А что вообще требует рынок от SOC-специалистов?

🧪 А что вообще требует рынок от SOC-специалистов?

Иногда ловлю себя на мысли: вот мы тут страдаем, расследуем, тюним, автоматизируем, спорим с ИТ, ловим алерты ночью, а потом ещё и объясняем, почему это был не false positive.

И в какой-то момент появляется нормальный вопрос:
а как вообще выглядит “идеальный” SOC-аналитик или инженер в глазах рынка?
Не в фантазиях конференций. Не на слайде “команда мечты”. А в реальных вакансиях, где работодатель пишет, кого он хочет видеть у себя в смене, в расследовании или в инженерке.

💡 Так и родилась эта история.

Я сел, прогнал массив вакансий за последние 12 месяцев (2024–2025) по России и СНГ, отфильтровал шум, убрал маркетинговую шелуху и собрал из этого карту карьерных компетенций SOC — живую, прикладную и максимально приближенную к тому, что реально происходит в командах.

---

Что вошло в разбор

Я смотрел не “всё подряд из ИБ”, а вполне конкретные роли:

• SOC-аналитики L1–L3
• SOC-инженеры, которые занимаются автоматизацией, инфраструктурой мониторинга и СЗИ
• Внутренние SOC крупных компаний: банки, финтех, ритейл, телеком, ИТ
• MSSP, потому что там особенно хорошо видно границы ролей: кто сидит на первой линии, кто расследует, а кто держит всё это технически, чтобы не развалилось

Отдельно важно: я не тянул сюда DLP и смежные направления, чтобы не размывать картину.

---

Что именно анализировал

Смотрел на требования не глазами HR-бродилки, а глазами человека, который понимает, как устроен SOC изнутри.

То есть в разбор попадало то, что реально бьётся с практикой:

• SIEM, SOAR, EDR, IDS, NTA
• работа с инцидентами и эскалациями
• форензика
• тюнинг корреляций
• интеграции и лог-менеджмент
• playbooks и автоматизация рутины
• TI и enrichment
• API, скрипты, CI/CD
• взаимодействие с ИТ и разработкой
• документация, отчётность, наставничество
• и, конечно, вечная дисциплина жанра:
  “почему ты всё сделал, но отчёт опять не написал?”

---

Зачем это вообще нужно

На мой взгляд, такая карта полезна сразу в нескольких сценариях.

Если ты junior

Она помогает понять, куда вообще расти.
Не абстрактно “стать сильнее в ИБ”, а очень предметно: что нужно знать, что уметь руками, где заканчивается просто “смотрю алерты” и начинается нормальный профессиональный рост.

Если ты middle

Это хороший повод честно проверить себя.
Не в формате “я уже три года работаю, значит middle”, а в формате:
я действительно веду кейсы, копаю глубже, влияю на процессы, автоматизирую и беру ответственность?

Если ты senior

Это напоминание, что senior — это не только “мне уже можно не ходить на ночные смены”.
Это ещё и:

• наставничество
• развитие команды
• влияние на процессы
• архитектурное мышление
• умение разговаривать с бизнесом не на языке tcpdump

Если ты тимлид или руководитель

У тебя появляется более внятная рамка:
что именно ждать от людей разных уровней, как оценивать рост и как не путать “опытный” с “созревший”.

Если ты HR или рекрутер

Появляется шанс перестать жить в мире, где в одной вакансии junior должен:

• расследовать APT
• писать парсеры
• строить playbooks
• вести коммуникацию с бизнесом
• и желательно ещё быть “командным игроком с горящими глазами”

---

Главная мысль исследования

Рынок довольно неплохо различает уровни, когда речь идёт о реальной работе.
Да, в вакансиях бывает мусор и копипаста. Но если отжать всё лишнее, картина получается вполне читаемая:

• Junior — это про выполнение по процедурам, внимательность, базовую техническую базу и способность не теряться в потоке
• Middle — это про самостоятельность, глубину анализа, владение инструментами и участие в улучшении процессов
• Senior — это уже не просто “сильный руками”, а человек, который влияет на качество SOC системно: через стратегию, архитектуру, наставничество и принятие решений

---

SOC-аналитик: как рынок видит уровни

---

Junior SOC-аналитик (L1)

Это человек первой линии.
И если убрать романтику, его задача довольно приземлённая и очень важная: не пропустить реальную проблему в потоке шума.

