Jak się pracuje w SOC?

praca itp
Wiadomość
Autor
MarcinSk
member
member
Posty: 16
Rejestracja: 13 paź 2016, 12:15

Jak się pracuje w SOC?

#1

#1 Post autor: MarcinSk »

Witam

Ciekawi mnie, jak się pracuje w Security Operation Center. Zupełnie nic nie wiem o tego rodzaju pracy. Zapewne ktoś z Was pracował w takim miejscu :)
Jeśli można, miałbym kilka konkretnych pytań:

1. Jak w praktyce wygląda praca zmianowa?
Tydzień na rano, tydzień na popołudnie i tydzień na nocki? Czy może całkowite fluktuacje i "sytuacja dynamiczna", dwa dni tak, dwa dni inaczej?
Jak często w praktyce zdarzają się nocki i popołudnia? Stosunek 1:1:1 czy jakoś inaczej?
2. Co z weekendami, świętami, itp?
3. Czy praca jest rozwojowa? Czy można się sporo nauczyć, będąc powiedzmy na poziomie CCNA?
4. Dla kogo jest to praca? Jaka specyfika, porównując powiedzmy do "standardowej pracy admina"?
5. Jak to jest z językiem angielskim. Z tego co wiem - dość mocno wymagany. W mowie? W piśmie?

Pozdrawiam

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Jak się pracuje w SOC?

#2

#2 Post autor: Kyniu »

Odpowiedź na każde z Twoich pytań brzmi "to zależy". SOC firmy A od SOC firmy B może się różnić wszystkim. Procedurami, regulaminami, wymaganiami, tego czy jest to SOC na potrzeby wewnętrzne czy zewnętrzne, jakie kraje obsługuje (bo wtedy ważne są dni wolne i święta tamtego kraju a nie PL), etc. etc.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

arczi45
member
member
Posty: 38
Rejestracja: 28 wrz 2009, 20:33
Lokalizacja: Wroclaw

Re: Jak się pracuje w SOC?

#3

#3 Post autor: arczi45 »

Z grubsza wygląda to tak:

- Praca 3 lub 2 zmianowa, dniówki, popołudnia, nocki. Wszystko zależy od grafika czasami są to 2 dniówki, 2 popki, 2 nocki, czasami 4 dniówki 3 dni wolnego lub 4 nocki i 3 dni wolnego. Godziny 6-14,14-22,22,6 lub 11-21 3 dni z rzędu.
- Praca w weekendy, święta czyli standardowe 7x24x365
- Dla kogoś początkującego jest jak najbardziej rozwojowa nie tylko technicznie, ale i językowo. Nauczysz się organizacji pracy, prowadzenia zmian samemu jak i w grupie, dokumentowania inwestygacji w języku obcym, kontatku z ludźmi z całego świata. Wszystko zależy od klienta/klientów.
- Z adminką ma coś wspólnego, ale jako pierwsza linia wsparcia standardowe zadania typu sprawdż konfiguracje, skonfiguruj porty, zrób backup, sprawdź routing, logi. Przeważnie nad tobą jest jeszcze 2 linia wsparcia i 3 od tych bardziej wymagających zadań.
- Język najlepiej B1/B2 mowa i pismo, często bedziesz brał udział w jakiś rozmowach, spotkaniach technicznych. Więc trzeba w miare dobrze ogarniać.

Phibrizzo
wannabe
wannabe
Posty: 128
Rejestracja: 13 mar 2011, 23:01

Re: Jak się pracuje w SOC?

#4

#4 Post autor: Phibrizzo »

MarcinSk pisze:Witam
1. Jak w praktyce wygląda praca zmianowa?
Tydzień na rano, tydzień na popołudnie i tydzień na nocki? Czy może całkowite fluktuacje i "sytuacja dynamiczna", dwa dni tak, dwa dni inaczej?
Jak często w praktyce zdarzają się nocki i popołudnia? Stosunek 1:1:1 czy jakoś inaczej?
2. Co z weekendami, świętami, itp?
3. Czy praca jest rozwojowa? Czy można się sporo nauczyć, będąc powiedzmy na poziomie CCNA?
4. Dla kogo jest to praca? Jaka specyfika, porównując powiedzmy do "standardowej pracy admina"?
5. Jak to jest z językiem angielskim. Z tego co wiem - dość mocno wymagany. W mowie? W piśmie?
Pozdrawiam
1) To zalezy od SOCu i od stanowiska ale generalnie na "L1 Triage" preferowane sa tygodnie zmianowe np. w jeden tydzien przychodzisz na nocki w drugim tygodniu masz zmiany na dzien. Idealnym rozwiazaniem sa 3 miesieczne okresy zmianowe ale z mojej wiedzy tylko firma F5 w Wawie ma\miala taki tryb pracy. Dlaczego idealne ? bo twoje cialo musi sie przyzwyczaic do zmian, zas okres tego przyzwyczajania sie trwa okolo 2 tyg. W przeciwnym wypadku praca zmianowa ma zly wplyw na twoje zdrowie.

