коммуникация с владельцами систем L2 уже отвечает за качество решения и понятность отчёта.
Senior / L3 Работа с неопределённостью, hunting mindset, tuning, автоматизация, обучение младших На L3 важна не скорость закрытия тикета, а улучшение качества обнаружения.
Lead Метрики SOC, качество смен, обучение, процессы, SLA, эскалации Lead отвечает за систему, а не только за отдельные события.
Сменная работа Handover, краткие notes, стрессоустойчивость, одинаковый стандарт решений SOC часто работает 24/7, и контекст должен переживать смену.

Инструменты SOC-аналитика

Инструменты SOC нужно описывать безопасно: через назначение, уровень и defensive-задачи. Не публикуйте правила детектирования, команды, payload или инструкции, которые помогают обходить защиту.

Инструмент / класс Для чего нужен На каком уровне нужен Как безопасно описать в резюме Что важно понимать
SIEM Корреляция событий, очередь алертов, контекст Junior+ Работал с SIEM-алертами и triage по playbook SIEM показывает сигнал, но не заменяет анализ.
EDR/XDR Endpoint alerts и контекст хоста Junior/Middle Разбирал EDR-события в учебных кейсах Нужна связь с пользователем, host и таймлайном.
SOAR/IRP Автоматизация кейсов и playbooks Middle+ Понимаю case workflow и handover Автоматизация не отменяет ответственность аналитика.
NTA/NDR Сетевые аномалии Middle+ Анализировал сетевые метаданные в defensive context Важен baseline сети.
IDS/IPS/WAF События сетевой и web-защиты Junior/Middle Классифицировал perimeter events и эскалировал кейсы Много шума и false positives.
Windows Event Log / Sysmon События Windows и расширенная endpoint telemetry Junior/Middle Разбирал Windows events и Sysmon в lab Нельзя делать вывод без соседних событий.
Linux logs Auth, syslog, service events Junior+ Анализировал Linux auth/syslog в учебных кейсах Важны время, пользователь и service.
Active Directory logs Доменная активность Middle+ Анализировал AD-события в Blue Team lab AD требует понимания прав и групп.
DNS / proxy / firewall logs Сетевой и web-контекст Junior/Middle Разбирал DNS, proxy и firewall events Нужна связь с host, user и endpoint.
Wazuh / MaxPatrol SIEM / KUMA SIEM/SOC tooling, релевантный российскому рынку Junior/Middle Знаком с SIEM-классом и triage workflow Важна логика SOC, а не только vendor UI.
Splunk / QRadar / ArcSight Enterprise SIEM Middle+ Понимаю SIEM workflow и case analysis Не публиковать sensitive queries.
ELK / OpenSearch / Kibana / Grafana Логи, поиск, dashboards Junior/Middle Строил dashboard по учебным security events Dashboard не заменяет triage.
Wireshark / Zeek / Suricata Сетевой анализ и telemetry Middle+ Работал с network telemetry в defensive lab Без offensive сценариев и правил обхода.
VirusTotal / MISP Enrichment и threat intelligence context Junior/Middle Использовал enrichment без загрузки чувствительных данных Indicator не равен инциденту.
YARA / Sigma Defensive detection formats Middle/L3 Понимаю YARA/Sigma как defensive detection language Не раскрывать чувствительные правила.
Jira / ServiceNow / case management Тикеты, handover, incident workflow Junior+ Вёл тикеты и handover Важна полнота, а не объём текста.
Python / Bash / PowerShell / SQL Автоматизация, логи, отчёты и анализ данных Junior/Middle+ Писал helper scripts и SQL-запросы для учебных SOC cases Не автоматизировать непроверенные действия.

Источники логов и событий в SOC

SOC-аналитик ценен не потому, что знает одно название SIEM, а потому что понимает, откуда приходит событие, насколько ему можно доверять и какой контекст нужен для решения.