Что от него обычно ждут

• работа с алертами в SIEM
• первичная квалификация событий
• базовое понимание, где шум, а где уже пахнет инцидентом
• корректная эскалация дальше по процессу
• понятная фиксация результатов в тикете или кейсе

Hard skills

Обычно рынок ждёт вот такую базу:

• понимание Windows / Linux
• знание основ TCP/IP, HTTP, DNS, ICMP
• умение читать логи и замечать в них важное
• базовая работа с SIEM
• знакомство с EDR и IDS
• понимание, что такое инцидент, как его документировать и когда эскалировать

Soft skills

А вот здесь начинаются реально недооценённые вещи:

• не разваливаться от потока сигналов
• писать понятно, а не “что-то случилось, разберитесь”
• быть внимательным к деталям
• уметь учиться у старших
• проявлять инициативу, когда видишь шум или плохую логику фильтрации

Где проходит граница junior

Junior — это ещё не “сам всё разрулит”.
Это человек, который уже полезен в операционке, но пока работает в основном через процедуры, шаблоны и контроль старших коллег.

---

Middle SOC-аналитик (L2)

Вот тут заканчивается режим “смотрю, что прилетело” и начинается нормальная аналитическая работа.

Что от него обычно ждут

• брать эскалации от L1 и копать глубже
• анализировать инцидент из нескольких источников
• собирать картину целиком
• делать форензику на базовом или среднем уровне
• писать внятные пост-инцидентные отчёты
• предлагать улучшения в детектах и процессе

Hard skills

Для middle на рынке уже часто всплывают:

• уверенная работа с SIEM, EDR, IDS, NTA
• тюнинг и написание корреляционных правил
• поиск IOC
• базовая форензика: диск, память, сеть
• использование SOAR для автоматизации рутины
• работа с Threat Intelligence
• нормальное связывание активности с MITRE ATT&CK
• оформление выводов и рекомендаций после инцидента

Soft skills

Здесь уже важны:

• критическое мышление
• структурность
• умение вести кейс до конца
• взаимодействие с ИТ без режима “все вокруг мешают”
• наставничество для junior-ов
• инициатива по автоматизации и улучшению рутины

Где проходит граница middle

Middle — это человек, который не просто обрабатывает события, а влияет на качество расследования и на зрелость процессов вокруг себя.

---

Senior SOC-аналитик (L3)

Это уже про тяжёлые кейсы, нестандартные сценарии и системное влияние на SOC.

Что от него обычно ждут

• вести сложные расследования
• разбирать APT, внутренние инциденты, утечки
• самостоятельно проводить глубокую форензику
• заниматься threat hunting
• координировать response
• улучшать процессы мониторинга на уровне подходов, а не только отдельных правил

Hard skills

Для senior-аналитика рынок обычно хочет:

• углублённую форензику: память, диск, сеть
• иногда — элементы reverse malware
• разработку детектов: YARA, сигнатуры, кастомные корреляции
• построение и проверку hunting-гипотез
• участие в IR-планировании
• понимание взаимодействия с регуляторами
• запуск новых методов мониторинга и новых источников данных

Soft skills

Вот здесь начинается тот самый “настоящий senior”:

• спокойствие под давлением
• принятие решений в условиях нехватки данных
• умение объяснять бизнесу инцидент через риски, а не через дамп памяти
• наставничество и координация команды
• стратегическое мышление
• продвижение новых подходов и идей внутри SOC

Где проходит граница senior

Senior — это не просто “самый сильный расследователь”.
Это человек, который держит сложность, помогает другим работать лучше и двигает функцию SOC вперёд.

---

SOC-инженер: что хочет рынок от тех, кто держит всё это на рельсах

Если аналитики — это те, кто смотрит, расследует и эскалирует, то инженеры — это люди, благодаря которым вообще есть что смотреть, откуда брать данные и как не утонуть в ручной рутине.

---

Junior SOC-инженер

Что от него обычно ждут

• подключать источники логов
• настраивать агентов
• помогать с базовой интеграцией
• писать простые скрипты
• работать по шаблонам и не ломать прод

Hard skills

Здесь базовый набор выглядит так:

• Linux / Windows
• сети на базовом уровне
• базовые команды и утилиты
• понимание работы SIEM
• подключение источников
• написание простых парсеров
• скрипты на Python / Bash / PowerShell
• документирование изменений

Soft skills

И снова много решает не только техника:

• аккуратность
• точность
• готовность спрашивать
• обучаемость
• нормальная коммуникация с аналитиками
• отсутствие героизма в стиле “залью ночью без ревью, утром посмотрим”

---

Middle SOC-инженер

Вот тут начинается реальная инженерка.

Что от него обычно ждут

• вести интеграции
• развивать автоматизацию
• следить за стабильностью SOC-инструментов
• создавать плейбуки
• тюнинговать правила
• писать свои утилиты и сервисные связки

Hard skills

Для middle-инженера рынок уже часто ждёт:

• уверенное владение SIEM / SOAR / EDR
• работу с API
• автоматизацию enrichment и рутинных действий
• проектирование интеграций
• контроль форматов, таймзон, фолбэков
• поддержку инфраструктуры мониторинга
• понимание retention, доставки логов и качества корреляций
• иногда — элементы CI/CD и инфраструктурного подхода

Soft skills

По софтам тут особенно заметны:

• мультизадачность
• тайм-менеджмент
• умение работать с разработкой и ИТ
• наставничество
• конфликт-менеджмент
• ответственность за то, что “если это на мне, то оно работает”

---

Senior SOC-инженер

Это уже не “человек, который умеет автоматизировать”.
Это человек, который строит инженерную основу SOC как системы.

