Od pierwszego labu do pracy w SOC jak krok po kroku zbudować ścieżkę do kariery w monitoringu bezpieczeństwa

Przez
Kacper Kaczmarek
-
0
14
1/5 - (1 vote)

Nawigacja:

Kim jest analityk SOC i jak wygląda jego praca naprawdę

SOC w organizacji – gdzie trafiają alerty

Security Operations Center to miejsce, w którym w praktyce ląduje większość istotnych alertów bezpieczeństwa w organizacji. To tu zbiega się to, co generują systemy ochronne: firewalle, antywirusy, EDR/XDR, systemy DLP, WAF, systemy pocztowe, serwery, aplikacje, usługi chmurowe. Analityk SOC to osoba, która te informacje odbiera, interpretuje i decyduje, czy dzieje się coś, co faktycznie zagraża firmie.

W strukturze firmy SOC jest zwykle pierwszą linią obrony. Z jednej strony współpracuje z administratorami IT (systemy, sieci, helpdesk), z drugiej – z inżynierami bezpieczeństwa, architektami i czasem z zespołami reagowania na incydenty (CSIRT/CERT). Informacje przepływają dwustronnie:

  • zespoły IT zgłaszają nietypowe zachowania lub problemy, które mogą mieć komponent bezpieczeństwa,
  • SOC eskaluje incydenty, które wymagają zmian w konfiguracji systemów, blokad, wyłączeń, planów naprawczych,
  • inżynierowie bezpieczeństwa tworzą i utrzymują reguły w systemach SIEM/EDR, które SOC wykorzystuje na co dzień.

W praktyce oznacza to, że analityk SOC rzadko „działa w próżni”. Jego decyzje muszą być zgodne z procedurami, a obsługa alertu kończy się często przekazaniem zadania do innego zespołu: np. blokady na firewallu, resetu hasła użytkownika czy odłączenia stacji roboczej.

Różnice między SOC a CSIRT/CERT/Blue Team

Te pojęcia często się mieszają, dlatego warto od razu odróżnić ich role:

  • SOC – monitoruje, klasyfikuje i obsługuje alerty na bieżąco. To centrum „24/7”, które patrzy w ekrany, reaguje w pierwszej kolejności, prowadzi wstępne dochodzenia. Skupia się na ciągłym monitoringu.
  • CSIRT / CERT – zespoły reagowania na incydenty (Computer Security Incident Response Team). Wchodzą do gry, gdy zdarzy się coś większego: wyciek danych, zainfekowanie wielu systemów, atak ransomware, naruszenie krytycznych systemów. Praca jest bardziej projektowa, mniej powtarzalna, bardziej śledcza.
  • Blue Team – ogólne określenie na stronę defensywną. W niektórych organizacjach Blue Team to po prostu zespół obrony, obejmujący SOC, CSIRT, inżynierów bezpieczeństwa. W innych – tak nazywa się wewnętrzny zespół, który odpowiada za reagowanie i „utwardzanie” systemów po incydentach.

Dla ścieżki do pracy w SOC kluczowe jest zrozumienie, że junior analityk SOC jest najczęściej elementem pierwszej linii. To nie jest rola, w której od razu prowadzi się skomplikowane śledztwa czy „poluje na APT”. Bardziej przypomina stanowisko ratownika dyspozytora: szybko ocenić, co się dzieje, odsiać fałszywe alarmy, przekazać sprawę dalej, jeśli jest poważna.

Typowe modele SOC: wewnętrzny, outsourcowany, hybrydowy

Ścieżka kariery, zestaw narzędzi i nawet charakter dnia pracy zależy od tego, w jakim modelu działa SOC:

  • SOC wewnętrzny (in-house) – działa w ramach jednej organizacji, zwykle większej: bank, operator telekomunikacyjny, duża korporacja. Analityk SOC zna dobrze środowisko, aplikacje i procesy firmy. Zakres pracy może być węższy, ale głębszy – dużo pracy z tym samym zestawem systemów i użytkowników.
  • SOC outsourcowany (MSSP – Managed Security Service Provider) – obsługuje wielu klientów równocześnie. Środowiska są różne, narzędzia bardziej zróżnicowane, procedury złożone. Tempo bywa wyższe, a wachlarz przypadków bardziej przekrojowy.
  • Model hybrydowy – część monitoringu robi dostawca zewnętrzny, a kluczowe incydenty lub wybrane systemy pilnuje wewnętrzny zespół. Analityk może pracować w jednej z tych części albo współpracować pomiędzy nimi.

Z perspektywy pierwszej pracy w SOC modele outsourcowane często dają większą ekspozycję na różne technologie, ale są bardziej intensywne. SOC wewnętrzny bywa spokojniejszy, lecz wymaga dobrej znajomości środowiska konkretnej firmy. To, gdzie zacząć, zależy od temperamentu i oczekiwań – jedni wolą „call center bezpieczeństwa” z dużą dynamiką, inni wolą mniejszą liczbę systemów i głębsze wgryzanie się w incydenty.

Dzień pracy analityka SOC na poziomach L1, L2, L3

W większości SOC spotyka się podział na poziomy dojrzałości analityka: L1, L2, L3. To nie są sztywne standardy na całym rynku, ale dość powtarzalny schemat.

Zakres zadań L1 – pierwsza linia

L1 SOC Analyst to typowy cel pierwszej pracy w monitoringu bezpieczeństwa. Zakres obowiązków obejmuje m.in.:

  • obsługę kolejki alertów w systemie SIEM/EDR,
  • wstępny triaż: ocena, czy alert jest prawdziwy czy fałszywy,
  • sprawdzenie podstawowych informacji: adresy IP, konta, hosty, typ zagrożenia,
  • korzystanie z gotowych procedur (runbooków) do podjęcia standardowych kroków,
  • eskalację zdarzeń poważniejszych do poziomu L2/L3 lub innych zespołów.