2) Pracujac w systemie zmianowym czyli rownowaznego czasu pracy. Nie ma pojecia swiat, dni wolnych ustawowo. Jesli twoja shifta wypadnie w Boze Narodzenie masz pecha i przychodzisz na gwiazdke do pracy. Niektore firmy jednak ida swoim pracownikom na reke i w tym okresie daja mozliwosc pracy z domu. Nie jest to zalecane gdyz najwiecej incydentow ma miejsce min w takich okresach swiatecznych. Jest to zwiazane wlasnie z tym iz cyber przestepcy wiedza o praktykach firm i spodziewaja sie obnizonej czujnosci SOCowcow w tym okresie :)

3) Nauczyc sie mozna sporo ale nie z sieci :) Jesli myslisz ze cos tam skonfigurujesz to nie ma szans. Wiedza z poziomu CCNA przydaje sie gdyz masz do czynienia z logami z roznych security controls takich jak min. firewalle, proxy, load balancery. Praca na L1 Triage to glownie przegladanie alarmow wygenerowanych przez systemy klasy SIEM (na podstawie zdarzen z urzadzen) i identyfikacja true positive, eskalowanie ich do CIRTu

4) Praca "L1 Triage" jest dla kogos wszechstronnego (tutaj nie potrzeba ludzi z CCIE lub CCNP). Zeby byc dobrym analitykiem SOC L1 trzeba miec wiedze z roznych tematow: Sieci, servery, bazy danych, SQL, jak dzialaja uslugi internetowe DNS, HTTP, Apache .... i tak mozna wymieniac bez konca. Hakerzy moga zaatakowac firme uzywajac roznych attack vectors i trzeba sie orientowac w calej masie technologii zeby byc w stanie poprawnie zidentyfikowac incydent bezpieczenstwa.

5) W pismie is a must. Bedziesz opisywal znalezione incydenty, musisz jasno przedstawic sytuacje, czesto osobom z CIRT z innego kraju albo nawet juz bezposrednio od klienta. W mowie tez sie przydaje - bedziesz proszony o dzielenie sie wiedza z kolegami z innych stref czasowych, omawianie incydentow na callu z klientem tez nie nalezy do zadkosci. W ogole jezyk angielski to jest podstawa - czy bedziesz sieciowcem, security, bazodanowcem czy managerem powinienes postawic na idealna znajomosc jezyka angielskiego - bez tego bedzie ci w przyszlosci bardzo trudno zajac dobra pozycje i znalezc najlepiej platne oferty w branzy.
Ostatnio zmieniony 03 lis 2016, 18:43 przez Phibrizzo, łącznie zmieniany 1 raz.

Phibrizzo
wannabe
wannabe
Posty: 128
Rejestracja: 13 mar 2011, 23:01

Re: Jak się pracuje w SOC?

#5

#5 Post autor: Phibrizzo »

arczi45 pisze:Z grubsza wygląda to tak:
- Z adminką ma coś wspólnego, ale jako pierwsza linia wsparcia standardowe zadania typu sprawdż konfiguracje, skonfiguruj porty, zrób backup, sprawdź routing, logi. Przeważnie nad tobą jest jeszcze 2 linia wsparcia i 3 od tych bardziej wymagających zadań.
Tutaj sie nie zgadzam. Tam sie nie konfiguruje zadnych portow, zadnych backupow, nie sprawdza sie zadnego routingu.
Jedyne prace administratorskie wykonuja Admini systemu SIEM (czyli ludzie odpowiedzialni za narzedzie na ktorym bedziesz pracowal jako "uzytkownik koncowy").
Jako L1 Triage bedziesz pracowal na codzien z alarmami generowanymi przez SIEM, logami zbieranymi przez SIEM w ramach incydentow, z danymi typu Threat Intelligence.

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Jak się pracuje w SOC?