Источник Какие события даёт Что может заметить SOC-аналитик Почему это важно Уровень
Windows Security logs Входы, ошибки, права, учётные записи Необычный вход, массовые ошибки, privileged activity Windows часто ядро корпоративной среды Junior+
Sysmon Расширенные endpoint-события Подозрительные последовательности на host Даёт больше контекста, чем базовые логи Middle+
Linux auth/syslog SSH, sudo, services, auth events Необычный доступ, ошибки сервисов SOC должен понимать server-side события Junior+
Active Directory Группы, права, доменные входы Рискованные изменения и аномалии учёток AD критичен для enterprise Middle+
DNS Доменные запросы Необычные домены, всплески, странная частота DNS часто показывает ранний сигнал Junior+
DHCP Связь IP и устройства Кто владел адресом в момент события Нужен для attribution в расследовании Junior+
Proxy / VPN / Firewall Web-доступы, удалённые входы, network flows Необычная коммуникация или рискованный доступ Даёт perimeter и remote-access context Junior/Middle
IDS/IPS / WAF События network и web security Шум или серия подозрительных событий Помогает приоритизировать perimeter cases Middle
EDR Endpoint detection Host-level сигнал и контекст Часто основа modern SOC Junior/Middle
Почтовые шлюзы Email events Фишинг, вложения, массовая рассылка Частый источник SOC-кейсов Junior+
Облачные журналы IAM, storage, API, cloud events Рискованные действия в cloud Cloud telemetry становится обязательной Middle+
Kubernetes / контейнеры Pod, audit, runtime, cluster events Аномалии workloads и доступов Уместно для cloud-native компаний Senior/L3
DLP Работа с чувствительными данными Возможная утечка или policy breach Требует аккуратности и privacy Middle+
SIEM correlation events Сводные корреляции Приоритетный сигнал из нескольких источников SIEM связывает события в кейсы Junior+
Смежные профессии
Инженер по безопасности 9 Инженер поддержки 7 Системный администратор 7 Пентестер 6 Облачный инженер 6 Сетевой инженер 6

Сколько зарабатывает SOC-аналитик

Для SOC-аналитика сейчас доступна рыночная оценка дохода, а не точная медиана только по текущим активным вакансиям. Её лучше читать вместе с подписью источника и структурой рынка по уровням.
Оценка зарплаты Оценка
175 000
Москва и МО · Оценка по профессии и близкому рынку
Последний месячный срез профессии (2026-03) · n=22
Рынок направления · n=105
Опора оценки
2
наблюдений в опорном срезе
Диапазон и позиция в зарплатном рейтинге не показаны: зарплата рассчитана в estimated-режиме, поэтому SkillStat не выводит эти значения, чтобы не создавать ложную точность.
По данным SkillStat, медианная зарплата SOC-аналитика в Москве и МО составляет 175 000 ₽ на срезе от 23.06.2026. Расчёт сделан по активным вакансиям с открытой зарплатной вилкой, выборка - n=2, центральный диапазон - —–—.
Зарплата по грейдам
Медиана зарплаты по грейду. n — выборка вакансий с указанной суммой.

Для estimated-режима грейдовые зарплаты не показываются, чтобы не создавать ложную точность.

Распределение по уровням
Senior
58% рынка
Senior
58%
Middle
42%
По структуре вакансий видно, какой уровень для этой профессии считается базовым на рынке. Это помогает читать грейды не как абстрактную лестницу, а как реальную точку входа и роста.
Дополнительный разбор

Где начинается рост

Медиану SkillStat нужно читать как ориентир по активным вакансиям в регионе и на дату среза, а не как гарантированную зарплату каждого SOC-аналитика. В SOC сильно различаются L1, L2, L3 и Lead: первая линия чаще работает по playbook и эскалирует кейсы, L2 ведёт самостоятельный triage и incident report, L3 занимается сложными цепочками, threat hunting и tuning, Lead отвечает за качество смен, метрики и процессы.

Что говорит структура рынка

В текущей структуре рынка видны Senior 58.3%, Lead —, Middle 41.7%, Junior —, Intern —. Зарплату повышают переход от L1 к L2/L3, самостоятельный triage, качественный incident report, понимание SIEM и логов, EDR/XDR, Active Directory, MITRE ATT&CK, detection tuning, threat hunting, автоматизация на Python/Bash/PowerShell, опыт 24/7 SOC, снижение false positives и нормальная коммуникация с IR/security engineering.

Вакансии SOC-аналитика: спрос и динамика рынка

Спрос на SOC-аналитика лучше читать как сочетание объёма найма, ранга профессии в общей выборке и устойчивости вакансий во времени. Виджеты выше дают быстрый срез рынка, а график ниже помогает понять, насколько этот спрос поддерживается от месяца к месяцу.