Duża część pracy to powtarzalna rutyna: logowanie się do tych samych konsol, wypełnianie podobnych formularzy w systemie ticketowym, stosowanie tych samych pytań kontrolnych. W tym jest jednak sens – taka praca uczy wzorców i pozwala odróżniać „szum” od prawdziwych problemów.

Zakres zadań L2 – głębsza analiza

L2 SOC Analyst robi już więcej niż tylko wstępną selekcję. Zajmuje się m.in.:

  • szczegółową analizą incydentów eskalowanych z L1,
  • korelacją zdarzeń z różnych źródeł (np. logi systemowe, pocztowe, proxy, EDR),
  • formułowaniem hipotez, jak doszło do danego zdarzenia,
  • proponowaniem lub inicjowaniem działań naprawczych i prewencyjnych,
  • współpracą z zespołami IT i CSIRT przy poważniejszych incydentach.

Na tym poziomie pojawia się więcej kreatywności i pracy śledczej. Trzeba łączyć fakty, szukać powiązań między logami, korzystać z narzędzi do analizy (np. timeline’ów, narzędzi forensycznych, threat intelligence). L2 to też często etap, na którym analityk zaczyna współtworzyć procedury i pomagać w szkoleniu młodszych kolegów.

Zakres zadań L3 – eksperci i inżynierowie

L3 SOC Analyst to zwykle rola bliska inżynierowi bezpieczeństwa czy liderowi technicznemu. W zakres prac wchodzą:

  • analiza najpoważniejszych incydentów i zaawansowanych ataków,
  • tworzenie i tuningowanie reguł w SIEM/EDR,
  • projektowanie nowych scenariuszy detekcji,
  • budowa playbooków/automatyzacji (SOAR),
  • współpraca z red teamem, pentesterami, architektami bezpieczeństwa.

Na tym poziomie liczy się nie tylko wiedza techniczna, ale też doświadczenie z poprzednich incydentów. L3 wie, co w praktyce działa, czego brakuje w monitoringach i jakie reguły generują zbyt wiele fałszywych alarmów.

Co rzeczywiście dzieje się w ciągu zmiany

Przeciętny dzień (albo noc) w SOC dla analityka L1/L2 wygląda często według powtarzalnego rytmu:

  1. Wejście na zmianę – krótkie przejęcie dyżuru: najważniejsze otwarte incydenty, trwające analizy, istotne zmiany w środowisku (wdrożenia, awarie).
  2. Przegląd dashboardów – szybkie spojrzenie na główne wskaźniki: liczba alertów, nowe detekcje, poziom zagrożeń, alarmy krytyczne.
  3. Praca z kolejką alertów – obsługa zgłoszeń, zamykanie oczywistych false positive, dogłębna analiza tych, które „wyglądają nietypowo”.
  4. Kontakt z zespołami IT – weryfikacja, czy obserwowane zachowania wynikają z planowanych prac, zmian, testów.
  5. Tworzenie notatek / raportów – dokumentowanie incydentów, uzupełnianie bazy wiedzy, przekazywanie wiedzy kolejnej zmianie.

Dużo tu systematyczności i cierpliwości. Kreatywność wchodzi do gry przede wszystkim wtedy, gdy alert jest nieoczywisty, a logi „nie mówią od razu”, co się stało. Wtedy trzeba zadać sobie pytanie: co wiemy, a czego nie wiemy? i zaplanować, jakie dane jeszcze zebrać.

Co wiemy, a czego zwykle kandydaci nie widzą

Rola procedur i runbooków

Na zewnątrz praca w SOC wygląda często jak „polowanie na hakerów”. W praktyce duża część zadań opiera się na szczegółowych procedurach. Runbook (playbook) dla danego typu alertu może mieć kilka–kilkanaście kroków: sprawdź IP, sprawdź hosta, porównaj z listą wyjątków, spójrz w EDR, zapytaj zespół X, w razie potwierdzenia – zrób Y.

Dla początkującego to zaleta: nie trzeba „znać wszystkiego”, żeby zacząć. Kluczowa staje się umiejętność czytania procedur ze zrozumieniem, trzymania się ich, ale też zgłaszania, gdy coś nie ma sensu lub nie pasuje do konkretnego incydentu.

Presja czasu a spokojne okresy

Praca w SOC ma rytm fali. Bywają dni, gdy liczba alertów jest umiarkowana, a analitycy mogą spokojnie analizować wzorce, dopracowywać notatki, rozwijać swoje umiejętności. I zdarzają się momenty, gdy nagle:

  • pojawia się nowe kampania phishingowa,
  • ransomware przechodzi przez kilka warstw obrony,
  • nowa podatność jest masowo skanowana i wykorzystywana przez atakujących.

Wtedy presja czasu jest realna: trzeba działać szybko, jednocześnie zachowując jakość dokumentacji, bo później ktoś będzie na jej podstawie oceniał skalę incydentu i podejmował decyzje biznesowe. To jeden z powodów, dla których w SOC tak dużą wagę przywiązuje się do procedur i komunikacji – w stresie łatwiej się oprzeć na jasnych schematach.

Mity o pracy w SOC

Najpopularniejsze nieporozumienia wokół ścieżki kariery SOC:

  • „Cały dzień łamie się systemy” – ofensywa (red team, pentest) to inny świat. SOC jest po stronie obrony: wykrywanie, analiza, reagowanie.
  • „Trzeba być geniuszem, żeby zacząć” – na poziomie juniora najważniejsze są fundamenty IT, znajomość narzędzi i umiejętność pracy według procedur. Zaawansowana wiedza buduje się z czasem.
  • „Bez mocnych certyfikatów nie ma szans” – wiele SOC zatrudnia juniorów na podstawie projektów, labów, osobistych predyspozycji. Certyfikaty pomagają, ale nie zastąpią praktyki.

