איך נראה יום עבודה בתוך SOC? (הסבר למתחילים)

בואו נצטרף ליום עבודה טיפוסי של דנה, אנליסטית SOC מתחילה, כדי להבין איך באמת נראית העבודה בשטח.

11/05/2025

איך נראה יום עבודה בתוך SOC? (למתחילים)

תיאור כללי

בואו נצטרף ליום עבודה טיפוסי של דנה, אנליסטית SOC מתחילה, כדי להבין איך באמת נראית העבודה בשטח.

השעה 8:00 בבוקר, ודנה מתחילה את המשמרת שלה במרכז ה-SOC של חברת ביטוח גדולה. המקום מזכיר מעט חדר בקרה של שדה תעופה – מסכים גדולים על הקיר מציגים גרפים וחיוויים שונים, וכל אנליסט יושב מול מספר מסכים שמציגים מידע שוטף על מערכות הארגון.

הדבר הראשון שדנה עושה הוא "חפיפה" עם הצוות היוצא. הם מעדכנים אותה על אירועים שהתרחשו במהלך הלילה – ניסיון חשוד להתחבר למערכת מחוץ לשעות העבודה הרגילות, כמה התראות על תוכנות זדוניות שנחסמו, וכמה אירועים שעדיין נמצאים בחקירה.

עכשיו, דנה מתיישבת מול תחנת העבודה שלה ומתחילה לסרוק את ההתראות החדשות שהגיעו למערכת ה-SIEM (מערכת לניהול אירועי אבטחה ומידע). זה דומה לאחות במיון שעושה טריאז' – ממיינת את המקרים לפי דחיפות וחומרה.

בשעה 9:30, היא מזהה התראה חשודה – מספר ניסיונות כושלים להתחבר לחשבון משתמש בכיר. היא בודקת את דפוסי ההתחברות הרגילים של אותו משתמש ומגלה שזה לא אופייני לו. דנה פותחת "כרטיס אירוע" ומתחילה בחקירה מעמיקה יותר.

בשעה 10:15, לאחר שבדקה לוגים נוספים, היא מגלה שהניסיונות מגיעים ממדינה שבה החברה כלל לא פועלת. היא מחליטה להסלים את האירוע למנהל צוות ה-SOC. יחד, הם מחליטים ליצור קשר עם המשתמש כדי לוודא שהוא לא מנסה להתחבר מחו"ל, ובמקביל חוסמים זמנית את הגישה מאותה מדינה.

במהלך היום, דנה ממשיכה לנטר התראות, לחקור אירועים חשודים, לעדכן את מנהל הצוות, ולתעד את כל הפעולות שננקטו. בין לבין, היא גם עוברת על מאמרים חדשים על איומי סייבר, לומדת על שיטות תקיפה חדשות, ומשתתפת בהדרכה על כלי אבטחה חדש שהארגון מטמיע.

בסוף המשמרת, בשעה 16:00, דנה עורכת חפיפה לצוות הנכנס, מסכמת את האירועים של היום, ומדגישה נושאים שדורשים המשך מעקב. לאחר יום עבודה מאתגר, היא יוצאת הביתה עם תחושת סיפוק – היום הצליחה לזהות ולסכל ניסיון פריצה שיכול היה לגרום נזק משמעותי לארגון.

זהו יום עבודה אופייני ב-SOC – תמהיל של שגרה וניטור שוטף, לצד רגעי אדרנלין כשמזהים איום אמיתי. העבודה דורשת ערנות מתמדת, סקרנות, ויכולת לחשוב כמו התוקף כדי להקדים אותו.

הסבר מורחב:

מה רואים במסכים הגדולים ובמסכים האישיים של האנליסטים?

המסכים הגדולים על קירות ה-SOC מציגים תמונת מצב כוללת של אבטחת המידע בארגון בזמן אמת. אלה כוללים דשבורדים המראים נפח תעבורת הרשת, התפלגות התראות לפי סוגים וחומרה, מפות גיאוגרפיות המציגות מקורות תקיפה, וגרפים של פעילות חריגה. מסכי האנליסטים עצמם מציגים מידע מפורט יותר - לוגים של שרתים ומערכות הגנה, התראות מכלי אבטחה שונים (אנטי-וירוס, חומות אש, IPS), נתונים על משתמשים ספציפיים, ומערכת ה-SIEM המרכזת את כל המידע. חלק מהמסכים מוקדשים לכלי חקירה מתקדמים המאפשרים לנתח אירועים לעומק ולעקוב אחר שרשרת פעולות חשודות במערכת.

מדוע ניסיונות התחברות כושלים לחשבון בכיר נחשבים לחשודים?