Активные вакансии
31
в активном найме
Москва и МО · текущий срез 23.06.26
7 дней назад
137
16.06.26 -77%
30 дней назад
84
24.05.26 -63%
Спрос
10
из 100
Ранг по спросу
#44 из 71
Статус
Низкий
Среднее число активных вакансий по месяцам
Блок показывает среднее число активных вакансий за месяц, чтобы видеть общую картину без шума отдельных дней.
июнь 108 неполный +28
май 80 -51
апрель 131 +26
март 105 +1
февраль 104
Июнь пока показан как текущий неполный месяц, поэтому его лучше читать как живую картину рынка, а не как итог месяца.
Дополнительный разбор

Спрос на SOC-аналитиков по шкале SkillStat сейчас 10/100, ранг по спросу - #44 из 71 профессий. Это ниже массовых IT-ролей, но заметно для узкой кибербезопасности: отдельные вакансии SOC появляются у крупных компаний, банков, вендоров ИБ, MSSP, интеграторов и enterprise-команд с постоянным мониторингом.

Низкий общий индекс не означает, что SOC не нужен. Часть похожих задач может называться SIEM analyst, security operations analyst, blue team analyst, analyst of information security monitoring или инженер мониторинга ИБ. Поэтому страницу лучше читать не только по названию вакансии, а по задачам: SIEM, логи, triage, false positives, escalation, incident report и работа в смене.

Junior-вход есть, но не широкий: в активном срезе junior — —, intern — —. Это хороший сигнал для входа из поддержки, NOC, администрирования или QA, но резюме должно показывать логи, сети, Windows/Linux, SIEM basics и безопасные учебные расследования.

Формат работы SOC-аналитика

Этот срез показывает, в каком формате работодатели чаще всего открывают вакансии по профессии: удалённо, гибридно или с полной привязкой к офису.

Сейчас сильнее всего выражен офисный формат: его отрыв от следующего сценария составляет около 13 п.п.
Удалённо
3%
Гибрид
42%
Офис
55%
По 31 вакансиям

Карьерный путь SOC-аналитика

Грейдовые медианы не показаны: для SOC-аналитика сейчас используется estimated-режим зарплаты, поэтому SkillStat не выводит отдельные зарплаты по уровням, чтобы не создавать ложную точность.

01
Junior

Junior или L1 - это не весь SOC, а стартовая роль аналитика в смене мониторинга. Он читает playbook, проверяет базовые признаки, закрывает false positives и эскалирует всё похожее на инцидент.

02
Middle

Middle или L2 сам собирает контекст по нескольким источникам. Он пишет SIEM-запросы, подтверждает или снимает подозрение, оформляет таймлайн и предлагает улучшения правила.

03
Senior

Senior или L3 разбирает сложные цепочки. Он помогает incident response, ведёт threat hunting, настраивает detection logic и учит младших аналитиков отличать шум от атаки.

04
Lead

Lead отвечает за зрелость SOC. В его зоне playbooks, качество triage, правила детектирования, метрики шума, обучение смен и маршрут развития в IR или detection engineering.

Где работает SOC-аналитик

In-house SOC

Глубже знает инфраструктуру компании, владельцев систем и нормальное поведение пользователей, поэтому быстрее отличает рабочую активность от атаки.

MSSP и внешний SOC

Работает с разными клиентами и должен особенно чётко передавать контекст, потому что не всегда видит внутренние бизнес-процессы.

Финтех, телеком и enterprise

Чем больше пользователей, серверов, внешних подключений и критичных данных, тем важнее зрелая фильтрация событий и мониторинг 24/7.

Путь в профессию: SOC-аналитиком

Практический путь входа в профессию: что освоить сначала, как собрать рабочую базу и на чём быстрее всего набирается прикладная уверенность.

01
0-1 месяц: сети, ОС и понятие события

Разберите TCP/IP, DNS, HTTP, базовый Linux, базовый Windows и разницу между логом, событием, алертом и инцидентом. Цель этапа - понимать источник события и не теряться в базовой терминологии SOC.

02
2-3 месяц: Windows/Linux logs и SIEM basics

Изучите Windows Event Logs, Linux auth/syslog, Active Directory на базовом уровне, учётные записи, права, основы SIEM и типовые события безопасности. Начните вести короткие заметки по каждому учебному кейсу.