#6

#6 Post autor: PatrykW »

MarcinSk pisze:Witam

Ciekawi mnie, jak się pracuje w Security Operation Center. Zupełnie nic nie wiem o tego rodzaju pracy. Zapewne ktoś z Was pracował w takim miejscu :)
Jeśli można, miałbym kilka konkretnych pytań:

1. Jak w praktyce wygląda praca zmianowa?
Tydzień na rano, tydzień na popołudnie i tydzień na nocki? Czy może całkowite fluktuacje i "sytuacja dynamiczna", dwa dni tak, dwa dni inaczej?
Jak często w praktyce zdarzają się nocki i popołudnia? Stosunek 1:1:1 czy jakoś inaczej?
2. Co z weekendami, świętami, itp?
3. Czy praca jest rozwojowa? Czy można się sporo nauczyć, będąc powiedzmy na poziomie CCNA?
4. Dla kogo jest to praca? Jaka specyfika, porównując powiedzmy do "standardowej pracy admina"?
5. Jak to jest z językiem angielskim. Z tego co wiem - dość mocno wymagany. W mowie? W piśmie?

Pozdrawiam
1. 6 dni pracujesz, potem powiedzmy masz 4 dni wolnego (2x pierwsza zmiana, 2 x druga, 2 x nocna zmiana) * Kazda firma ma swoj grafik, np w Akamai nocnik robi tylko po 12h (nocne zmiany). Nie maja jeszcze dziennych zmiana, bo to jest normalne office hours, czyli tak jak pisalem co firma to obyczaj. Ale kazda sie trzyma przepisow prawa polskiego, czyli 40h tygodniowo.

2. Pracujesz, potem mozesz to odebrac.
3. Jezeli dopiero zaczynasz to tak (procedury, process, jezyk, kontakt z ludzmi czyli soft skille) technicznie, to juz zalezy od ciebie jak bedziesz podchodzic do casow.

4. Dla kazdego, o ile SOC jest dzialka branzy IT ktora Ciebie interesuje, wiekszosc ludzi SOC/NOC traktuje jako tymczasowa przystan, potem ida do innych lini serwisowych w ramach wewn rekrutacji, albo odchodza z firmy i pracuja juz na bardziej technicznych stanowiskach

5. Musisz sie potrafisz dogadac, powiedzialbym ze poziom B1+ jako minimum.

* ps za ew. literowki sorka, lecz sie spieszylem :D

Powodzenia :)
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

MarcinSk
member
member
Posty: 16
Rejestracja: 13 paź 2016, 12:15

Re: Jak się pracuje w SOC?

#7

#7 Post autor: MarcinSk »

Zdaję sobie sprawę, że moje pytania są bardzo mocno zależne od konkretnego SOC'a ale i tak już sporo mi rozjaśniliście. O to chodziło, dzięki.

Najbardziej problematyczne wydaje się zmienianie godzin pracy po 2 dniach (2 dni rano, 2 dni pop, 2 dni nocka). Wygląda to na spory rollercoaster ;)

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Jak się pracuje w SOC?

#8

#8 Post autor: Kyniu »

Wszyscy piszą o pracy zmianowej a może być tak, że jest to na tyle duża, międzynarodowa korporacja, że ma kilka SOC pracujących w modelu "follow-the-sun" i ...... nie ma zmian. I wracamy do punktu wyjścia.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Jak się pracuje w SOC?

#9

#9 Post autor: PatrykW »

Kyniu pisze:Wszyscy piszą o pracy zmianowej a może być tak, że jest to na tyle duża, międzynarodowa korporacja, że ma kilka SOC pracujących w modelu "follow-the-sun" i ...... nie ma zmian. I wracamy do punktu wyjścia.
No nie,

SOC to zazwyczaj cost center, aby zabezpieczyc czas USA, w europie musisz miec zmiane nocna. Nikt nie otworzy SOC w kraju tylko dlatego bo roznica w czasie.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Jak się pracuje w SOC?

#10

#10 Post autor: mhuba »

Wojtachinho pisze: SOC to zazwyczaj cost center, aby zabezpieczyc czas USA, w europie musisz miec zmiane nocna. Nikt nie otworzy SOC w kraju tylko dlatego bo roznica w czasie.
Dokładnie tak jest jak pisze Wojtachinho.
SOC, GNOC, NOC są w jednym miejscu, pracuje się zmianowo, Polska, Indie, Filipiny ;)

Kyniu jak zwykle zabiera głos w temacie o którym NIE MA ZIELONEGO POJĘCIA.

Pzdr
mHuba

Phibrizzo
wannabe
wannabe
Posty: 128
Rejestracja: 13 mar 2011, 23:01

Re: Jak się pracuje w SOC?