כשדנה מזהה ניסיונות כושלים להתחבר לחשבון של משתמש בכיר, מתעוררים מספר דגלים אדומים. ראשית, ריבוי ניסיונות כושלים ברצף מרמז על ניסיון פריצה באמצעות ניחוש סיסמה (Brute Force או Credential Stuffing). שנית, העובדה שמדובר במשתמש בכיר הופכת את האירוע לרגיש במיוחד, שכן לבעלי תפקידים בכירים יש בדרך כלל גישה למידע רגיש ומערכות קריטיות. כשהיא בודקת את דפוסי ההתחברות הרגילים, היא מגלה חריגות כמו שעת התחברות לא אופיינית, מיקום גיאוגרפי שונה מהרגיל, או שימוש במכשיר או דפדפן שהמשתמש לא השתמש בהם בעבר - כל אלה סימנים מחשידים של ניסיון התחזות.

מה המשמעות של ניסיונות התחברות ממדינה "זרה לפעילות הארגון"?

כשדנה מגלה שניסיונות החיבור מגיעים ממדינה שבה החברה לא פועלת, זהו סימן ברור לפעילות זדונית. ארגונים בדרך כלל מנהלים מפה מדויקת של המדינות שבהן יש להם פעילות לגיטימית, ותעבורה ממדינות אחרות נחשבת חשודה. תוקפים רבים פועלים ממדינות ספציפיות (למשל: רוסיה, פקיסטן או דרום אמריקה), ולעתים קרובות משתמשים בשרתי פרוקסי או VPN במדינות שונות כדי להסוות את מקור התקיפה האמיתי. במקרים רבים, זוהי אינדיקציה לתקיפה מתוחכמת יותר, אולי אפילו תקיפה ממוקדת (APT - Advanced Persistent Threat) המכוונת ספציפית לארגון או לענף שלו.

למה חשוב לאנליסטית ללמוד שיטות תקיפה חדשות?

ההתעדכנות המתמדת בשיטות תקיפה חדשות היא קריטית לעבודת אנליסט SOC. האקרים מפתחים כל הזמן טכניקות חדשות ומתוחכמות יותר לעקיפת מערכות הגנה, ורק על ידי הכרת שיטות אלה אפשר לזהות אותן בזמן אמת. מידע על שיטות תקיפה מגיע ממקורות כמו דוחות מחקר אבטחה, התראות של CERT (צוותי תגובה לאירועי מחשב), פורומים מקצועיים, וניתוח של תקיפות שהתרחשו בארגונים אחרים. למידה זו מאפשרת לדנה לשפר את היכולת שלה לזהות דפוסים חשודים ולהבין מה עשוי להיות המהלך הבא של התוקף, ובכך לנקוט בפעולות מונעות לפני שהנזק מתרחש.

פוסטים נוספים שאולי יעניינו אותך

איך מגיעים למשרה של SOC Analyst (בקר SOC)?

02 - איך מגיעים למשרה של SOC Analyst (בקר SOC)?

עבור למאמר

7.5.2025

תאריך: 7.5.2025

SOC: מדריך מפורט לריאיון עבודה לתפקיד ראשון כ-SOC Analyst

04 ריאיון עבודה לתפקיד בקר SOC (Security Operations Center Analyst) מהווה אתגר ייחודי, שכן המראיינים מחפשים שילוב של ידע טכני, יכולות אנליטיות, ותכונות אישיות מתאימות. המדריך נועד לעזור לך להתכונן באופן מקיף לקראת ריאיון לתפקיד זה ולהגדיל את סיכוייכם להתקבל, עם דגש על השוק הישראלי.

עבור למאמר

7.5.2025

תאריך: 7.5.2025

דוח חודשי מפורט של MSSP (SOC) ללקוח: דוגמה

דוח חודשי של צוות SOC חיצוני המסופק על ידי חברת MSSP (Managed Security Service Provider) הוא כלי חיוני להעברת מידע ללקוח על מצב אבטחת המידע בארגונו. הדוח החודשי מספק תמונה מרוכזת של מגמות, אירועים חוזרים, סיכונים מתפתחים ופעולות שבוצעו לאורך זמן. הוא מאפשר להנהלה להבין את מצב האבטחה ברמה אסטרטגית, לקבל החלטות מושכלות ולוודא שה-MSSP עומד ביעדים ובהסכמים.

עבור למאמר

6.5.2025

תאריך: 6.5.2025

הסמכות

התמחויות - קורסי סייבר ו-IT ממוקדים

איך נראה יום עבודה בתוך SOC? (הסבר למתחילים)

בואו נצטרף ליום עבודה טיפוסי של דנה, אנליסטית SOC מתחילה, כדי להבין איך באמת נראית העבודה בשטח.

איך נראה יום עבודה בתוך SOC? (למתחילים)

תיאור כללי

הסבר מורחב:

מה רואים במסכים הגדולים ובמסכים האישיים של האנליסטים?

מדוע ניסיונות התחברות כושלים לחשבון בכיר נחשבים לחשודים?

מה המשמעות של ניסיונות התחברות ממדינה "זרה לפעילות הארגון"?

למה חשוב לאנליסטית ללמוד שיטות תקיפה חדשות?

Browser Details