SOC Analyst

Orario di lavoro: Possibile turnazione H24 (inclusi notturni, weekend e festivi). È richiesta flessibilità in caso di incidenti critici

Il SOC Analyst H24 opera in prima linea all’interno del Security Operations Centre, occupandosi del monitoraggio, dell’analisi e dell’escalation degli eventi di sicurezza su ambienti cliente eterogenei. Lavora a stretto contatto con Senior e Lead SOC Analyst, ricevendo supporto continuo e partecipando ad attività di investigazione collaborativa.

Nel ruolo vengono utilizzate piattaforme e tecnologie moderne di SIEM, EDR/XDR, SOAR e Threat Intelligence per comprendere cosa è accaduto, come si è sviluppata un’attività malevola e quali azioni correttive o di contenimento siano necessarie. Il percorso prevede formazione strutturata, affiancamento operativo e coinvolgimento diretto su incidenti reali, con l’obiettivo di accelerare la crescita tecnica e professionale.

La risorsa entrerà a far parte di un SOC maturo e in continua evoluzione, guidato da professionisti con un forte background tecnico. L’ambiente di lavoro è collaborativo, pragmatico e orientato al miglioramento continuo, valorizzando il contributo di ogni membro del team.

Cerchiamo persone motivate, orientate ai risultati e con una forte attitudine analitica. Il candidato ideale è organizzato, metodico e in grado di lavorare efficacemente in un team dinamico e strutturato su turni.

Monitorare e analizzare alert di sicurezza provenienti da piattaforme SIEM, EDR/XDR, soluzioni di sicurezza email e web.

Investigare attività sospette e valutarne la criticità e la necessità di escalation.

Applicare runbook, playbook e procedure operative del SOC.

Ricostruire timeline chiare degli eventi e mantenere una documentazione accurata delle investigazioni.

Escalare i casi complessi a Senior e Lead Analyst fornendo un contesto tecnico completo.

Analizzare output di vulnerability management e fornire un primo contributo alla prioritizzazione del rischio.

Partecipare ad attività di threat hunting guidate e proattive.

Contribuire al miglioramento di use case di detection, dashboard e runbook.

Supportare le attività di test, tuning e validazione di nuove logiche di rilevamento.

Collaborazione e Comunicazione

Redigere report e aggiornamenti chiari e strutturati per clienti e stakeholder interni.

Partecipare attivamente ai passaggi di consegne tra turni per garantire continuità operativa.

Almeno 1 anno di esperienza in un Security Operations Centre (SOC), oppure

Almeno 3 anni di esperienza in ruoli infrastrutturali, sistemistici o networking con esposizione a tematiche di sicurezza.

Esperienza nell’analisi e nella gestione di alert di sicurezza.

Conoscenza dei comportamenti degli attaccanti, delle TTP e delle principali catene di attacco (es. phishing seguito da esecuzione di script o binari).

Capacità di individuare indicatori di compromissione quali processi anomali, connessioni di rete sospette, attività di login irregolari o modifiche ai file.

Esperienza pratica con almeno una piattaforma di sicurezza (SIEM, EDR o XDR).

Familiarità con sistemi di ticketing (es. Service Now, JIRA o equivalenti).

Conoscenza di base della linea di comando in ambienti Windows e Unix-like.

Comprensione dei log di Windows, dei log di autenticazione e dei process tree di base.

Conoscenza dei principali protocolli di rete (DNS, HTTP/S, SMB, LDAP).

Conoscenza operativa di ambienti Windows, Linux e macOS.

Familiarità con il framework MITRE ATT&CK e capacità di distinguere attività amministrative legittime da comportamenti sospetti.

Requisiti Preferenziali

Esperienza con piattaforme SIEM enterprise (es. Splunk, Google Sec Ops o equivalenti).

Esperienza con soluzioni EDR/XDR (es. Cortex XDR, Crowd Strike, Sentinel One o simili).

Capacità di effettuare query di base tramite linguaggi come KQL, SPL, XQL o equivalenti.

Conoscenza dei concetti di Threat Intelligence e della loro applicazione nelle investigazioni.

Conoscenze di scripting o programmazione (qualsiasi linguaggio è considerato un plus, non obbligatorio).