Security Analyst (Аналитик информационной безопасности) непрерывно мониторит события ИБ в SIEM-системах. Например, он работает с ArcSight, MaxPatrol SIEM или Kaspersky Unified. Кроме того, аналитик глубоко изучает корреляцию событий. Он выявляет аномалии и потенциальные инциденты. Затем специалист проводит первичное расследование. При необходимости он эскалирует инциденты выше. Также аналитик использует Threat Intelligence. Он опирается на фреймворк MITRE ATT&CK. Также в ход идёт платформа MISP. Благодаря этому возможен проактивный поиск угроз. Далее, специалист тесно взаимодействует с командой реагирования (CSIRT). Он помогает им с данными и контекстом. Помимо этого, аналитик ведёт подробную документацию. Аналитик информационной безопасности фиксирует все шаги и выводы. Также он собирает метрики по инцидентам. Обязательно знание сетевых протоколов (TCP/IP, HTTP, DNS). И конечно — понимание тактик и техник злоумышленников. В итоге, Security Analyst — это «глаза и уши» всей системы безопасности компании.