03
3-5 месяц: triage, false positives и отчёт

Учитесь сортировать алерты, находить соседние события, отличать шум от аномалии, оформлять incident report и работать по playbook. MITRE ATT&CK используйте как классификацию техник, а не как инструкцию атаки.

04
5-8 месяц: безопасные расследования и портфолио

Соберите учебные кейсы: подозрительный вход, фишинговое письмо без вредоносных деталей, DNS-аномалия, EDR-алерт, Windows/Linux log analysis. Для каждого сделайте таймлайн, решение и понятный вывод.

05
8-12 месяц: резюме, L1-вакансии и специализация

Подготовьте резюме под Junior/L1 SOC, разберите требования вакансий и потренируйте ответы по TCP/IP, DNS, Windows, Linux, SIEM, false positive, escalation и incident report. Выберите следующий фокус: L2, incident response, threat hunting или detection engineering.

06
Что не нужно учить на старте

Не начинайте с глубокого reverse engineering, сложного malware analysis, offensive security и vendor-only курсов без понимания логов. Новичку важнее сети, ОС, SIEM, источники событий, документация и безопасные Blue Team labs.

Путь в профессию
Как стать SOC-аналитиком: данные из вакансий
Roadmap, junior-рынок, проекты для портфолио, первый оффер — без обещаний, с цифрами.
Как стать SOC-аналитиком
Курсы · подобрано по данным рынка

Курсы для SOC-аналитика

Сопоставили программы с реальным стеком из 31 вакансий — оценка соответствия рассчитана автоматически, это не реклама.

Соответствие — доля ключевых навыков из вакансий, которые охватывает программа курса

Roadmap SOC-аналитика на 6-12 месяцев

Roadmap нужен, чтобы новичок не утонул в инструментах. Сначала сети, ОС и логи; потом SIEM, triage и отчёты; после этого портфолио и подготовка к L1.

Период Что учить Что сделать
0-1 месяц TCP/IP, DNS, HTTP, базовый Linux, базовый Windows, лог, событие, алерт Собрать словарь терминов и научиться читать простые логи.
2-3 месяц Windows Event Logs, Linux logs, Active Directory basics, учётные записи, SIEM basics Разобрать учебные события входа, ошибок, изменений прав и сетевых обращений.
3-5 месяц Triage, false positives, incident report, playbooks, EDR concept, MITRE ATT&CK Сделать 2-3 учебных incident reports без offensive-инструкций.
5-8 месяц Таймлайн, phishing case, suspicious login, DNS anomaly, EDR alert, портфолио Собрать defensive-портфолио и сопоставить его с L1-вакансиями.
8-12 месяц Резюме, junior/L1 вакансии, собеседования, pet-проекты, выбор специализации Подготовить резюме, пройти mock interview и выбрать L2/IR/detection/threat hunting как следующий фокус.

Как перейти в SOC из смежных профессий

В SOC часто переходят из поддержки, NOC, системного или сетевого администрирования, QA, разработки и DevOps. У каждого маршрута уже есть часть базы, но недостающий слой разный.

Откуда Что уже полезно Чего не хватает Что учить первым На какие вакансии смотреть Портфолио Ошибка
Техническая поддержка Тикеты, пользователи, инциденты, коммуникация Сети, логи, SIEM, ИБ-термины TCP/IP, Windows logs, basic SIEM L1 SOC, support security Incident report по учебному алерту Писать «хочу в ИБ» без доказательств логов
NOC Мониторинг, смены, алерты, эскалации ИБ-контекст, MITRE, EDR, AD SIEM, security events, false positive L1 SOC, monitoring security Сравнение NOC/SOC incident flow Считать network alert равным security incident
Системное администрирование Windows/Linux, AD, права, сервисы SIEM, triage, incident report Windows Event Logs, AD logs, EDR SOC L1/L2, security admin AD defensive timeline Уходить в админские действия вместо расследования
Сетевое администрирование TCP/IP, DNS, firewall, VPN Endpoint logs, Windows/AD, SIEM DNS/proxy/firewall events в SIEM SOC network analyst, L1/L2 DNS anomaly case Игнорировать endpoint/user context
QA Тестовое мышление, баг-репорты, аккуратность Сети, ОС, логи, ИБ HTTP, logs, SIEM, incident report Junior SOC, QA security Учебный triage report Писать отчёты как баги без risk/context
Разработка Код, API, базы, логика Операционная ИБ, логи, SOC flow App logs, auth events, SIEM basics AppSec trainee, SOC with dev context App/API log investigation Уходить в исправление кода вместо triage
DevOps Linux, CI/CD, cloud, monitoring ИБ-классификация, EDR, incident process SIEM, cloud logs, MITRE, escalation SOC cloud, DevSecOps/SOC Cloud log defensive case Смешивать DevOps automation и SOC decision