Trzeźwe spojrzenie: SOC to połączenie pracy operacyjnej (jak dyspozytornia), analitycznej (jak laboratorium) i proceduralnej (jak centrum zgłoszeń). Dla wielu osób to atrakcyjne połączenie techniki, logiki i pracy zespołowej.

Punkt startu: jakie podstawy IT są konieczne, zanim ruszy się do SOC

Sieci komputerowe i protokoły – niezbędne minimum dla SOC

Każdy alert musi zostać „przetłumaczony” na ruch sieciowy i komunikację między systemami. Bez elementarnego zrozumienia sieci trudno poprawnie zinterpretować logi. Kluczowe obszary:

  • Model TCP/IP i OSI – nie chodzi o wkuwanie warstw na pamięć, ale o zrozumienie, na jakim poziomie dzieje się co: IP, TCP/UDP, HTTP/HTTPS, DNS.
  • Adresacja IP, podsieci, NAT – rozróżnianie adresów prywatnych/publicznych, mapowanie ruchu przy NAT, identyfikowanie kierunku komunikacji.
  • DNS – jak działa rozwiązywanie nazw, czym są rekordy A, CNAME, MX, co oznacza nietypowy ruch DNS z hostów użytkowników.
  • HTTP/HTTPS – podstawowe metody (GET, POST), kody statusu (2xx, 3xx, 4xx, 5xx), nagłówki, rola certyfikatów TLS.

Te elementy stanowią fundament do zrozumienia logów sieciowych. Przykładowo, patrząc na log z proxy albo firewall’a, trzeba bez trudu rozczytać: źródłowy IP, docelowy IP, port, protokół, kierunek połączenia, wynik (dozwolone/zablokowane), ewentualny URL.

Praktyczne rozumienie logów sieciowych

W SOC często patrzy się na takie elementy jak:

  • IP źródłowe i docelowe – kto inicjował połączenie, do kogo; czy adres jest z puli prywatnej czy publicznej; czy jest znany w bazach zagrożeń.

    • Porty i usługi – kiedy coś „wygląda podejrzanie”

    Bez znajomości podstawowych portów i usług trudno ocenić, czy dany ruch jest normalny. Analityk SOC nie musi znać na pamięć całej listy IANA, ale pewien „zestaw startowy” jest obowiązkowy:

  • 80/443 (HTTP/HTTPS) – typowy ruch webowy; nietypowe są np. dziwne kierunki (serwer użytkownika jako cel wielu połączeń), nagłe wzrosty liczby żądań.
  • 53 (DNS) – wzmożony ruch DNS do zewnętrznych serwerów, nietypowe domeny, częste NXDOMAIN – to typowe sygnały, które SOC analizuje pod kątem malware.
  • 25/465/587 (SMTP) – serwery poczty; nagły wzrost wysyłki może oznaczać spam lub przejęcie konta.
  • 3389 (RDP), 22 (SSH) – zdalny dostęp; istotne są próby logowania, źródła ruchu (Internet vs. sieć wewnętrzna), nietypowe godziny.

Przy każdym alercie warto zadać sobie krótkie pytania kontrolne: co wiemy o tej komunikacji? (port, protokół, znany serwis) oraz czego nie wiemy? (czy to standardowy ruch w tej organizacji, czy wyjątek). To prowadzi do konkretnych kroków: porównania z baseline’em, sprawdzenia historii połączeń dla danego hosta, konsultacji z administratorami.

Systemy operacyjne – Windows i Linux oczami SOC

Drugi filar fundamentów to zrozumienie, jak zachowują się główne systemy operacyjne w firmach. W praktyce oznacza to znajomość kilku obszarów.

  • Procesy i usługi – co uruchamia się standardowo po starcie systemu, jak wygląda lista procesów, jakie usługi są typowe dla stacji roboczej, a jakie dla serwera.
  • Użytkownicy i uprawnienia – różnica między kontem zwykłym a administratorem, grupy lokalne i domenowe, mechanizmy logowania.
  • Podstawowe logi – w Windows: dzienniki Security, System, Application; w Linux: /var/log/auth.log, syslog, logi serwisów.

Nie chodzi o administrowanie AD czy serwerami produkcyjnymi. Analityk monitoruje skutki zdarzeń: nieudane logowania, zmiany w grupach, nietypowe uruchamianie procesów, tworzenie nowych usług. Bez orientacji w tym, co jest normalne, trudno stwierdzić, kiedy log zaczyna opisywać incydent.

Windows – środowisko dominujące w logach

W wielu SOC większość zdarzeń dotyczy środowisk Windows: stacje robocze, serwery, kontrolery domeny. Warto opanować co najmniej:

  • podstawy Active Directory – użytkownicy, grupy, jednostki organizacyjne, kontrolery domeny,
  • mechanikę logowania – Kerberos, NTLM na poziomie koncepcyjnym,
  • kluczowe Event ID (np. logowania, podwyższanie uprawnień, zmiany w grupach uprzywilejowanych),
  • typowe narzędzia administracyjne – Event Viewer, Task Manager, Services.

W praktyce oznacza to np. umiejętność odczytania wpisu: który użytkownik, z jakiego hosta, do jakiego serwera, o której godzinie próbował się zalogować i z jakim wynikiem. SOC nie raz analizuje serie takich zdarzeń, gdy dochodzi do ataków typu password spraying czy brute force.

Linux – mniej widoczny, ale ważny

Środowiska Linuxowe częściej ukryte są na zapleczu: serwery www, systemy proxy, firewalle, urządzenia bezpieczeństwa. W logach SOC często pojawiają się:

  • logowania SSH,
  • wywołania sudo i zmiany plików konfiguracyjnych,
  • logi serwerów www (Apache, Nginx),
  • logi aplikacyjne pisane dla konkretnych systemów.

