SOC-команда: роли и ответственности. Карточки SecPost
В SOC нет универсального специалиста, закрывающего все задачи. В карточках SecPost — 10 ключевых ролей: от аналитиков Tier 1 и инженеров до специалистов по форензике и менеджера по уязвимостям. Состав команды зависит от размера и модели, но важно не наличие всех позиций, а покрытие каждой функции — отдельным сотрудником, подрядчиком или автоматизацией.
В центре мониторинга информационной безопасности нет универсальной роли, которая закрывает все задачи. Аналитики обрабатывают срабатывания и расследуют инциденты, инженеры поддерживают инструменты и развивают детекцию, специалисты по поиску угроз ищут активность атакующих за пределами готовых правил, а менеджер отвечает за процессы и взаимодействие с бизнесом. Состав конкретного SOC зависит от его размера и модели – внутренней, аутсорсинговой или гибридной. В небольших командах один человек может совмещать несколько функций, в крупных каждая специализация выделяется отдельно.
Состав реального SOC редко совпадает с идеальной схемой. Важно не наличие всех позиций в штатном расписании, а закрытость каждой функции: кто бы ее ни выполнял – отдельный специалист, внешний подрядчик или автоматизированный инструмент.
Читайте также
