Da IT Support a SOC Analyst

Perché Questo Percorso è Sensato

I professionisti del supporto IT spesso sottovalutano quanto del loro lavoro quotidiano sia già vicino alle security operations. Gestisci endpoint, problemi di accesso, comportamento degli utenti, escalation e situazioni in cui gli incidenti arrivano in modo disordinato. In un SOC cambiano strumenti e domande, ma non scompare la necessità di investigare con ordine.

È questo che rende credibile il percorso. Non presuppone che tu parta da zero, ma non finge neppure che esperienza IT adiacente basti da sola. L'obiettivo è trasformare un profilo operativo di supporto in uno pronto per la sicurezza aggiungendo contesto, pratica strutturata ed evidenza migliore.

Cosa si Trasferisce dal Supporto IT

Diverse abitudini del supporto sono direttamente utili in un ruolo SOC.

• Sai fare troubleshooting sotto pressione.
• Sei abituato a informazioni incomplete provenienti da utenti e sistemi.
• Lavori già con sistemi operativi, permessi e comportamento degli endpoint.
• Sai che una documentazione chiara conta quando qualcun altro deve continuare l'investigazione.

Non sono vantaggi minori. Il lavoro SOC junior consiste in larga parte in triage metodico, lettura del contesto e decisione su cosa merita davvero escalation.

Il Gap di Sicurezza da Colmare

Quello che manca non è maturità tecnica generale, ma un inquadramento di sicurezza.

Devi capire meglio come si sviluppano attacchi comuni, come attività sospette appaiono in log e segnali endpoint e come i workflow di monitoring si inseriscono in un vero processo di incident response. È qui che molti profili di supporto si fermano: conoscono i sistemi, ma non li leggono ancora con una logica di detection e response.

Come il Bootcamp si Inserisce nella Transizione

Per questo profilo, il valore del bootcamp è la struttura. I moduli più rilevanti sono quelli che collegano conoscenza infrastrutturale e lavoro di sicurezza:

• cybersecurity foundations
• networking and network security
• security operations and monitoring
• advanced security operations
• career coaching and certification preparation

Il punto non è la velocità fine a sé stessa. Il punto è sostituire apprendimento frammentato con una sequenza che porta davvero avanti.

Come Appaiono Prove Credibili Prima di Candidarti

Questo percorso diventa credibile quando puoi mostrare qualcosa di più della sola motivazione.

Prove utili sono spesso un piccolo esercizio di analisi dei log, una breve nota di alert triage, un workflow semplice di investigazione o appunti che mostrino come hai ragionato di fronte a comportamento sospetto su un endpoint. Per un primo ruolo difensivo nessuno ha bisogno di un lab offensivo perfetto. Serve però vedere che sai ragionare con chiarezza sul lavoro operativo di sicurezza.

Cosa Evitare

Gli errori più comuni sono inseguire troppe tools troppo presto, sopravvalutare contenuti offensivi prima che i fondamentali difensivi siano stabili e assumere che esperienza IT adiacente significhi automaticamente essere job-ready.

Questo percorso funziona meglio quando tratti la tua esperienza di supporto come una base forte e ci aggiungi contesto di sicurezza, pratica ed evidenza.

Una Tabella di Marcia Realistica di 6 Mesi dalla Coda Ticket al Primo Turno SOC

Un bootcamp da 360 ore non si trasforma da solo in un ruolo SOC. La transizione diventa realistica quando studio, lab e candidature seguono un ritmo costante. La struttura qui sotto è quella che funziona per la maggior parte di chi lascia una coda di supporto.

Le settimane 1 e 4 si concentrano sui fondamentali. Riprendi TCP/IP, DNS, HTTP, flussi di autenticazione, il modello di eventi di Windows e gli internals di base di Linux. L'obiettivo non è memorizzare comandi. È leggere cosa sta facendo un sistema quando qualcosa non torna.