Dla początkującego wystarczy biegłość w poruszaniu się po systemie z wiersza polecenia, rozumienie struktury katalogów, podstaw uprawnień (rwx) oraz umiejętność czytania logów tekstowych z użyciem narzędzi typu grep, less, tail.

Bezpieczeństwo informacji – minimum teorii, które ma wpływ na praktykę

Trzeci obszar podstaw to ogólne rozumienie, czego właściwie broni SOC. Chodzi tu o kilka koncepcji, które wracają w opisach incydentów i analizach.

  • Trójka CIA – poufność, integralność, dostępność; pomaga określić, jaki aspekt narusza dany incydent.
  • Podstawowe typy zagrożeń – phishing, malware (w tym ransomware), ataki webowe (SQLi, XSS w zarysie), ataki na konta (credential stuffing, password spraying).
  • Modele uprzywilejowania – least privilege, separacja ról; nie po to, by projektować polityki, ale by rozumieć, czemu przejęcie konta administratora jest inną kategorią zdarzenia niż przejęcie zwykłego konta użytkownika.

Te pojęcia są tłem każdej decyzji o priorytecie incydentu. Gdy alert dotyczy potencjalnego wycieku danych z systemu HR, a inny – pojedynczej stacji roboczej z malware, analityk musi umieć powiązać zdarzenie z możliwą konsekwencją biznesową.

Umiejętności „miękkie”, które pomagają przejść rekrutację

Przy wejściu do SOC często przewagę dają nie tylko umiejętności techniczne. Kilka cech i nawyków jest regularnie ocenianych na rozmowach rekrutacyjnych:

  • komunikacja pisemna – zwięzłe, logiczne notatki z analizy, jasne podsumowania dla kolejnej zmiany, brak chaosu w opisach,
  • praca według procedur – stosowanie kroków z runbooka bez „skrótów na skróty”, ale z umiejętnością uzasadnienia, gdy świadomie trzeba odejść od schematu,
  • dociekliwość – zadawanie konkretnych pytań: co wiemy, jakie dane mamy, czego nie zbieramy, co jeszcze można sprawdzić,
  • odporność na monotonię – akceptacja tego, że część dnia to powtarzalne zadania i że są one częścią większego procesu.

Na rozmowach pojawiają się proste scenariusze: opis zdarzenia, parę logów do obejrzenia i pytanie „co byś zrobił dalej?”. Kandydaci, którzy potrafią myśleć krokami, wypadają lepiej niż ci, którzy rzucają hasła narzędziowe bez planu.

Zespół specjalistów SOC pracuje przy komputerach nad ochroną danych
Źródło: Pexels | Autor: Tima Miroshnichenko

Mapowanie ścieżki: jak zaplanować rok–dwa nauki w stronę SOC

Punkt wyjścia – ocena miejsca, w którym jesteś

Plan nauki ma sens tylko wtedy, gdy uczciwie określisz start. W praktyce widać trzy częste scenariusze:

  • Student kierunku technicznego – jest teoria sieci i systemów, brakuje praktyki, narzędzi bezpieczeństwa i kontaktu z logami.
  • Administrator / helpdesk – dobra znajomość środowiska Windows/AD, rozumienie procesów IT, słabsze obycie z atakami i narzędziami SOC.
  • Osoba spoza IT – zaczyna od zera; najpierw musi zbudować fundament IT, dopiero potem włączać tematy bezpieczeństwa.

Wspólny element to lista kompetencji, które trzeba rozwinąć: sieci, systemy, logi, narzędzia SOC, podstawy analizy incydentów. Różni się tylko tempo i kolejność.

Rok nauki – scenariusz dla osoby z podstawami IT

Dla kogoś, kto zna już podstawy sieci i systemów (np. po roku studiów informatycznych lub pracy w IT), typowy roczny plan może wyglądać następująco.

Miesiące 1–3: usystematyzowanie fundamentów i pierwsze logi

Cel: zamienić „wiem mniej więcej” na „umiem przeczytać i zrozumieć log”. Konkrety:

  • powtórka z TCP/IP, DNS, HTTP – na poziomie praktycznym, analizując ruch w Wiresharku,
  • praca z logami systemowymi Windows i Linux – ręczne przeglądanie, filtrowanie, szukanie powtarzających się wzorców,
  • poznanie jednego narzędzia do zbierania logów (np. Wazuh/Elastic Stack w wersji domowej).

Dobrym ćwiczeniem jest prowadzenie krótkiego „dziennika logów”: raz w tygodniu wybór jednego zdarzenia i rozpisanie, co ono oznacza od strony technicznej.

Miesiące 4–6: wejście w narzędzia SOC i scenariusze ataków

Na tym etapie chodzi o zrozumienie, czym zajmuje się SOC na co dzień.

  • instalacja prostego SIEM-a w labie (np. Wazuh, Security Onion, HELK),
  • podłączenie do niego 1–2 maszyn (Windows, Linux) i generowanie prostych zdarzeń (logowania, instalacje, proste skrypty),
  • poznanie podstaw EDR/XDR na przykładzie darmowych/edukacyjnych wersji narzędzi lub dokumentacji.

Dobrze jest przećwiczyć kilka prostych scenariuszy: nieudane logowania, uruchamianie podejrzanego pliku, pobranie pliku z nietypowej domeny. Chodzi o przejście ścieżki od zdarzenia na hoście do alertu w konsoli.

Miesiące 7–9: budowanie „portfolio” zadań i mini-projektów

To moment, w którym warto zacząć zbierać materiał, który później pokażesz na rozmowie rekrutacyjnej.

  • opis 2–3 mini-incydentów z własnego labu: co się wydarzyło, jakie logi to pokazują, jak to zinterpretowałeś,
  • próba napisania prostych reguł korelacyjnych lub filtrów (np. w SIEM, w Elasticu),
  • uczestnictwo w prostych CTF-ach ukierunkowanych na blue team / SOC.