Что показать в портфолио начинающему SOC-аналитику

Портфолио SOC-аналитика должно быть безопасным: учебные логи, defensive labs, incident reports, timelines, playbooks и dashboards. Никаких вредоносных инструкций и реальных чувствительных данных.

Кейс Что показать Источники данных Результат Как описать в резюме
Учебный алерт Source, context, decision SIEM sample, lab logs False positive или escalation decision Разбирал учебные SIEM alerts и оформлял triage notes
Таймлайн входа События до и после Windows/VPN logs Понятный timeline Собирал timeline подозрительного входа
Фишинговый кейс Header/context без опасных деталей Email gateway sample Incident report Разбирал phishing reports в defensive lab
DNS-аномалия Host, domain, frequency DNS logs Decision and next steps Анализировал DNS anomalies и фиксировал выводы
EDR-алерт Host, user, neighbouring events EDR sample Triage report Оформлял EDR alert triage без offensive деталей
Linux auth log Пользователь, время, source Linux auth/syslog Classification Анализировал Linux auth events
Windows login events Account, host, result Windows logs Baseline/anomaly Разбирал Windows login events и ошибки входа
Dashboard Метрики событий ELK/OpenSearch/Grafana lab Dashboard + notes Делал dashboard по учебным security events
Incident report Executive summary, severity, timeline Любой lab case Отчёт Писал incident report с impact и escalation
Playbook Steps without attack details Учебная очередь Triage guide Создал playbook для L1 triage
MITRE defensive notes Techniques as classification ATT&CK matrix Конспект Маппил учебные события на MITRE ATT&CK

Что спрашивают на собеседовании SOC-аналитика

На собеседовании проверяют не только термины. Важнее показать ход мысли: источник события, контекст, соседние логи, false positive, severity, escalation и incident report.

Тема Пример вопроса Что проверяет интервьюер Как отвечать Что добавить в портфолио
TCP/IP Что важно понять по сетевому событию? Базу сетей Источник, назначение, время, протокол, контекст Network event note
DNS Почему DNS важен для SOC? Понимание источников DNS показывает обращения host к доменам и помогает enrichment DNS anomaly case
HTTP Что смотреть в web/proxy событии? Web basics Метод, URL, статус, user, source, proxy context Proxy/WAF report
Linux Какие логи полезны SOC? Linux basics Auth, syslog, service logs на уровне defensive analysis Linux auth case
Windows Какие события важны? Windows event literacy Login, account, policy, process, security logs Windows login timeline
Active Directory Почему AD критичен? Enterprise context AD управляет правами, группами, учётками AD defensive lab
SIEM Что делает SIEM? Понимание SOC stack Собирает и коррелирует события, но требует triage SIEM alert report
EDR Чем EDR помогает SOC? Endpoint context Даёт host-level сигнал и события EDR alert note
False positive Что такое false positive? Зрелость triage Срабатывание без подтверждённого риска FP decision example
Escalation Когда эскалировать? Границы L1 Когда риск подтверждается или нужны права, IR или владелец системы Escalation template
Incident report Что должно быть в отчёте? Документация Source, timeline, impact, decision, next steps Report template
Сменная работа Что важно в handover? Процесс Открытые кейсы, контекст, решения, риски Handover checklist

Сертификаты и легальная практика SOC-аналитика

Сертификаты помогают структурировать обучение, но не заменяют портфолио. Для SOC особенно важны безопасные Blue Team labs, incident reports, timelines и понимание источников событий.