#11

#11 Post autor: Phibrizzo »

mhuba pisze:
Wojtachinho pisze: SOC to zazwyczaj cost center, aby zabezpieczyc czas USA, w europie musisz miec zmiane nocna. Nikt nie otworzy SOC w kraju tylko dlatego bo roznica w czasie.
Dokładnie tak jest jak pisze Wojtachinho.
SOC, GNOC, NOC są w jednym miejscu, pracuje się zmianowo, Polska, Indie, Filipiny ;)

Kyniu jak zwykle zabiera głos w temacie o którym NIE MA ZIELONEGO POJĘCIA.

Pzdr
mHuba
Znowu wezme w obrone Kyniu. SOC firmy 3M we Wroclawiu dziala z tego co ja wiem na zasadzie follow by the sun.
SOC nie zawsze jest w tym samym miejsci co NOC, GNOC bo ich zadania sie diametralnie rozne. SOC odpowiada za identyfikacje security incydentow zas NOC\GNOC reaguja na problemy (czyli incydenty ktore nie sa incydentami bezpieczenstwa z punktu widzenia Cybersecurity).

Phibrizzo
wannabe
wannabe
Posty: 128
Rejestracja: 13 mar 2011, 23:01

Re: Jak się pracuje w SOC?

#12

#12 Post autor: Phibrizzo »

MarcinSk pisze:Zdaję sobie sprawę, że moje pytania są bardzo mocno zależne od konkretnego SOC'a ale i tak już sporo mi rozjaśniliście. O to chodziło, dzięki.

Najbardziej problematyczne wydaje się zmienianie godzin pracy po 2 dniach (2 dni rano, 2 dni pop, 2 dni nocka). Wygląda to na spory rollercoaster ;)
Hmmmm Cisco :) po ulozeniu shift stawiam ze to robota w Cisco w Krk :D

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Jak się pracuje w SOC?

#13

#13 Post autor: Kyniu »

mhuba pisze:Kyniu jak zwykle zabiera głos w temacie o którym NIE MA ZIELONEGO POJĘCIA.
Tak, bo Kyniu jest gimbaza i nigdzie nie był, nigdzie nie pracował, na niczym się nie zna a tak poza tym to powinno się go wyrzucić z ccie.pl
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Jak się pracuje w SOC?

#14

#14 Post autor: mhuba »

Nie chodziło mi o to że SOC + GNOC sa w jednej fizycznej lokalizacji i zajmują się tym samym, tylko że GNOC i SOC są przykładem działów firmy które raczej nie są rozproszone.
Nic nie stoi na przeszkodzie żeby SOC był w Polsce a GNOC w Indiach czy na Filipinach.
Follow-the-sun ciężko jest zapewnić bo:
1) Na zachodzie jest mega ciężko znaleźć ludzi do pracy, którzy coś potrafią i chcą pracować za grosze w dziwnych godzinach.
2) Ciężko jest zapewnić 24/7/365 w normalnych godzinach pracy, praktycznie jest to niemożliwe:
a) lokalne dni wolne, święta, weekendy?
b) przerwa pomiedzy końcem dnia pracy w USA (chyba nie liczycie ze znajdzicie kogoś do takiej roboty w CA?) a początkiem np na Filipinach to ciągle kilka godzin

Teraz otwierajac kilka biur to czynsz x2/3, do każdego biura trzeba zatrudnić managiera (chyba nie zostawicie tych ludzie bez szefa).
Żeby teraz ogarnąć problemy 1 i 2? Trzeba szukac ludzi do roboty, zmuszać ich do pracy w weekendy, święta, albo o dziwnych godzinach, wyobrażacie sobie to w USA? Ja nie.
Więc 100x łatwiej jest odpalić takie biuro w jednym miejscu, na kilka zmian, zrobić to tanio, dobrze i bez zbednych problemów z ludzmi.

Pzdr
mHuba

sniferek
member
member
Posty: 40
Rejestracja: 15 mar 2014, 18:45

Re: Jak się pracuje w SOC?

#15

#15 Post autor: sniferek »

mhuba,

Nie do końca się zgodzę. Dużo zależy od specyfiki pracy firmy ale generalnie, ilość menagierów nie różni się za bardzo ze względu na podział lokalizacji. Łatwiej jest znaleźć ludzi do pracy w follow-the-sun niż ludzi którzy chcą pracować na nocki. Żeby zapełnić pełne wsparcie wystarczą dwa sajty (NAM + ASPAC)

SOC i GNOC to często z punktu widzenia firmy krytyczne usługi (zależnie od branży i tak dalej). Jeśli centrum biznesu jest w USA, często jest tak że nie chcą wypuszczać tego poza kraj. Dotyczy to networków (szczególnie Low-Latency, Tradeflor) jak i security.

Może ktoś podpowie - jak wyglądają zarobki na stanowiskach security w Wawie?

ODPOWIEDZ