Ważna jest forma dokumentacji: kilka stron w notatniku, markdown lub prosty blog. Treść powinna być rzeczowa: co było celem, jak wyglądały dane wejściowe, jakie kroki podjęto, do jakich wniosków doszło.

Miesiące 10–12: przygotowanie do rekrutacji i pierwsze aplikacje

Końcowy etap rocznego planu to przekucie wiedzy w konkretne działania:

  • przerobienie ogłoszeń na stanowiska „SOC Analyst / Monitoring Specialist / Junior Security Analyst” – wypisanie najczęściej powtarzających się wymagań,
  • dopasowanie CV pod te wymagania, z wyraźnym akcentem na laby i projekty,
  • symulacja rozmów: omawianie na głos scenariuszy incydentów, tłumaczenie własnych projektów innym osobom.

Tu przydaje się umiejętność przełożenia technicznych detali na prosty opis: „zbudowałem środowisko, w którym zasymulowałem X; logi pokazały Y; zinterpretowałem to jako Z i przygotowałem odpowiednie kroki reakcji”.

Dwa lata nauki – scenariusz dla osoby startującej spoza IT

Jeżeli start następuje bez wcześniejszego doświadczenia w IT, rozsądne jest rozciągnięcie planu do dwóch lat. Pierwszy rok dotyczy głównie fundamentów.

Rok 1: wejście w IT

  • podstawy systemu operacyjnego – instalacja, konfiguracja, praca z wierszem polecenia,
  • kurs sieci (nawet na poziomie CompTIA Network+ / Cisco CCNA w zarysie),
  • praktyka helpdeskowa – rozwiązywanie problemów z siecią, drukarkami, kontami użytkowników,
  • pierwszy kontakt z logami – nie tyle bezpieczeństwo, co „jak patrzeć na dzienniki zdarzeń”.

Dobrym kierunkiem jest zdobycie doświadczenia w roli helpdesk / młodszego administratora. Znajomość tego świata bardzo ułatwia potem rozmowy między SOC a działami IT.

Rok 2: wejście w świat SOC i bezpieczeństwa

  • budowa domowego labu do zbierania logów i monitoringu,
  • poznanie procesów reagowania na incydenty: detekcja, triaż, eskalacja, zamknięcie,
  • ćwiczenia z analizą prostych incydentów – phishing, malware na stacji użytkownika, brute force na RDP,
  • sieć kontaktów: społeczności bezpieczeństwa, meetupy, konferencje online.

Przesunięcie czasu nauki nie jest wadą. Osoby z mocnym zapleczem IT często szybciej adaptują się w SOC i lepiej rozumieją ograniczenia oraz perspektywę administratorów.

Jak monitorować postępy i nie zgubić się w materiałach

Oferta kursów i treści o bezpieczeństwie jest szeroka. Bez filtrów łatwo wpaść w pułapkę „zbierania certyfikatów” bez praktyki. Prostym narzędziem porządkowania są kwartalne cele: co konkretnie chcesz umieć za trzy miesiące i jak to zmierzysz.

Przykładowe wskaźniki:

  • liczba godzin spędzonych w labie (z krótkimi notatkami, co zostało zrobione),
  • liczba przeanalizowanych realnych logów lub alertów (np. z otwartych datasetów, narzędzi treningowych),
  • liczba opisanych mini-projektów / incydentów.

Co kwartał warto wrócić do pytania: co już potrafię zrobić samodzielnie od A do Z? (np. „postawić maszynę, wygenerować zdarzenie, znaleźć je w SIEM, opisać wnioski”). Taka pełna ścieżka jest w SOC bardziej ceniona niż znajomość pojedynczych komend na pamięć.

Pierwsze laby: budowa domowego środowiska do nauki monitoringu

Co chcesz przećwiczyć w labie – doprecyzowanie celu

Domowy lab może zamienić się w kolekcję przypadkowych maszyn wirtualnych albo w sensowne środowisko treningowe. Różnica zaczyna się od pytania: co konkretnie chcesz w nim trenować?

Typowe cele początkującego analityka SOC to:

  • poznanie źródeł logów – jak wyglądają dzienniki Windows, Linux, logi z prostego firewall’a,
  • zrozumienie przepływu zdarzeń – od wygenerowania logu na hoście do pojawienia się alertu w narzędziu,
  • ćwiczenie triage’u – czytasz alert, zadajesz sobie pytanie „co dalej?”, szukasz danych uzupełniających,
  • oswojenie z narzędziami – konsola SIEM/EDR, proste zapytania, dashboardy, filtrowanie szumu.

Bez tego doprecyzowania łatwo skończyć z labem, w którym „coś się dzieje”, ale trudno powiedzieć, czego nauczyłeś się z tych ćwiczeń.

Minimalna konfiguracja sprzętowa i programowa

Do pierwszego labu nie jest potrzebna szafa serwerowa. Większość ćwiczeń da się wykonać na jednym mocniejszym komputerze z kilkoma maszynami wirtualnymi.

Praktyczny minimalny zestaw:

  • host – 16 GB RAM i dysk SSD ułatwiają pracę; przy 8 GB RAM też się da, ale liczba równocześnie działających VM będzie limitowana,
  • wirtualizacja – VirtualBox, VMware Workstation Player lub Hyper-V (wbudowany w Windows Pro),
  • obrazy systemów – przynajmniej jedna maszyna z Windows (np. eval Windows 10/11 lub serwerowa) i jedna z Linuxem (np. Ubuntu Server, Debian),
  • narzędzie do zbierania logów – np. Wazuh, Security Onion, HELK lub własny stos Elastic (Elasticsearch + Logstash/Beats + Kibana).

Ważniejsze od konkretnego produktu jest to, żebyś rozumiał jego rolę: kto wysyła logi, kto je zbiera, gdzie są reguły, a gdzie widzisz końcowy alert.