Сертификат / практика Кому подходит Что даёт Ограничение
Security+ Новичок Базовая терминология ИБ Не доказывает SOC-практику
CySA+ Junior/Middle Security analysis, detection, response Нужны labs и отчёты
BTL1 Junior/L1 Blue Team практику и defensive mindset Не заменяет опыт смены
SC-200 Microsoft/Sentinel track SIEM/SOAR в Microsoft ecosystem Vendor-specific
Splunk Core User / Power User Splunk track Search и работа с данными Нужен SOC-контекст
KUMA / MaxPatrol SIEM / Wazuh training Российский SOC/vendor context Практика с релевантными SIEM Проверять качество labs
TryHackMe Blue Team / SOC paths Новичок Легальные учебные кейсы CTF не равен работе SOC
Blue Team Labs / CyberDefenders / LetsDefend Junior/Middle Логи, DFIR, SOC cases Нужен отчёт в портфолио

Плюсы и минусы профессии

Плюсы

  • Понятная точка входа в кибербезопасность через логи, события и мониторинг.
  • Работа на стороне защиты и реальная польза бизнесу.
  • Рост в L2/L3, incident response, threat hunting и detection engineering.
  • Много прикладной практики с SIEM, EDR, Windows/Linux, DNS и Active Directory.
  • Можно начать с базового IT-бэкграунда: поддержка, NOC, администрирование, QA или DevOps.
  • Часть рутины можно автоматизировать и улучшать через playbooks и tuning.

Минусы

  • Сменный график и ночные смены возможны в 24/7 SOC.
  • Много шума и false positives, особенно в незрелых процессах.
  • Стресс при критичных инцидентах и ограниченном времени на решение.
  • Высокий объём логов и однотипных событий.
  • Junior-вход есть, но не очень широкий.
  • Качество работы зависит от зрелости телеметрии, playbooks и процессов эскалации.

Кому подойдет

Роль подходит людям, которым интересно расследовать, сопоставлять факты и сохранять хладнокровие в ситуации неполной уверенности. Это может быть in-house SOC, MSSP, финтех, telecom, интегратор или enterprise security. Везде нужны triage, SIEM-запросы, escalation, работа с false positives и короткий incident report.

Подойдет

  • Умение описывать инцидент коротко и по фактам.
  • Спокойствие при тревогах, давлении и неопределённости.
  • Готовность работать по процедурам, но замечать, где процедура устарела.
  • Навык задавать уточняющие вопросы администраторам, инженерам и пользователям.
  • Аккуратность в передаче инцидента другой команде.
  • Способность учиться на ложных срабатываниях, а не просто закрывать их.

Не подойдет

  • SOC вряд ли подойдёт тем, кто не любит рутину, журналы, сменный режим и внимательную проверку гипотез.
  • В этой работе нельзя постоянно ждать эффектные атаки: большая часть ценности создаётся в аккуратном отделении важного от фонового шума.

FAQ по профессии SOC-аналитик

Кто такой SOC-аналитик простыми словами?

SOC-аналитик - это специалист центра мониторинга безопасности, который следит за событиями в инфраструктуре компании и помогает отличать обычный шум от возможной угрозы. Он работает с SIEM, логами, EDR, тикетами, playbooks и incident reports. Его задача - не атаковать систему, а защищать её: проверить алерт, собрать контекст, понять серьёзность, закрыть false positive или эскалировать кейс L2/IR-команде.

Чем занимается SOC-аналитик?

SOC-аналитик разбирает алерты, проверяет источники событий, ищет соседние логи, собирает таймлайн, классифицирует событие и документирует результат. На L1 он чаще работает по playbook и эскалирует сложные случаи. На L2/L3 добавляются самостоятельный triage, incident report, threat hunting, detection tuning и коммуникация с IR/security engineering.

Какие навыки нужны Junior / L1 SOC-аналитику?

Junior/L1 SOC-аналитику нужны TCP/IP, DNS, HTTP, базовые Windows и Linux, понимание логов, SIEM basics, false positive, incident ticket, playbook и аккуратная эскалация. Работодатель ждёт не героя расследований, а человека, который не теряется в очереди алертов, фиксирует факты, соблюдает процесс и не перегружает L2 плохими эскалациями.

Можно ли работать SOC-аналитиком удалённо?

Удалёнка возможна, но для SOC она встречается реже, чем офис и гибрид. По данным SkillStat для Москвы и МО офис указан в 55% вакансий, гибрид - в 42%, удалёнка - в 3%. Это связано с закрытыми контурами, доступом к системам мониторинга, регламентами, сменами и требованиями безопасности.

