How to Become a Analista SOC

Perché Diventare Analista SOC?

Il ruolo di Analista SOC è uno dei punti di ingresso più accessibili nella cybersecurity, offrendo esposizione reale alle minacce informatiche mentre costruisci competenze fondamentali trasferibili a praticamente qualsiasi specialità di sicurezza.

Cosa rende questo ruolo attraente:

• Alta domanda: Organizzazioni di tutte le dimensioni necessitano di monitoraggio della sicurezza
• Esperienza reale: Gestisci incidenti di sicurezza reali quotidianamente
• Chiara progressione di carriera: Percorso ben definito dal Tier 1 ai ruoli specializzati
• Nessuna laurea richiesta: Competenze e certificazioni spesso prevalgono sull'istruzione formale
• Apprendimento continuo: Ogni giorno porta nuove minacce e tecniche da comprendere

Cosa Fa Realmente un Analista SOC?

Come Analista SOC, la tua responsabilità principale è monitorare gli alert di sicurezza e investigare potenziali minacce. Una giornata tipica può includere:

• Triage degli alert: Esaminare gli alert SIEM e determinare quali richiedono investigazione
• Investigazione: Analizzare log, traffico di rete e dati endpoint per comprendere attività sospette
• Escalation: Documentare le scoperte ed escalare le minacce confermate agli analisti senior
• Reporting: Creare ticket di incidenti e documentare i passaggi dell'investigazione
• Tuning: Fornire feedback sui falsi positivi per migliorare le regole di detection

I Tier degli Analisti SOC

La maggior parte dei SOC organizza gli analisti in tier basati sull'esperienza:

Cosa Fa Davvero un Analista SOC Ora per Ora

Un turno reale raramente corrisponde alla versione idealizzata che descrivono i recruiter. Un analista T1 in un turno diurno di 12 ore dedica i primi 30 minuti a leggere il ticket di consegna, controllare le dashboard di Splunk, Microsoft Sentinel o QRadar e confermare che le pipeline critiche di detection siano in salute. Le ore successive alternano triage degli alert, aggiornamenti di ticket in Jira o ServiceNow e brevi revisioni tra pari sui casi sospetti. La pausa pranzo è scaglionata in modo che la coda non resti mai senza presidio.

A metà pomeriggio aumentano le segnalazioni di phishing. Gli utenti inoltrano email sospette, l'analista detona le URL in una sandbox come Any.Run o Joe Sandbox, confronta il mittente con feed di threat intel (MISP, OpenCTI, AlienVault OTX) e aggiorna le blocklist sul gateway di posta. A fine turno l'analista scrive una consegna strutturata per il team notturno con investigazioni aperte, note di tuning ed escalation inviate al team di incident response.

Questo ritmo conta perché definisce quali competenze devi costruire per prime. Velocità di triage, comunicazione scritta chiara e disciplina nella documentazione non sono negoziabili. Senza di esse, anche solide competenze tecniche non bastano a compensare.

Il Modello dei Tier SOC: T1 vs T2 vs T3 vs SOC Engineer

Il modello dei tier è più di una gerarchia, definisce il tipo di lavoro quotidiano e quali detection puoi chiudere.

Tier 1 (T1) si concentra sul volume. L'analista processa centinaia di alert per turno, la maggior parte benigni, e impara a riconoscere rapidamente i pattern di falsi positivi. Metriche comuni: alert per ora, mean time to triage (MTTT) e accuratezza dell'escalation.

Tier 2 (T2) riceve le escalation dal T1. Il lavoro passa dal triage all'investigazione: pivot tra log SIEM, telemetria EDR e cattura di rete per ricostruire la timeline di un attacco. I T2 iniziano anche a fare tuning delle detection, a scrivere esclusioni e a contribuire ai runbook.

Tier 3 (T3) guida campagne di threat hunting, conduce incidenti maggiori e sviluppa nuovo contenuto di detection. Scrivono regole Sigma, costruiscono ricerche di correlazione personalizzate e collaborano con il team di threat intel per tradurre TTP avversarie in copertura. MTTD e MTTR del team sono in parte responsabilità loro.

SOC Engineer è una via parallela focalizzata sulla piattaforma stessa: onboarding dei log, sviluppo di parser, playbook SOAR e ciclo di vita del contenuto. Molti T2/T3 passano a questo ruolo quando preferiscono costruire detection invece di farle girare.