Topologia pierwszego labu: prosta, ale kompletna

Na start wystarczy mała, ale spójna „mini-sieć”. Przykładowy układ, który pokrywa większość podstawowych scenariuszy SOC:

  • VM 1 – SIEM / platforma monitoringu: Linux z zainstalowanym Wazuhem lub Security Onion,
  • VM 2 – Windows endpoint: stacja robocza użytkownika z zainstalowanym agentem (np. Wazuh Agent, Winlogbeat),
  • VM 3 – Linux server: prosty serwer (SSH, może mały serwis WWW) z agentem logującym,
  • opcjonalnie VM 4 – atakujący: dystrybucja typu Kali/Parrot, używana tylko do generowania ruchu i zdarzeń.

Całość może działać w jednej sieci NAT, z dostępem do internetu w kontrolowanym zakresie. Dla części ćwiczeń wygodniejsze jest całkowite odcięcie od sieci zewnętrznej (ruch wyłącznie wewnątrz labu), zwłaszcza przy testowaniu narzędzi ofensywnych.

Instalacja i pierwsza konfiguracja platformy logującej

Większość narzędzi typu „SIEM w pudełku” ma gotowe obrazy lub skrypty instalacyjne. Z perspektywy przyszłego analityka SOC bardziej liczy się zrozumienie kilku kroków konfiguracyjnych niż sama instalacja.

Kluczowe elementy, które trzeba rozpracować na początku:

  • skąd biorą się logi – konfiguracja agentów (np. Wazuh Agent, Beats), wybór katalogów i kanałów zdarzeń,
  • kategorie danych – systemowe, aplikacyjne, sieciowe; które z nich są faktycznie wysyłane,
  • podstawowe dashboardy – gdzie oglądasz logi „na żywo”, jak filtrować po hoście, czasie, typie zdarzenia,
  • reguły/alerty – gdzie są trzymane, jak są zbudowane, na jakich polach logu operują.

Dobrym ćwiczeniem jest wygenerowanie jednego konkretnego zdarzenia (np. nieudane logowanie na Windows) i śledzenie go: od momentu wpisania złego hasła, przez pojawienie się zdarzenia w dzienniku, po jego widoczność w konsoli SIEM.

Konfiguracja źródeł logów: Windows i Linux

Żeby w labie pojawiła się realna „treść” do analizy, trzeba skonfigurować źródła logów. To pierwszy krok, który technicznie przypomina codzienną pracę w SOC.

Windows jako źródło logów

Na stacji Windows podstawą jest zrozumienie dziennika zdarzeń i kanałów takich jak Security, System, Application. W praktyce:

  • instalujesz agenta (np. Wazuh Agent lub Winlogbeat),
  • konfigurujesz, które logi mają być wysyłane (np. wszystkie z Security, wybrane z System/Application),
  • tworzysz prostą listę interesujących ID zdarzeń (np. 4624, 4625, 4634, 4688 dla logonów i procesów).

Następnie ręcznie generujesz kilka typowych sytuacji: poprawne i niepoprawne logowania, instalacja programu, uruchomienie PowerShella. Potem szukasz tych zdarzeń w SIEM i porównujesz z tym, co widzisz w Event Viewer.

Linux jako źródło logów

W systemach Linux większość istotnych informacji trafia do /var/log. Dla początkującego analityka SOC kluczowe są:

  • /var/log/auth.log lub /var/log/secure – logowania SSH, eskalacje uprawnień,
  • /var/log/syslog lub /var/log/messages – ogólne informacje systemowe,
  • logi konkretnych usług (np. /var/log/nginx, /var/log/apache2).

Agent (np. Filebeat, Wazuh Agent) wysyła wybrane pliki logów do systemu centralnego. Ćwiczysz analogiczne scenariusze jak na Windows: poprawne i nieudane logowania SSH, restart usług, zmiana konfiguracji.

Bezpieczeństwo i higiena pracy w labie

Lab ma służyć do eksperymentów, ale bez ryzyka, że naruszysz cudze systemy lub własną sieć domową. Kilka prostych zasad znacznie redukuje ryzyko problemów:

  • izolacja sieciowa – używaj oddzielnej sieci wirtualnej (np. „host-only”) do ćwiczeń z narzędziami ofensywnymi,
  • brak testów na systemie produkcyjnym – nie skanuj routera operatora ani urządzeń w pracy bez zgody,
  • migawki VM – przed testem nowego narzędzia lub malware rób snapshot, żeby móc szybko wrócić do czystego stanu.

Do testów złośliwego oprogramowania korzystaj z próbek udostępnianych do celów edukacyjnych (repozytoria z wyłączonymi funkcjami, sandboxy online) albo ogranicz się do symulacji aktywności (np. pliki tekstowe imitujące payload, skrypty generujące ruch podobny do C2).

Pierwsze scenariusze detekcji w labie

Gdy lab zbiera już logi z dwóch–trzech maszyn, można przejść do ćwiczeń, które przypominają prawdziwy dzień w SOC. Nie muszą być skomplikowane – chodzi o przejście pełnej ścieżki od zdarzenia do decyzji.

Scenariusz 1: nieudane logowania

Ćwiczenie obejmuje:

  1. Na hoście (Windows lub Linux) generujesz serię błędnych logowań, np. kilka razy pod rząd wpisujesz złe hasło.
  2. Sprawdzasz w lokalnym logu, jak wygląda dane zdarzenie (ID, poziom, komunikat).
  3. W SIEM filtrujesz logi danego hosta po czasie i typie zdarzenia, szukając tej sekwencji.
  4. Tworzysz prostą regułę/filtr: np. „więcej niż 5 nieudanych logowań z jednego IP w 2 minuty”.

Pytania kontrolne po takim ćwiczeniu: co wiemy o tym zdarzeniu (skąd pochodzi ruch, który użytkownik, jak często), czego nie wiemy (np. czy logowania były z legalnego skryptu, czy to próba bruteforce).