Что от него обычно ждут

• проектировать архитектуру мониторинга
• отвечать за масштабирование и отказоустойчивость
• выбирать и внедрять новые технологии
• управлять инженерным направлением
• держать техническое развитие SOC в горизонте вперёд

Hard skills

На этом уровне рынок хочет видеть:

• архитектурное понимание SIEM, SOAR, EDR, NTA, NAC, UEBA
• опыт полного цикла внедрения
• DevSecOps-подход
• Terraform / Ansible / GitOps
• автоматизацию пайплайнов безопасности
• глубокую экспертизу в лог-менеджменте, нормализации и масштабировании
• работу с метриками SOC:
  MTTD, MTTR, log coverage

Soft skills

И здесь уже без взрослой управленческой оптики никак:

• руководство
• планирование
• донесение value до бизнеса
• работа с вендорами и аудитами
• ответственность за инфраструктуру и людей
• постоянное обновление знаний
• понимание рынка и трендов

---

Что в итоге видно по рынку

Если попытаться ужать всё исследование в несколько простых выводов, то они будут такими.

1. Рынок стал лучше различать “смотрит” и “влияет”

Раньше в вакансиях часто всё лепили в один ком.
Сейчас всё чаще видно разницу между человеком, который:

• просто работает по процедуре
• самостоятельно ведёт расследование
• влияет на качество процессов и архитектуру

Это хороший сигнал.

2. От middle всё чаще ждут не только “разобраться”, но и “улучшить”

Middle сегодня — это уже не просто крепкий исполнитель.
От него ждут:

• инициативы
• автоматизации
• предложений по улучшению
• умения быть опорой для junior-ов

3. Senior почти всегда выходит за пределы “рук”

И у аналитиков, и у инженеров senior-уровень почти везде связан не только с глубиной знаний, но и с:

• координацией
• наставничеством
• стратегией
• влиянием на процессы
• умением разговаривать с бизнесом, ИТ, руководством, вендорами

4. Soft skills больше не “приятный бонус”

Особенно в SOC, где почти всё завязано на коммуникацию, стресс, эскалации и ответственность.

Можно быть очень техничным человеком, но если ты:

• не умеешь нормально фиксировать мысли
• не умеешь договариваться
• не держишь давление
• не доводишь кейс до конца

то рынок это довольно быстро считает.

---

Как использовать эту карту на практике

Я бы предложил смотреть на неё не как на “таблицу истинного грейда”, а как на рабочий инструмент.

Для специалиста

Пройтись по пунктам и честно ответить себе:

• что я уже делаю стабильно
• что делаю эпизодически
• чего у меня пока нет вообще
• какие навыки у меня технически проседают
• где мне не хватает именно зрелости, а не знаний

Для тимлида

Использовать карту как базу для:

• one-to-one
• grade review
• индивидуальных планов развития
• матрицы ожиданий по ролям

Для HR и рекрутера

Не путать:

• “человек давно в SOC”
• “человек соответствует middle/senior по сути”

Это вообще не всегда одно и то же.

---

Важная оговорка

Эта карта не претендует на абсолютную истину.
SOC в банке, SOC в MSSP и SOC в продуктовой компании могут жить очень по-разному.

Но если ты читаешь это и узнаёшь себя — значит, модель уже полезна.
А если видишь, что ты давно работаешь на уровне выше своего текущего грейда — это хороший повод не молчать, а идти обсуждать развитие.

Потому что иногда проблема не в том, что ты “ещё не дорос”.
Иногда проблема в том, что ты уже давно вырос, просто это никто нормально не положил на стол и не проговорил.

---

PDF-версия карты

📎 Скачать PDF-версию карты компетенций SOC 2025

---

Что дальше

Если тема зайдёт, можно сделать продолжение в нескольких направлениях:

• отдельную карту для Detection / Threat Hunting
• разбор как собеседовать junior / middle / senior в SOC
• типичные перекосы вакансий: где рынок хочет “универсального кибербога” за одну зарплату
• карту роста: что качать, чтобы перейти с L1 на L2, с L2 на L3, с analyst в engineer и обратно

---

💬 Будет круто, если дадите обратную связь в комментариях:

• интересен ли такой формат?
• чего в карте не хватает?
• что из этого бьётся с вашим опытом, а что нет?
• о чём было бы интересно почитать следующим постом? 🫶