Se parti da zero senza background tech, il percorso senza esperienza spiega come un bootcamp strutturato comprime la strada da zero a T1.

Il Set di Competenze SIEM Essenziale

Un analista SOC vive dentro un SIEM. La piattaforma cambia per datore di lavoro, ma le competenze sottostanti sono trasferibili.

Splunk SPL usa una sintassi a pipe. Una caccia tipica per logon falliti seguiti da un logon riuscito dalla stessa sorgente:

index=wineventlog EventCode=4625 OR EventCode=4624
| stats count(eval(EventCode=4625)) as failed, count(eval(EventCode=4624)) as success by src_ip, user
| where failed > 10 AND success > 0

KQL (Kusto Query Language) alimenta Microsoft Sentinel e Defender. La stessa logica in KQL:

SecurityEvent
| where EventID in (4624, 4625)
| summarize failed = countif(EventID == 4625), success = countif(EventID == 4624) by IpAddress, Account
| where failed > 10 and success > 0

Lucene è usato in Elastic e Wazuh. Le query sono più piatte e orientate alle stringhe, utili per ricerche full text su indici normalizzati.

Punta a essere operativo in un linguaggio di query in tre mesi e conversazionale in un secondo entro un anno. La maggior parte dei ruoli SOC senior in UE si aspetta fluidità in SPL o KQL.

MITRE ATT&CK Come Mappa Quotidiana

ATT&CK è il vocabolario condiviso della difesa moderna. Ogni alert che merita investigazione si mappa su una o più tattiche (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) e su tecniche e sotto tecniche specifiche.

Uso pratico di ATT&CK in un SOC:

• Taggare le detection con ID di tecnica (per esempio T1059.001 per esecuzione PowerShell)
• Verificare i gap di copertura usando ATT&CK Navigator
• Leggere i report dei red team con lente ATT&CK per estrarre IOC e comportamenti
• Scrivere note investigative che referenzino le tecniche per far pivotare velocemente gli altri analisti

Memorizzare la matrice non è l'obiettivo. Riconoscere quali tecniche sono più rilevanti nel tuo ambiente, sì.

EDR e il Loop di Investigazione Endpoint

Le piattaforme EDR (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Cortex XDR) generano una quota rilevante degli alert ad alta fedeltà. Ognuna si aspetta che tu segua un loop: leggi l'alert, pivota all'albero di processi, esamina le relazioni padre figlio, controlla gli argomenti di linea di comando, cerca binari non firmati e correla con eventi Sysmon o auditd sull'host.

Domande tipiche durante il triage endpoint:

• Il processo padre ha senso (Word che lancia PowerShell è sospetto)
• Il binario era firmato, e da chi
• L'host ha contattato un dominio esterno raro dopo l'esecuzione
• Ci sono processi gemelli su altri host con lo stesso comportamento

La pratica in ambienti come LetsDefend, Blue Team Labs Online o i lab del curriculum Unihackers è la via più rapida per interiorizzare questo loop.

La Mentalità del Detection Engineering

Anche da T1 dovresti interessarti a come si costruiscono le detection. Sigma è lo standard aperto per scrivere regole in formato YAML neutro al vendor, che si converte in SPL, KQL, Lucene e altri. Leggere e contribuire ai repository pubblici Sigma insegna come è fatta una buona regola: logica chiara, basso tasso di falsi positivi, mappata ad ATT&CK e accompagnata da un runbook di triage.

Una buona detection ha tre proprietà:

1. Si attiva sul comportamento, non sull'artefatto (sopravvive a piccoli cambi avversari).
2. Il suo tasso di falsi positivi è abbastanza basso da farla considerare affidabile dagli analisti.
3. È documentata in modo che un analista stanco alle 3 di notte possa comunque agire.

Porta presto questa mentalità e uscirai dal T1 prima dei colleghi che si limitano a triare ciò che gli arriva.

Realtà dei Turni e Prevenzione del Burnout

La maggior parte dei SOC in UE opera 24/7 con uno di due pattern: rotazioni di 8 ore su tre turni (8x3) o rotazioni di 12 ore giorno e notte con cadenza fissa (per esempio due giorni, due notti, quattro liberi). Entrambi hanno compromessi. L'8x3 distribuisce la copertura in modo più uniforme ma genera più consegne. Il 12 ore dà più giorni liberi ma turni individuali più pesanti.

