“亲爱的莱斯利，

我在MSSP安全运营中心（SOC）工作了几个月，这是我的第一份网络安全工作。工作很单调，我只能使用几个SIEM工具，我所做的大部分工作都是在尴尬的轮班中独自处理大量客户的重复门票。我不知道这是不是很糟糕，或者如果这是一个售票场，我应该退出？

–疲惫不堪的农民“

亲爱的Tired：，

在每一个领域，都有一种诱惑，让年长的人回顾我们最消极的经历，并告诉年少的人“吸取教训”，因为我们经历了同样的事情。这通常是荒谬和有害的——我们应该一直努力为下一代创造更好的生活。SOC今天的工作应该比过去更好。也就是说，初级SOC工作有好有坏，工作环境也有好有差。

入门级SOC工作的重点是学习和发展您的业务和网络安全技能和曝光度。这必然会带来低级工作的负面影响——例如，SOC工作通常需要零星轮班和假期工作。即使有良好的自动化和流程，也可能会重复进行，因为作为初级人员，你有着以流程和升级形式进行的坚定的培训。我不想假装，即使在2021年，SOC的工作仍然是令人兴奋和新颖的。它不是。这需要去做，而且在很多方面，它今天比以前更吸引人，但有时它仍然很单调。

在SOC工作的1-3年中，你应该从中获得很多关于网络安全监控中正常和异常的经验，流程是如何工作的，以及它们为什么存在的。你还应该通过训练和影子训练来提高你的技能，为进入下一层或细分市场做准备。

这适用于每个人，尤其是年轻人，你应该知道作为专业人士你想在哪里进步。SOC中的一份工作有望让您接触到高级人员执行的各种安全任务和角色，以便您可以进一步调整此计划。我在博客中写了更多关于职业规划的内容关于网络安全管理和期望。最重要的是，你应该问问自己，通过在当前职位上接受的正式和非正式培训和指导，你是否有望实现目标。

如果你没有步入正轨，或者你不知道自己是否步入正轨呢？在一个没有辱骂或敌意的环境中，你应该在考虑辞职之前与你的经理进行礼貌但坦率的谈话。他们知道你的目标吗？他们是否打算帮助您在合理的时间内联系他们？他们对你和你的进步的期望是否有明确的记录并且可以实现？如果没有一个明确的书面计划来说明你将如何达到下一个水平，那么这时你可能想开始评估你当前角色在更大的职业规划中的价值。

这种便利化可能是什么样子的？好吧，一个好的管理者应该尽可能为你的个人学习风格做出合理的让步。然而，培训和接触可能在不同的组织中以不同的形式出现。正式培训和认证、内部培训、1:1辅导和工作跟踪都是知识传授和为下一个角色做好准备的有效方法。组织选择哪一种可能取决于物流、价格和偏好。在任何健康的环境中，其中一些事情都应该成为您记录的绩效目标的一部分。

最后，让我们围绕2021年的SOC工作本身展开讨论。很久以前，当我在SOC工作时，我的工作涉及监控和调整许多IOC和静态规则。如今，规模适中的SOC应该利用更先进的工具来有效地调整警报、脚本分析、关注噪声静态警报的行为，并尽可能通过协调处理常见问题。这东西十年前还没有，但现在肯定有了。仍有票务封送工作要做，还有大量电话和电子邮件要处理，但如果您不断以相同的方式尝试相同的事件，则会出现流程问题。还应该更多地关注主动威胁搜索，这意味着利用分析员根据可信的假设，检测自动化工具无法检测到的新活动。对手越来越擅长躲避机器检测。

因此，总之，SOC工作可能有点臭。在圣诞节上夜班并不是一件轻松愉快的事情，因为一些原因，有很多平凡的、非常流程化的工作分配给了年轻人。然而，雇用初级人员的目标应该是既要在无法自动化的地方完成工作，又要在合理的时间内培训这些初级人员成为高级人员。如果你觉得自己没有走上实现下一层或目标的轨道，那么是时候与你的经理讨论一下让你实现目标的计划，并将其写下来。如果这仍然不起作用，那么你可能处于一个不健康的票务农场，是时候权衡一下你的选择了。