В чем разница между первой, второй и третьей линией аналитиков SOC?

Разница между первой, второй и третьей линиями аналитиков SOC (Security Operation Center) заключается в их задачах и уровне сложности решаемых проблем: check-person.ru yandex.cloud

1. Первая линия (SOC L1) занимается первичным мониторингом поступающих уведомлений. yandex.cloud Аналитик в реальном времени отсеивает ложные срабатывания или события, выделяя те инциденты, которые требуют дальнейшего анализа и реагирования. yandex.cloud В случае положительного ответа они передают информацию на вторую линию. check-person.ru
2. Вторая линия (SOC L2) подключается, когда инцидент уже подтверждён аналитиком первой линии. yandex.cloud Специалист проводит более глубокое расследование: собирает и анализирует информацию, оценивает масштабы проблемы и разрабатывает план реагирования. yandex.cloud Если инцидент оказывается сложным, то он либо запускает меры по устранению угрозы, либо передаёт его на следующий уровень. yandex.cloud
3. Третья линия (SOC L3) — наиболее опытный эксперт в SOC. yandex.cloud Он разбирается со сложными и критичными атаками. yandex.cloud Такие специалисты часто выполняют задачи threat hunting: проактивно выявляют признаки скрытых атак и компрометации, которые могли остаться незамечёнными стандартными средствами защиты. yandex.cloud Они проводят глубокий анализ вредоносного ПО, собирают цифровые доказательства и по итогам расследований формулируют рекомендации по усилению безопасности. yandex.cloud

Важно учитывать, что линейность в SOC условна, и в каждой компании специалисты могут быть организованы по-своему. habr.com