Il burnout è un problema reale e misurabile nel lavoro SOC. La combinazione di alert fatigue, alterazione circadiana e decisioni ad alto impatto consuma le persone. Contromisure efficaci:

• Consegne rigorose a fine turno per non portarsi le investigazioni a casa
• Rotazione tra triage e lavoro di progetto (tuning, documentazione, hunt)
• Sprint regolari di tuning per ridurre il volume degli alert alla fonte
• Conversazioni oneste con il management sulla salute della coda

I datori di lavoro che prendono questo sul serio trattengono gli analisti. Gli altri li perdono in meno di 18 mesi.

Categorie Comuni di Alert e Come Triarle

Cinque categorie coprono la gran parte di quello che vede un T1:

Phishing: segnalazioni utente o alert del gateway. Ispeziona gli header, detona URL e allegati in sandbox, controlla la reputazione del mittente ed estrai i destinatari dal mail server. Blocca il mittente, richiama l'email se possibile e cerca clic o download nel SIEM.

Malware: alert EDR su scrittura file, esecuzione o injection in memoria. Metti l'host in quarantena, estrai il binario per analisi (VirusTotal, hybrid analysis), controlla l'albero processi e cerca tentativi di lateral movement.

Brute force e password spraying: fallimenti di autenticazione ripetuti su account o IP. Conferma la presenza di MFA, cerca eventuali logon riusciti e coordinati con il team identity per blocchi account o cambi di conditional access.

Lateral movement: attività SMB, RDP o WMI insolita, soprattutto da workstation a server. Ricostruisci la sorgente, controlla se l'account originario è apparso in un caso recente di phishing ed escala rapidamente al T2.

Esfiltrazione: trasferimenti in uscita di grandi dimensioni, pattern di DNS tunneling o upload anomali su cloud storage. Quasi sempre escalation T2/T3, ma il T1 deve riconoscere il segnale presto.

Un template di triage coerente (sorgente alert, comportamento osservato, IOC chiave, mapping ATT&CK, azione raccomandata) mantiene leggibili i ticket e in movimento il turno.

Certificazioni che Spostano Davvero le Decisioni di Assunzione

Non tutte le certificazioni pesano uguale nei panel di assunzione UE.

• CompTIA Security+ (dettagli) è il pavimento. Quasi ogni descrizione di lavoro la elenca come richiesta o fortemente preferita. Il Bootcamp di Cybersecurity Unihackers include la preparazione Security+ e un voucher Certiprof.
• CompTIA CySA+ (dettagli) è il proseguimento naturale e si allinea direttamente con i compiti dell'analista SOC (analitica comportamentale, vulnerability management, incident response).
• Blue Team Level 1 (BTL1) è hands on e ben rispettata perché l'esame ti costringe a investigare artefatti reali.
• Certified CyberDefender (CCD) è più avanzata e utile per puntare a ruoli T2/T3.
• Le certificazioni di vendor come Splunk Core Certified User, Microsoft SC-200 o Elastic Certified Analyst aiutano quando il datore di lavoro usa quella piattaforma.

Stappale in questo ordine: Security+, poi CySA+ o BTL1, quindi una di vendor allineata allo stack del ruolo.

Realtà Salariale in UE: da Junior a Senior

Le cifre USA dominano i contenuti online ma raramente combaciano con il mercato UE. Range realistici nel 2026:

• Analista SOC Junior / T1: EUR 30.000 a 40.000 l'anno, con differenziali di turno che aggiungono dal 10 al 20 percento per copertura notturna e weekend.
• Analista SOC Mid / T2: EUR 42.000 a 55.000 l'anno, in base al paese e alla specializzazione SIEM.
• Analista SOC Senior / T3 o SOC Engineer: EUR 60.000 a 80.000 l'anno, con detection engineering e threat hunting sulla parte alta.

Madrid, Barcellona e i grandi hub tedeschi si collocano nel mezzo di questi range. Svizzera, Lussemburgo e parti della Scandinavia pagano di più. I ruoli remoti per MSSP globali possono allungare la fascia senior. Il dettaglio completo è nella guida ai salari della cybersecurity.

