Привет!
Вообще у тебя уже есть отличные задатки для SOC L1
Собственно, нужно пробежаться по ключевым направлениям, с которыми ты будешь работать:
- Инструментарий: SIEM (во многих компаниях это ELK/Opensearch, MP SIEM. Тут тебе нужно будет научиться писать простые запросы на KQL/Lucene для поиска событий), AV, EDR, IDS/IPS (базово прочитать правила сурикаты), да и в целом знать зачем тебе нужны те или иные СЗИ.
- Методологии MITRE ATT&CK / Cyber Kill Chain - для понимания жизненного цикла атаки. Здесь важно знать не просто наименования TTP, а понимать каким образом та или иная техника выглядит в реальности. Но на текущем этапе тебе это прям зубрить не нужно. Хотя бы образно понимать:
Видишь фишинг - попытка Initial Access; Пользователь запустил вложенный к письму файл - Execution;
ПО создало службу - Persistence;
Подмена DLL - либо Persistence, либо Privilege Escalation;
Видишь дамп LSASS - Credential Access;
Видишь создание службы PSEXECSVC на удаленном хосте, а после с ранее скомпрометированной машины идет событие входа - Lateral Movement;
И так далее
Смысл в том, чтобы видеть связь между событиями в логах и этапом атаки
- Атаки на AD: здесь тебе нужно понимать, что такое AD, как работает Kerberos, NTLM и какие техники существуют из-за их дизайна реализации в домене AD: Pass-the-Hash, Pass-the-Ticket, Kerberoasting, AS-REP roasting, DCSync, Silver/Golden Tickets. Чем Bruteforce отличается от Password spraying) на текущий момент тебе этого будет вполне себе достаточно, если не больше
- Инструменты атакующих: Nmap, Burp Suit, Mimikatz, BloodHound, Impacket, C2-фреймворки. Тебе не обязательно уметь ими пользоваться, но ты должен знать зачем они нужны.
- Базово знать модели OSI / TCP/IP.
- Linux (хотя бы базовое понимание) - уметь читать код на Bash, знать файловую структуру, уметь просматривать логи.
В целом тебе этого даже больше, чем хватит на роли SOC L1
В любом случае желаю тебе удачи)
