SOC Analyst

Il SOC Analyst H24 opera in prima linea all’interno del Security Operations Centre, occupandosi del monitoraggio, dell’analisi e dell’escalation degli eventi di sicurezza su ambienti cliente eterogenei. Lavora a stretto contatto con Senior e Lead SOC Analyst, ricevendo supporto continuo e partecipando ad attività di investigazione collaborativa.

Nel ruolo vengono utilizzate piattaforme e tecnologie moderne di SIEM, EDR/XDR, SOAR e Threat Intelligence per comprendere cosa è accaduto, come si è sviluppata un’attività malevola e quali azioni correttive o di contenimento siano necessarie. Il percorso prevede formazione strutturata, affiancamento operativo e coinvolgimento diretto su incidenti reali, con l’obiettivo di accelerare la crescita tecnica e professionale.

La risorsa entrerà a far parte di un SOC maturo e in continua evoluzione, guidato da professionisti con un forte background tecnico. L’ambiente di lavoro è collaborativo, pragmatico e orientato al miglioramento continuo, valorizzando il contributo di ogni membro del team.

Cerchiamo persone motivate, orientate ai risultati e con una forte attitudine analitica. Il candidato ideale è organizzato, metodico e in grado di lavorare efficacemente in un team dinamico e strutturato su turni.

Detect & Investigate

• Monitorare e analizzare alert di sicurezza provenienti da piattaforme SIEM, EDR/XDR, soluzioni di sicurezza email e web.

• Investigare attività sospette e valutarne la criticità e la necessità di escalation.

• Applicare runbook, playbook e procedure operative del SOC.

• Ricostruire timeline chiare degli eventi e mantenere una documentazione accurata delle investigazioni.

• Escalare i casi complessi a Senior e Lead Analyst fornendo un contesto tecnico completo.

• Analizzare output di vulnerability management e fornire un primo contributo alla prioritizzazione del rischio.

Hunt & Improve

• Partecipare ad attività di threat hunting guidate e proattive.

• Contribuire al miglioramento di use case di detection, dashboard e runbook.

• Supportare le attività di test, tuning e validazione di nuove logiche di rilevamento.

Collaborazione e Comunicazione

• Redigere report e aggiornamenti chiari e strutturati per clienti e stakeholder interni.

• Partecipare attivamente ai passaggi di consegne tra turni per garantire continuità operativa.

Requisiti Minimi

• Almeno 1 anno di esperienza in un Security Operations Centre (SOC), oppure

• Almeno 3 anni di esperienza in ruoli infrastrutturali, sistemistici o networking con esposizione a tematiche di sicurezza.

• Esperienza nell’analisi e nella gestione di alert di sicurezza.

• Conoscenza dei comportamenti degli attaccanti, delle TTP e delle principali catene di attacco (es. phishing seguito da esecuzione di script o binari).

• Capacità di individuare indicatori di compromissione quali processi anomali, connessioni di rete sospette, attività di login irregolari o modifiche ai file.

• Esperienza pratica con almeno una piattaforma di sicurezza (SIEM, EDR o XDR).

• Familiarità con sistemi di ticketing (es. ServiceNow, JIRA o equivalenti).

• Conoscenza di base della linea di comando in ambienti Windows e Unix-like.

• Comprensione dei log di Windows, dei log di autenticazione e dei process tree di base.

• Conoscenza dei principali protocolli di rete (DNS, HTTP/S, SMB, LDAP).

• Conoscenza operativa di ambienti Windows, Linux e macOS.

• Familiarità con il framework MITRE ATT&CK e capacità di distinguere attività amministrative legittime da comportamenti sospetti.

Requisiti Preferenziali

• Esperienza con piattaforme SIEM enterprise (es. Splunk, Google SecOps o equivalenti).

• Esperienza con soluzioni EDR/XDR (es. Cortex XDR, CrowdStrike, SentinelOne o simili).

• Capacità di effettuare query di base tramite linguaggi come KQL, SPL, XQL o equivalenti.

• Conoscenza dei concetti di Threat Intelligence e della loro applicazione nelle investigazioni.

• Conoscenze di scripting o programmazione (qualsiasi linguaggio è considerato un plus, non obbligatorio).