Чем отличается работа аналитика SOC первой линии от аналитика второй линии?

Работа аналитика SOC первой линии (L1) и аналитика второй линии (L2) отличается уровнем сложности обрабатываемых инцидентов. yandex.cloud www.kaspersky.ru

Аналитик первой линии занимается первичным мониторингом поступающих уведомлений. yandex.cloud Он в реальном времени отсеивает ложные срабатывания или события, выделяя те инциденты, которые требуют дальнейшего анализа и реагирования. yandex.cloud

Аналитик второй линии подключается, когда инцидент уже подтверждён аналитиком первой линии. yandex.cloud Он проводит более глубокое расследование: собирает и анализирует информацию, оценивает масштабы проблемы и разрабатывает план реагирования. yandex.cloud Если инцидент оказывается сложным, то он либо запускает меры по устранению угрозы, либо передаёт его на следующий уровень. yandex.cloud

Таким образом, первая линия фокусируется на рутинных инцидентах, а вторая — на продвинутых угрозах. www.kaspersky.ru