Le settimane 5 a 10 introducono i workflow difensivi. Inizi a lavorare con log su scala, scrivi le tue prime note di detection e impari come le alert si muovono in un processo di triage. Alla fine della settimana 10 dovresti riuscire a prendere un'alert di esempio e spiegare per iscritto cosa probabilmente significa e quale contesto raccoglieresti dopo.

Le settimane 11 a 16 collegano tutto all'incident response. Pratichi il mapping degli eventi alle tecniche MITRE ATT&CK, costruisci writeup brevi e usi un template di investigazione semplice. È anche il periodo in cui di solito si colloca la preparazione Security+, perché l'esame rinforza il vocabolario che i recruiter si aspettano.

Le settimane 17 a 22 sono dedicate alla profondità del portfolio. Ripeti gli esercizi di lab con parole tue, li documenti come se una collega dovesse continuare il tuo lavoro e inizi a stringere il CV intorno al linguaggio difensivo invece dei termini IT generici.

Le settimane 23 a 26 sono settimane di candidatura. Ti candidi a ruoli SOC junior, posizioni MSSP e programmi trainee di detection engineering. La maggior parte di chi riceve una prima offerta in questa finestra ha un profilo senza esperienza più ragionamento visibile, non una lista lunga di certificazioni.

Gli Strumenti Che Vedrai nel Tuo Primo Ruolo SOC

Il primo giorno in un SOC raramente richiede uso esperto di un singolo strumento. Richiede agilità nello spostarsi tra diversi. Splunk e lo stack ELK (Elasticsearch, Logstash, Kibana) dominano come piattaforme SIEM nelle operazioni EU, con adozione crescente di Microsoft Sentinel in ambienti cloud-first. Passerai tempo a scrivere query di ricerca, salvare viste e costruire dashboard di base.

Wireshark e tshark compaiono quando conta l'evidenza a livello di pacchetto, soprattutto in caso di sospetta esfiltrazione o traffico in uscita anomalo. Sysmon, lo strumento Sysinternals, è lo standard per telemetria endpoint Windows più ricca. Saper leggere un Sysmon Event ID 1 (process create) rispetto a un Event ID 3 (network connection) è più una competenza quotidiana che una nicchia.

Le console EDR come CrowdStrike Falcon, SentinelOne o Microsoft Defender for Endpoint completano il quadro. Non le padroneggerai studiando, ma devi riconoscere come appaiono le detection, come funziona l'isolamento e come si costruiscono le timeline di investigazione.

Le piattaforme di ticketing come Jira e ServiceNow tengono il ritmo operativo. Il lavoro SOC senza ticketing disciplinato diventa rapidamente caos, ed è per questo che il tuo background di supporto è davvero utile.

Come È Davvero il Lavoro SOC Tier 1 vs Tier 2

La maggior parte dei primi ruoli sta in Tier 1. Il lavoro è triage di alert: ricevere eventi dal SIEM, validare il contesto, separare rumore e segnale e chiudere come benigno o escalare con un riassunto chiaro. Il successo in Tier 1 dipende soprattutto dalla disciplina, non dalla creatività. Il team ha bisogno che tu gestisca il volume senza perdere precisione.

Tier 2 inizia dove finisce il triage. Le analiste di questo livello prendono le escalation, conducono investigazioni più profonde, correlano evidenze tra endpoint, rete e identità e propongono spesso nuova logica di detection. Tier 2 redige anche report interni e lavora più a stretto contatto con gli incident responder quando un evento diventa un vero incidente.

Non punti a Tier 2 nel primo lavoro. Punti a essere il Tier 1 di cui il Tier 2 si fida.

Categorie Comuni di Alert Che Devi Riconoscere

Un piccolo numero di categorie copre la maggior parte di ciò che vede un SOC junior. Gli eventi legati al phishing dominano, inclusi credential harvesting, click su link sospetti ed email segnalate inoltrate alla casella SOC. Le alert di esecuzione malware vengono dopo, spesso come processi figlio sospetti da applicazioni Office o binari non firmati eseguiti da directory scrivibili dall'utente.