Scenariusz 2: uruchomienie nietypowego procesu

Na Windows instalujesz prosty program, który nie jest częścią standardowego zestawu narzędzi (np. klienta SSH albo narzędzie do zrzutu haseł – w wersji testowej, w izolacji). Z perspektywy ćwiczenia liczy się:

  • wydobycie z logów informacji o procesie (nazwa, ścieżka, użytkownik),
  • zbudowanie filtra wykrywającego uruchomienia z podejrzanych lokalizacji (np. %TEMP%, %APPDATA%),
  • powiązanie tego z kontekstem – czy ten użytkownik zwykle uruchamia takie narzędzia?

To bazowy trening pracy z logami procesów, który w realnym SOC jest jednym z głównych źródeł informacji o złośliwej aktywności.

Scenariusz 3: podstawowy phishing

Do trenowania reakcji na phishing można użyć własnej skrzynki testowej i prostych narzędzi do tworzenia fałszywych wiadomości (bez wysyłania ich do innych osób).

  1. Tworzysz e-mail, który przypomina phishing (link, wezwanie do działania, nieco podejrzana domena).
  2. Otwierasz go na maszynie w labie i klikasz w link kierujący do kontrolowanej strony testowej (np. własny serwer w labie).
  3. Sprawdzasz logi: przeglądarki, DNS, proxy (jeśli skonfigurowane), serwera WWW.
  4. Dokumentujesz, jakie ślady po takim zdarzeniu zostają w systemach i jak można by je zautomatyzować w detekcji.

Takie ćwiczenie pomaga później lepiej rozumieć realne zgłoszenia użytkowników: gdzie szukać śladów, jakie dane są istotne, jak ocenić, czy doszło do pobrania pliku lub wycieku danych.

Budowa prostych reguł i zapytań – pierwsze kroki w „języku” SIEM

Niezależnie od wybranej platformy, analityk SOC musi umieć zapisać swoje pytanie o dane w formie zapytania lub reguły. Na początku wystarczy kilka podstawowych typów:

  • filtry po polach – host, użytkownik, ID zdarzenia, adres IP,
  • agregacje w czasie – liczba zdarzeń w danym przedziale, trend w ciągu dnia,
  • proste korelacje – sekwencje zdarzeń dla tego samego hosta/użytkownika (np. nieudane logowania → sukces → zmiana uprawnień).

Przykładowe pytanie, które warto umieć „przetłumaczyć” na zapytanie: „pokaż wszystkie logowania z kontem administracyjnym poza godzinami 18:00–6:00 w ostatnich 7 dniach”. Taki trening przydaje się potem na rozmowach rekrutacyjnych, gdzie padają podobne zadania.

Dokumentowanie pracy w labie – surowiec na portfolio

Każde większe ćwiczenie w labie można zamienić w krótki raport. Nie chodzi o ozdobne formatowanie, tylko o to, żeby opisać przebieg analizy w sposób, który przypomina prawdziwą notatkę z incydentu.

Przejrzysta struktura takiego dokumentu to np.:

  • Cel – co chciałeś sprawdzić (np. „detekcja bruteforce na SSH”),
  • Środowisko – jakie maszyny, jakie narzędzia, skąd logi,
  • Przebieg – jak wygenerowałeś zdarzenie, jakie logi przeanalizowałeś,
  • Wyniki – co zobaczyłeś w logach, jakie reguły napisałeś,
  • Wnioski – co zadziałało, czego brakowało, co poprawić w konfiguracji labu.

Takie raporty można potem skrócić i dodać do portfolio, bloga technicznego lub po prostu wynieść na rozmowę rekrutacyjną jako materiał do dyskusji. Dla rekrutera to często najkonkretniejszy dowód, że kandydat nie tylko „oglądał kurs”, ale faktycznie coś zrobił.

Stopniowe rozbudowywanie labu o nowe elementy

Po kilku miesiącach pracy w prostym środowisku pojawia się naturalna potrzeba dodania nowych źródeł logów i scenariuszy. Rozbudowa nie musi być gwałtowna. Można wprowadzać kolejne elementy krok po kroku:

  • usługa WWW – prosty serwer HTTP (np. Nginx, Apache) z logowaniem dostępu i błędów,
  • podszyty „serwer produkcyjny” – VM udająca serwer plików lub aplikacyjny, z kilkoma użytkownikami i udziałami sieciowymi,
  • prosty firewall/router wirtualny – np. pfSense, generujący logi sieciowe,
  • integracja z EDR – jeśli masz dostęp do wersji testowej lub darmowego rozwiązania, dodajesz je na endpointach.

Najczęściej zadawane pytania (FAQ)

Na czym dokładnie polega praca analityka SOC?

Praca analityka SOC polega na monitorowaniu systemów bezpieczeństwa (SIEM, EDR/XDR, firewalle, systemy pocztowe, serwery, usługi chmurowe) i reagowaniu na pojawiające się alerty. Zadanie podstawowe: odsiać szum od realnych incydentów i zdecydować, czy coś faktycznie zagraża organizacji.

W praktyce analityk większość czasu spędza na analizie logów, pracy z kolejką zgłoszeń, sprawdzaniu adresów IP, kont użytkowników, hostów oraz dokumentowaniu swoich ustaleń. Część incydentów zamyka samodzielnie, a te poważniejsze eskaluje do wyższych poziomów SOC lub innych zespołów (np. administratorów, CSIRT).

Jaka jest różnica między SOC a CSIRT/CERT i Blue Teamem?

SOC to centrum operacyjne bezpieczeństwa, które działa w trybie ciągłym i skupia się na bieżącym monitoringu oraz pierwszej reakcji na alerty. To tu „spływa” większość sygnałów z systemów ochronnych i tu zapada decyzja, co jest incydentem, a co fałszywym alarmem.

