Смешали все в кучу, и работа в сием и форензика и реверс, это три разных направления, если руководство ставит джуна на все сразу и требует от него результат по всем, да ещё и под угрозой увольнения, значит не понимает эти технологии и разницу между ними. При таком руководстве ничему не обучиться, только тратить время и нервы. Люди ошибаются, и это обычно учитывается при выстраивании процессов, что бы ошибка одного не привела к большим потерям в организации.

Вопрос актуален для разных направлений, не означает, что человек занимается всеми одновременно.

Спасибо за ответ!

О, и ты тут ;)

Так вот зачем hr по всем чатам расселились))))

Краулеры =)

кроме первой линии должно быть что-то еще. В моем понимании, первая линия должна разгребать то, что понятно как разгребать и предсказуемо по времени, остальное уходит на другие линии. По поводу персноальной ответственности, вопрос странный, успех реализации атаки и ее детектирования вероятностный. Какие-то инциденты будут пропущены, у каких-то будет неверный приоритет. Эти вещи и риски учитывать и принимать должны люди намного выше по служебной лестнице. Сам факт вопроса говорит от том, что с процессами что-то не то, или их нет..

Тут, кмк, системная ошибка в процессах - руководство SOC в описанном случае не видит общей картины и в частности действий конкретного сотрудника 1 линии. Т.е. если что-то пошло "не так" , и у 1 линии что-то не получается, это "должно быть видно" 2 или 3 линии, и они в идеальной картине мира должны сами подключиться к разбирательству. Т.е. у 1 линии даже теоретически не должно быть шансов "что-то скрыть" . Но, это, повторюсь, в идеальной картине мира. 2/3 линии должны контролировать результаты 1 линии, и кмк, в случае если есть ошибки/недочеты, надо возвращать на доработку и/или подключать более опытных сотрудников, даже в ущерб выполнению  SLA ( в идеале, а как оно в жизни реального SOCa, многие тут лучше меня знают)

Кто нибудь с SIEM Mcafee знаком ? Нужен для развития soc  специалист

Вы на работу зовете или консультацию спрашиваете?))

Сама по себе сием у них не архисложная, когда-то ей занимался

На работу зовем :)

У mcafee есть сием?;)) внезапно

Да, McAfee ESM называется + там еще под него несколько модулей, типа advanced correlation и тд

че за бред ...

Тогда в киберджобс наверн лучше)

О как;))

Да, классная и дешевая штука

По сравнению с конкурентами наверное самый дешевый

Вон позитив за 2.2 продает на 100 узлов. Неужели дешевле? А в чем классная? Что там с контентом?

ну он такой.для странных решений.
корреляция по подписке, модульная система и т.п.
из прикольных фишек-цветовая схема и строчка в резюме.

Ещё Комрад есть :) Он вроде совсем смешных денег стоит.