L'attività di brute force compare contro VPN, RDP e identity provider, dove fallimenti ripetuti da una singola sorgente o un pattern di viaggio impossibile fanno scattare una regola. I segnali di movimento laterale sono più sottili, di solito una catena di logon remoti, creazioni di servizi o traffico SMB inusuale tra endpoint utente. Le alert di esfiltrazione dati emergono spesso come trasferimenti in uscita grandi, volumi anomali di upload cloud o indicatori di DNS tunneling.

Se sai descrivere ciascuna di queste categorie in linguaggio chiaro e spiegare quale evidenza raccoglieresti per prima, sei già davanti alla maggior parte dei candidati.

Realtà Salariale: Da Helpdesk a SOC Junior a SOC Senior

Il caso economico di questa transizione è onesto, non drammatico. Le medie EU collocano helpdesk e supporto IT Tier 1 nella fascia EUR 22.000 a 28.000, a seconda di paese e dimensione aziendale. Le analiste SOC junior si attestano tipicamente tra EUR 30.000 e 40.000, con ruoli cloud-heavy o del settore finanziario sopra.

I ruoli SOC senior e lead detection engineering si collocano comunemente nella fascia EUR 55.000 a 75.000 dopo diversi anni, con profili top in industrie regolate al di sopra. Il quadro completo, incluso come tooling, struttura di on-call e certificazioni interagiscono con questi numeri, è trattato in vale la pena il bootcamp.

L'insight rilevante non è la cifra assoluta. È che la traiettoria SOC ha una pendenza più marcata del supporto IT generico, con più leva da certificazioni e capacità di investigazione dimostrata.

Certificazioni Per Cui i Recruiter Filtrano Davvero

I recruiter usano le certificazioni più come filtri che come criteri di decisione. Il primo filtro, soprattutto in EU, è CompTIA Security+. È lo standard d'ingresso che la maggior parte dei sistemi ATS cerca ed è incluso nel bootcamp Unihackers.

Il filtro successivo è CySA+, che si orienta sul workflow d'analista con domande di detection, threat intelligence e response. È il passo naturale quando hai esperienza hands on di cui parlare.

Oltre a CompTIA, due alternative pratiche stanno guadagnando terreno. BTL1 (Blue Team Level 1) di Security Blue Team si concentra su competenze difensive hands on con un esame pratico. CCD (Certified CyberDefender) di Zero Point Security va più in profondità nella metodologia di investigazione. Nessuna sostituisce Security+, ma entrambe possono affinare un CV che ha già le basi.

Come Mostrare Ragionamento, Non Solo Corso Concluso

Ogni recruiter ha visto candidati che hanno finito un bootcamp e si sono fermati lì. I profili che spiccano appaiono diversi sulla carta. Mostrano ragionamento.

Un portfolio utile include dai tre ai cinque writeup brevi di lab in un repository GitHub pubblico. Ogni writeup descrive lo scenario, l'evidenza esaminata, le ipotesi considerate e la conclusione. Il mapping delle tecniche al MITRE ATT&CK alla fine di ogni writeup segnala che parli già il linguaggio operativo usato nei colloqui per SOC analyst.

Un secondo artefatto utile è un quaderno personale di detection. Elenca le categorie di alert che comprendi, le sorgenti dati che usi per validarle e le domande che faresti a un'analista Tier 2 in caso di escalation. Niente di tutto questo richiede strumenti avanzati. Richiede chiarezza.

Il curriculum del bootcamp è progettato per alimentare esattamente questo tipo di evidenza invece di lasciarti con certificati isolati. Combinato con il ritmo qui sopra, è ciò che trasforma un background di supporto IT in una candidatura SOC credibile.