CSIRT/CERT wchodzi do gry, gdy dochodzi do poważniejszych incydentów – dużego wycieku, ransomware, ataku na kluczowe systemy. Zajmuje się analizą zdarzenia w głąb i koordynacją reakcji. Blue Team to szersze określenie na stronę defensywną: może obejmować SOC, CSIRT, inżynierów bezpieczeństwa i osoby „utwardzające” systemy po atakach.

Czym różni się SOC wewnętrzny od outsourcowanego (MSSP)?

SOC wewnętrzny działa dla jednej organizacji. Analitycy dobrze poznają konkretne środowisko, aplikacje i procesy biznesowe. Przypadki są powtarzalne, ale można wchodzić głębiej w detale jednego ekosystemu – np. banku czy telekomu.

SOC outsourcowany (MSSP) obsługuje wielu klientów równocześnie. Środowiska i technologie są bardziej zróżnicowane, tempo pracy wyższe, a wachlarz incydentów szerszy. Zdarza się, że jednego dnia analityk pracuje z logami małej firmy usługowej, a następnego – z infrastrukturą dużej korporacji. Model hybrydowy łączy oba światy: część zadań jest „na zewnątrz”, a część obsługuje wewnętrzny zespół.

Na czym polega praca juniora SOC (L1) i czy to dobra pierwsza praca w cyberbezpieczeństwie?

Junior SOC (L1) zajmuje się głównie wstępną obsługą alertów: przegląda kolejkę zdarzeń, wykonuje podstawowy triaż, weryfikuje proste wskaźniki (IP, konto, host, typ zagrożenia) i korzysta z gotowych procedur. Duża część zadań jest rutynowa, ale dzięki temu można szybko nauczyć się rozpoznawać typowe wzorce i fałszywe alarmy.

Dla wielu osób to realny punkt startowy w cyberbezpieczeństwie. Praca uczy myślenia w kategoriach: co wiemy, czego nie wiemy, jakie dane trzeba jeszcze sprawdzić. Z czasem, gdy rośnie doświadczenie, przejście na poziom L2 lub w stronę inżynierii bezpieczeństwa staje się naturalnym kolejnym krokiem.

Co robi analityk SOC na poziomie L2 i L3?

Analityk L2 zajmuje się głębszą analizą incydentów eskalowanych z L1. Łączy informacje z wielu źródeł (logi systemowe, EDR, poczta, proxy), układa timeline zdarzeń, formułuje hipotezy, jak doszło do incydentu i proponuje działania naprawcze. Często współpracuje z CSIRT-em oraz zespołami IT, a także pomaga tworzyć lub poprawiać procedury.

Poziom L3 jest najbliżej roli eksperta/inżyniera bezpieczeństwa. L3 analizuje najpoważniejsze incydenty i zaawansowane ataki, projektuje i dostraja reguły w SIEM/EDR, buduje nowe scenariusze detekcji i automatyzacje (SOAR). To miejsce, gdzie wykorzystuje się doświadczenie z wcześniejszych lat pracy i decyzje wpływają na to, co w ogóle widzi cała reszta SOC.

Jak wygląda typowy dzień pracy na zmianie w SOC?

Zmiana zwykle zaczyna się od przejęcia dyżuru: krótkiego przeglądu otwartych incydentów, trwających analiz i ważnych zmian w środowisku (np. planowane wdrożenia, awarie). Potem jest szybki rzut oka na główne dashboardy w SIEM/EDR – poziom zagrożeń, nowe alerty, ewentualne skoki w liczbie zdarzeń.

Reszta dnia to głównie praca z kolejką alertów i kontakt z innymi zespołami. Przykład z praktyki: analityk widzi nietypową aktywność logowania z zagranicy, sprawdza w logach, czy to użytkownik w delegacji, kontaktuje się z helpdeskiem lub managerem, a potem albo zamyka zgłoszenie jako uzasadnione, albo eskaluje je jako realny incydent. Każdy krok dokumentuje w systemie ticketowym i bazie wiedzy, żeby kolejna zmiana wiedziała, co już zostało zrobione.

Czy praca w SOC to tylko patrzenie w ekran i klikanie w alerty?

Na poziomie L1 faktycznie jest dużo powtarzalnych czynności i pracy w konsoli – to fakt. Jednak już na tym etapie trzeba umieć ocenić kontekst: odróżnić planowane zmiany od ataku, zadać właściwe pytania innym zespołom i nie przeoczyć subtelnych sygnałów. Dla części osób to bywa monotonne, dla innych jest to trening „oka” i myślenia analitycznego.

Na poziomach L2 i L3 praca coraz mniej przypomina „klepanie alertów”, a bardziej śledztwo techniczne i projektowanie obrony. Tam dochodzi korelacja wielu źródeł, budowanie scenariuszy ataków, współpraca z red teamem czy pentesterami. Kluczowe pytania pozostają te same: co widzimy w logach, czego jeszcze nie wiemy i jaki kolejny krok ma największy sens.

Wpadnij też tutaj:

Poprzedni artykułOpen source w IoT: najlepsze narzędzia do budowy prywatnego smart domu
Następny artykułZero trust w małej firmie: prosty plan ograniczania szkód po włamaniu
Kacper Kaczmarek
Kacper Kaczmarek
Kacper Kaczmarek to inżynier DevOps i pasjonat automatyzacji, który na co dzień łączy świat programistów, administratorów i bezpieczeństwa. Pracował przy projektach chmurowych w różnych skalach – od małych startupów po środowiska korporacyjne – dzięki czemu dobrze rozumie ograniczenia i realne potrzeby zespołów. Na Paczkimp3.pl opisuje narzędzia CI/CD, kontenery, infrastrukturę jako kod i monitoring, zawsze pokazując konkretne przykłady konfiguracji. Stawia na powtarzalne procedury, rzetelne testy i jasne porównania rozwiązań, tak aby czytelnik mógł świadomie dobrać technologię do swojego projektu.