Come il Bootcamp Unihackers Mappa su Questo Ruolo

Il Bootcamp di Cybersecurity Unihackers è un programma da 360 ore in 6 mesi costruito attorno alle competenze descritte. Tre moduli sono particolarmente rilevanti per questo ruolo:

• Modulo 7 (Operazioni Difensive): lab pratici con piattaforme SIEM, analisi log, query SPL/KQL.
• Modulo 8 (Detection e Incident Response): mapping MITRE ATT&CK, workflow di investigazione EDR, playbook di triage.
• Modulo 12 (Capstone): simulazione SOC su più giorni che riproduce un turno T1 reale, con consegne, escalation e report post incidente.

È inclusa la preparazione all'esame Security+ e un voucher Certiprof. Il percorso strutturato da IT support a analista SOC è la rotta più comune per chi cambia carriera.

Competenze che Contano di Più

Mentre il percorso di certificazioni fornisce struttura, queste competenze pratiche faranno la differenza maggiore nel tuo successo:

Competenze Tecniche

1. Analisi dei Log: Capire cosa ti dicono i log è il tuo superpotere. Pratica la lettura di Windows Event Log, log di firewall e log di web server.

2. Fondamenti di Networking: Sappi come funzionano le reti, inclusi protocolli comuni, pattern di traffico normale vs. anomalo e come gli attaccanti si muovono lateralmente.

3. Padronanza SIEM: Diventa fluente con almeno una piattaforma SIEM. Splunk è la più comune, ma Microsoft Sentinel sta crescendo rapidamente.

4. Basi di Scripting: Competenze Python o PowerShell ti permettono di automatizzare task ripetitivi e condurre analisi più sofisticate.

Soft Skill che Ti Distinguono

• Curiosità: I migliori analisti sono naturalmente curiosi di come funzionano le cose e perché si sono verificati certi eventi
• Comunicazione: Dovrai spiegare scoperte tecniche a stakeholder non tecnici
• Resilienza: La fatica da alert è reale, hai bisogno di strategie per rimanere concentrato durante lunghi turni

La Ricerca del Lavoro

Quando sei pronto a candidarti, concentrati su queste strategie:

Costruire il Tuo CV

• Evidenzia certificazioni ed esperienza pratica dai lab
• Elenca tool specifici che hai usato (Splunk, Wireshark, ecc.)
• Includi progetti personali o partecipazione a CTF
• Quantifica i risultati quando possibile

Preparazione ai Colloqui

Aspettati un mix di domande tecniche e comportamentali:

• "Guidami attraverso come investigheresti un alert di phishing"
• "Qual è la differenza tra encryption e hashing?"
• "Descrivi una volta in cui hai dovuto lavorare sotto pressione"
• "Come prioritizzeresti più alert ad alta severity?"

Dove Trovare Lavoro

• LinkedIn Jobs
• Indeed (filtra per ruoli di sicurezza entry-level)
• Pagine carriere aziendali (specialmente MSSP)
• Job board orientate alla sicurezza come CyberSecJobs
• Meetup e conferenze locali di cybersecurity

Sfide Comuni e Come Superarle

Fatica da Alert

Il problema: Gli ambienti ad alto volume possono essere travolgenti. La soluzione: Sviluppa processi di triage sistematici, prendi pause e proponi un migliore tuning degli alert.

Lavoro su Turni

Il problema: I turni notturni e weekend disturbano l'equilibrio vita-lavoro. La soluzione: Alcuni datori di lavoro offrono orari 4x10 o rotazioni. Questo migliora con l'anzianità.

Sindrome dell'Impostore

Il problema: Sentire di non sapere abbastanza rispetto ai colleghi esperti. La soluzione: Tutti iniziano da qualche parte. Concentrati sull'imparare una cosa nuova al giorno.

Pronto a Iniziare?

Il percorso per diventare Analista SOC è impegnativo ma realizzabile. Con sforzo costante per 6-12 mesi, puoi costruire le competenze necessarie per ottenere il tuo primo ruolo. Ricorda:

1. Inizia dai fondamenti (networking, basi di sicurezza)
2. Ottieni le certificazioni (Security+ è il tuo primo traguardo)
3. Pratica costantemente (TryHackMe, Blue Team Labs, LetsDefend)
4. Costruisci un portfolio del tuo lavoro
5. Fai networking con professionisti del settore

L'industria della cybersecurity ha bisogno di più difensori. Il tuo futuro team ti sta aspettando.