SOC アナリストとしての最初の 90 日を乗り切る
オンボーディング、アラートトリアージ、ツール、迅速に信頼を構築する習慣をカバーする、新しい SOC アナリスト向けの実践的なロードマップです。
SOC アナリストの役割を始めるのは、同時にワクワクしており、方向感覚がなくなる思いです。数十のツールへのアクセス、アラートのキュー、そして実際の脅威をどのくらい早くキャッチすべきかについての漠然とした期待が与えられます。最初の 90 日間は、この職務におけるキャリア全体の軌跡を決めるため、単に生き残るのではなく、意図的にアプローチする価値があります。
週 1~2 日:行動する前に吸収する
ベテランのようにチケットを閉じ始めたいというキャッシュを抵抗します。初期段階では、環境を理解することが仕事です。通常のトラフィックはどのように見えるか、どの資産が重要な資産か、エスカレーションパスは何か、誰が何を所有しているか。古くなっていても、ランブックを読みます。古いランブックは、後で埋める必要がある部族知識の gap について多くを教えてくれます。
SIEM で時間を費やします。トリアージをしないでクエリをするだけです。それに供給するデータ ソースに慣れてください。ファイアウォール ログ、EDR テレメトリ、DNS ログ、認証ログです。ログ ソースがどこに存在するか、またはそれがどのように正規化されているかわからない場合は、今すぐ聞いてください。誰も 1 週目に流暢性を期待していないため、早期に尋ねられた質問は勤勉として読み込まれ、無能ではありません。
週 3~5 日:シャドウイング、次に監督下でのトリアージ
ここからは実際のアラートで作業を始めますが、シニア アナリストまたは明確なエスカレーション バディとペアになります。繰り返し可能なトリアージ習慣を構築することに焦点を当てます。
- アラートが正しく発火したことを確認します。アラート サマリーだけでなく、生のログを確認します。
- コンテキストを確立します。このアセットはワークステーション、サーバー、サービス アカウントですか。ベースライン動作は何ですか?
- 爆発半径のスコープを定めます。これは他のホスト、他のアカウント、他の時間枠に触れましたか?
- 進むにつれて文書化します。今日のメモは、6 ヶ月後に他の人が頼る制度知識です。
この段階での一般的な間違いは、効率的に見えるためにアラートを閉じすぎることです。速度は最終的に重要ですが、正確さと推論は今のところもっと重要です。シニア アナリストは後で取引を教えることができます。悪い習慣を簡単に教えることはできません。
週 6~8 日:独自のプレイブック直感を構築します。
この時点では、フィッシング レポート、ブルート フォース試行、疑わしい PowerShell 実行などの一般的なアラート タイプを、より少ないハンドホールディングで処理する必要があります。既存の検出ルールが見逃すパターンに気づき始めます。おそらく、特定のアラートは常に良性のバックアップ ジョブで発火します。おそらく、ルール ロジックが狭すぎるため、実際の手法が滑り落ちています。これらの観察をチームに持ってきます。このような早期にチューニング提案を投稿すると、主導権が示されます。また、この時点で、IP、ハッシュ、ドメインを VirusTotal や組織の脅威インテリジェンス プラットフォームなどのソースに対して確認する基本的な脅威インテリジェンス ルックアップに慣れてください。そのコンテキストがアラートの重大度をどのように変更するかを理解します。
週 9~12 日:所有権を取得し、フィードバックを求めます。
最後のストレッチでは、曖昧なものを閉じる前にエスカレーションを確認しながら、シフトでより多くの自律性を求めています。独自のメトリクスを非公式に追跡し始めます。処理したアラートの数、誤検知の数、何かを再度開く必要があった頻度。これは生産性を証明することではなく、判断が堅固な場所と、まだキャリブレーションが必要な場所に気づくことです。
リードに直接聞きます。「経験豊富なアナリストが何かを見逃していますか?」ほとんどの SOC リードは、サイレント不確実性よりも、フィードバックの直接的なリクエストを尊重します。これは、専門分野の関心 — 検出エンジニアリング、脅威狩り、インシデント対応、マルウェア分析 — を特定するのに適した時期でもあります。SOC の仕事は多くの方向に扉を開くためです。また、特定のパスについての好奇心を示すことは、マネージャーがストレッチ作業をどのように割り当てるかを形作るのに役立つため。
初日からの価値のある習慣を構築します。
特定の SOC のツール化や成熟度レベルに関係なく、数点は支払う価値があります。
- すべての調査に対して、閉じたものであっても、クリーン、タイムスタンプ付きのメモを書きます。
- ログフィールドだけでなく、ネットワーク トポロジーを学びます。どの通信が何をするかを知ることは、異常がより速く明らかになることを意味します。
- 非技術的なマネージャーが理解できるインシデント要約を作成する練習をします。このスキルはキャリア全体で複合します。
- 誤検知について好奇心を持ち続けてください。悪い検出を調整することは、多くの場合、チケットを迅速に閉じるより価値があります。
最初の 90 日間は、専門家になることについてではなく、その後数年でエキスパートになることができる判断、習慣、関係を構築することについてです。
SOC 作業の背後にある技術的基盤を磨きたい場合 — ログ分析、ネットワーク基礎、またはインシデント対応ワークフロー — Korra Studio の関連する Blue Team と Digital Forensics セグメントを探索します。
この記事は AI の支援を受けて生成され、Korra Studio ナレッジベースに公開されました。
これは Korra Studio ナレッジベースの 1 つのノートです。プラットフォームはすべてのトピックと 1 対 1 メンタリングをペアで提供します。
無料で始めるarrow_forward