Можно ли стать SOC-аналитиком без программирования?

Войти в SOC можно без сильного программирования, особенно на L1, но полностью игнорировать scripting не стоит. Python, Bash, PowerShell и SQL помогают читать данные, автоматизировать рутину, понимать события Windows/Linux и готовить отчёты. На старших уровнях automation и понимание запросного подхода становятся заметным преимуществом.

Можно ли стать SOC-аналитиком с нуля?

Стать SOC-аналитиком с нуля можно, но нужно закрыть базу: сети, DNS, HTTP, Windows, Linux, логи, события, SIEM и incident report. Для новичка SOC часто понятнее, чем пентест или security architecture, потому что L1-роль может начинаться с очереди алертов и playbooks. Но без практики с логами и defensive-кейсами резюме будет слабым.

Заменит ли ИИ SOC-аналитиков?

ИИ не стоит рассматривать как прямую замену SOC-аналитикам, но он будет автоматизировать часть рутины: группировку похожих событий, enrichment, поиск похожих кейсов, черновики отчётов и подсказки для triage. Человек остаётся нужен для контекста, приоритета, ответственности, коммуникации и решения, когда событие действительно нужно эскалировать.

Что спрашивают на собеседовании SOC-аналитика?

На собеседовании спрашивают TCP/IP, DNS, HTTP, Windows/Linux logs, Active Directory, SIEM, EDR, false positive, triage, escalation, phishing, PowerShell как источник событий, MITRE ATT&CK, incident report и сменную работу. Хороший ответ строится через источник события, контекст, проверку, решение и документацию, а не через опасные технические инструкции.

Сколько зарабатывает SOC-аналитик сейчас?

По данным SkillStat для Москвы и МО на срезе 23.06.2026 медианная зарплата SOC-аналитика составляет 175 000 ₽, выборка - n=2, диапазон - —–—. Это ориентир по активным вакансиям, а не гарантированная зарплата каждого уровня. Доход зависит от L1/L2/L3, сменного графика, SIEM/EDR, AD, incident report, threat hunting и detection tuning.

Где тренироваться легально?

Тренироваться можно на Blue Team Labs, CyberDefenders, LetsDefend, TryHackMe Blue Team paths, учебных SIEM labs, Wazuh labs, локальных логах и безопасных датасетах. Работать нужно только с учебными или разрешёнными данными. Не используйте чужие системы и реальные чувствительные логи без разрешения: SOC - defensive-профессия, но юридические рамки всё равно важны.

Есть ли у SOC-аналитика ночные смены?

Да, ночные смены возможны, особенно в 24/7 SOC, MSSP, банках, крупных enterprise и компаниях с непрерывным мониторингом. Не каждая вакансия требует ночей, но сменный график для SOC обычен. При выборе работы стоит смотреть график, handover, нагрузку, правила эскалации, компенсацию ночных смен и зрелость процессов.

Какие инструменты должен знать SOC-аналитик?

SOC-аналитику полезно понимать SIEM, EDR/XDR, SOAR/IRP, NTA/NDR, IDS/IPS, WAF, Windows Event Log, Sysmon, Linux logs, AD logs, DNS logs, proxy, firewall, Wazuh, MaxPatrol SIEM, KUMA, Splunk, QRadar, ELK/OpenSearch и ticket systems. Важно не перечислить vendor names, а объяснить, какой сигнал даёт инструмент и как он помогает triage.

Сколько учиться на SOC-аналитика?

Реалистичный первый путь занимает 6-12 месяцев, если заниматься регулярно и собирать портфолио. За 1-3 месяца можно закрыть сети, ОС и основы логов. За 3-5 месяцев - SIEM, triage, false positives, incident report. За 5-12 месяцев - учебные кейсы, портфолио, собеседования и выбор специализации: L2, IR, threat hunting или detection engineering.

Чем SOC-аналитик отличается от инженера информационной безопасности?

SOC-аналитик обычно работает с событиями, алертами, логами и первичным расследованием. Инженер информационной безопасности чаще отвечает за защитные меры, настройки, доступы, hardening, политики, внедрение инструментов и исправление рисков. SOC может передавать инженерной команде подтверждённые проблемы, а инженер ИБ помогает сделать среду устойчивее.

