L2 SOC Analyst

1. Полное расследование

• анализ цепочки событий (kill chain / MITRE ATT&CK)
• реконструкция действий пользователя/злоумышленника
• анализ логов разных источников
• поиск связанных артефактов и IOC
• определение уровня компрометации

2. Глубокое использование TI-платформы

• работа с TI-индикаторами (IOC enrichment)
• Threat hunting с использованием TI
• добавление новых IOC в SIEM

3. Использование SIEM для расследований

• написание сложных запросов
• анализ нетривиальных логов
• поиск скрытых корреляций
• анализ поведения (UBA)

4. Улучшение и настройка SIEM корреляций

• создание новых правил
• оптимизация существующих
• снижение FP (false positives)
• написание Use Cases под MITRE ATT&CK
• маппинг логов к нормализованным схемам

5. Подтверждение/закрытие инцидентов

• финальный анализ
• рекомендации

6. Техническая поддержка L1

• помощь в разборе сложных кейсов
• обучение L1

7. Подготовка и обновление playbooks

• мануалы по реагированию
• чек-листы для L1
• инструкции по сбору артефактов
• автоматизация и оптимизация процессов ОЦИБ