Чем SOC-аналитик отличается от пентестера?

SOC-аналитик работает на стороне защиты и разбирает события в корпоративном периметре. Пентестер легально проверяет защищённость системы с позиции атакующего и готовит отчёт по найденным рискам. SOC отвечает за monitoring, triage, escalation и incident report, а пентестер - за проверку уязвимостей в согласованном scope. Это разные, но смежные роли кибербезопасности.

Чем SOC-аналитик отличается от incident responder?

SOC-аналитик чаще обнаруживает и классифицирует событие, а incident responder глубже ведёт подтверждённый инцидент: containment, eradication, recovery, post-incident review. На L1/L2 SOC-аналитик готовит контекст и эскалацию, чтобы IR-команда не начинала с пустого места. На L3 граница может сближаться, особенно в небольших командах.

Чем SOC-аналитик отличается от SIEM-аналитика?

SIEM-аналитик обычно сфокусирован на SIEM: события, корреляции, правила, источники и отчёты. SOC-аналитик шире: он работает с очередью алертов, EDR, тикетами, playbooks, коммуникацией, эскалацией и incident report. В небольших командах роли могут совпадать, но SOC-аналитик отвечает за решение по событию, а не только за работу в SIEM.

Чем SOC-аналитик отличается от threat hunter?

Threat hunter проактивно ищет признаки угроз, которые могли не попасть в обычные правила и алерты. SOC-аналитик чаще работает с очередью событий и playbooks. На старших уровнях SOC-аналитик может заниматься hunting, но для этого нужны глубокие знания логов, инфраструктуры, MITRE ATT&CK, baseline и detection gaps.

Что добавить в портфолио начинающему SOC-аналитику?

Добавьте 3-5 безопасных кейсов: разбор учебного алерта, таймлайн подозрительного входа, phishing report без вредоносных деталей, DNS anomaly, EDR alert, Windows/Linux log analysis, dashboard, incident report и playbook. В каждом кейсе нужны источник данных, контекст, решение, что было false positive или escalation, и чему вы научились.

Что такое EDR и зачем он SOC-аналитику?

EDR - это endpoint detection and response, инструмент для наблюдения за рабочими станциями и серверами на уровне endpoint. SOC-аналитик использует EDR как источник контекста: какой host затронут, какой пользователь работал, какие события происходили рядом. EDR-алерт не всегда равен инциденту, поэтому нужен triage и связь с другими логами.

Что такое escalation в SOC?

Escalation - это передача события или инцидента на следующий уровень: L2, IR, security engineer, владельцу системы или другой команде. Хорошая эскалация содержит факты: источник, время, affected assets, что проверено, какая гипотеза, какая severity и что требуется дальше. Плохая эскалация просто пересылает алерт без контекста.

Что такое false positive?

False positive - это срабатывание, которое выглядит как риск, но после проверки не подтверждается как инцидент. В SOC false positives неизбежны: правила могут быть шумными, телеметрия неполной, а легитимные действия похожи на подозрительные. Хороший аналитик не просто закрывает такие события, а фиксирует причину и даёт feedback для tuning.

Что такое SIEM и зачем он SOC-аналитику?

SIEM - это система, которая собирает, нормализует и коррелирует события безопасности из разных источников. Для SOC-аналитика SIEM является основной рабочей поверхностью: там появляются алерты, события, корреляции, контекст и кейсы. Но SIEM не заменяет мышление: аналитик должен проверить источник, соседние события, baseline и возможный false positive.

Что такое SOC?

SOC - это Security Operations Center, центр мониторинга и реагирования на события информационной безопасности. В SOC собираются события из SIEM, EDR, сетевых систем, Active Directory, DNS, firewall, proxy, почтовых шлюзов и других источников. Задача SOC - не просто хранить логи, а быстрее находить значимые сигналы, расследовать их и передавать реальные инциденты в реагирование.

Что такое triage в SOC?

Triage в SOC - это первичная сортировка и проверка события: насколько оно важно, что известно, какие источники подтверждают сигнал, есть ли соседние события и нужна ли эскалация. Triage помогает не тратить одинаковое время на каждую тревогу. Главная цель - быстро и аккуратно отделить шум, аномалии и реальные инциденты.