Как стать Blue Team специалистом с нуля: roadmap
Что такое Blue Team — и чем она отличается от SOC
Blue Team — это защитная сторона кибербезопасности. Пока Red Team имитирует атаки, Blue Team выстраивает и поддерживает оборону: обнаруживает угрозы, реагирует на инциденты, строит правила обнаружения и исследует атаки после их завершения. Это не одна должность — это целая экосистема ролей.
Два понятия, которые постоянно путают: SOC и Blue Team. SOC (Security Operations Center) — это операционный центр мониторинга, конкретная функция или команда, которая разбирает алерты в режиме реального времени. Blue Team — понятие шире. В неё входят SOC-аналитики всех уровней, но также Threat Hunter'ы, DFIR-специалисты, Detection Engineer'ы, Security Engineer'ы и TI-аналитики. Иначе говоря: SOC — часть Blue Team, но Blue Team не ограничивается SOC.
💡 Если вас интересует именно карьера SOC-аналитика — читайте отдельный материал: «Как стать аналитиком SOC с нуля». Этот roadmap — про более широкий Blue Team путь.
Реалистичный горизонт для входа на первую позицию с нуля — 10–14 месяцев при занятиях 10–15 часов в неделю. Если уже есть сетевая или системная база — вдвое быстрее. Большинство маршрутов в Blue Team стартуют с одной точки: L1 SOC-аналитик — и именно под этот сценарий выстроен roadmap ниже.
Кто может стать Blue Team специалистом: три пути входа
В Blue Team приходят разными дорогами. Нет единственно правильного маршрута — есть несколько рабочих сценариев в зависимости от стартовой точки.
Из ИТ-смежных профессий: сисадмин, сетевик, разработчик
Самый короткий путь. Если вы администрировали Windows или Linux, настраивали сети, писали скрипты — у вас уже больше половины фундамента. Нужно добавить понимание того, как злоумышленник использует инфраструктуру, и освоить SIEM. Типичный срок: 4–6 месяцев целенаправленной подготовки до первого оффера.
Из других направлений ИБ
Работаете в аудите, compliance или GRC? Переход в Blue Team потребует прокачки технической части. Понимание нормативной базы и процессов уже есть — нужно добавить практику с инцидентами, освоить SIEM и базовую форензику. Срок: 5–8 месяцев при регулярных занятиях.
С нуля без ИТ-опыта
Реально — но честно: самый длинный путь. 10–14 месяцев структурированной подготовки — минимальный горизонт. Зато он хорошо спланирован, и именно для этого сценария выстроен roadmap ниже. Главное — не перескакивать фазы и не гнаться за сертификатами раньше времени.
Roadmap за 12 месяцев: 4 фазы
Фаза 1 (месяцы 1–3): фундамент
Прежде чем разбирать атаки — нужно понять, что именно атакуют. Этот этап закладывает базу, без которой любой следующий шаг висит в воздухе.
Сети: модель OSI, TCP/IP, DNS, HTTP/S, DHCP, SMTP, SMB — как данные ходят по сети и где злоумышленник может их перехватить. ОС: Windows (Event Viewer, реестр, PowerShell, Active Directory) и Linux (bash, syslog, управление процессами). Основы ИБ: CIA-триада, типы угроз, Kill Chain, базовая криптография.
Ресурсы: Cisco NetAcad — Networking Basics (бесплатно), TryHackMe — Pre-Security и Introduction to Cybersecurity, Professor Messer — CompTIA Network+ на YouTube.
🎯 Результат фазы 1: домашняя лаборатория в VirtualBox/VMware, анализ трафика в Wireshark, уверенная работа в командной строке Windows и Linux.
Фаза 2 (месяцы 4–6): ядро Blue Team
Здесь начинается специализация. Главная задача — понять, как работает SIEM, научиться читать логи и разобраться в MITRE ATT&CK. Это ядро повседневной работы любого специалиста Blue Team, независимо от конкретной роли.
SIEM: Splunk (бесплатный trial + Splunk Fundamentals 1), Wazuh (open source, идеален для лаборатории), Microsoft Sentinel. Логи: Windows Event IDs — 4624, 4625, 4688, 4698, 7045 — обязательный минимум; Sysmon; Linux syslog. MITRE ATT&CK: изучите 15–20 наиболее частых техник — Phishing, Valid Accounts, Lateral Movement, Data Exfiltration, Persistence.
Ресурсы: Splunk Boss of the SOC (BOTS) — датасеты реальных инцидентов; LetsDefend.io — симулятор очереди алертов; MITRE ATT&CK Navigator на attack.mitre.org.
🎯 Результат фазы 2: базовые поисковые запросы в Splunk, понимание структуры события безопасности, умение сопоставить алерт с техникой из ATT&CK.
Фаза 3 (месяцы 7–9): практика и инструменты
Теория без практики — мёртвый груз. На этом этапе переходите к hands-on работе с реальными инцидентами. Параллельно начинаете строить портфолио — всё, что разобрали на платформах, фиксируется в GitHub.
Форензика: Volatility (анализ памяти), Autopsy (файловая система), Wireshark (PCAP). Threat Intelligence: VirusTotal, ANY.RUN, понимание IOC — IP, домен, хеш, URL. Incident Response: цикл Preparation → Detection → Containment → Eradication → Recovery → Lessons Learned. Скриптинг: Python — «написать парсер логов», PowerShell — автоматизация триажа.
Ресурсы: TryHackMe — SOC Level 1; Cyberdefenders.org — форензика-сценарии с PCAP и дампами памяти; BlueTeamLabs.online — задачи по расследованию.
🎯 Результат фазы 3: 20+ практических кейсов на платформах, умение исследовать дамп памяти и анализировать подозрительный файл в песочнице. Это уже материал для портфолио.
Фаза 4 (месяцы 10–12): сертификаты, портфолио, первая работа
Финальный аккорд. Сертификат здесь работает в полную силу — за ним стоит реальная практика, а не просто просмотренные курсы. Работодатель видит не бумагу, а человека, который умеет работать с инцидентами.
Портфолио: GitHub с write-ups расследований, SIEM-запросы собственного авторства, скрипты на Python или PowerShell, 1–2 технические заметки. Публичная демонстрация мышления ценится выше списка курсов.
Где искать работу: Junior/L1 SOC-аналитик в аутсорсинговых MSSP-компаниях, интеграторах ИБ, корпоративных SOC банков и телекомов. Многие берут стажёров без опыта при наличии BTL1 или Security+ и видимого портфолио.
Что проверяют на первом собеседовании
L1-позиции не требуют знания всего стека. Работодатель берёт человека на обучение — не готового Senior-специалиста. Вот что реально проверяют:
| Область | Что спрашивают |
|---|---|
| Сети | Как работает DNS, чем TCP отличается от UDP, что такое TCP-handshake |
| Логи Windows | Event ID 4625 — что означает, как отличить нормальный вход от подозрительного |
| SIEM | Базовый поиск в Splunk или ELK, что такое корреляционное правило |
| Атаки | Фишинг, lateral movement, privilege escalation — концептуальный уровень |
| MITRE ATT&CK | Что такое TTP, как фреймворк используется в ежедневной работе аналитика |
| Форензика | Что такое IOC, как проверить подозрительный файл, что такое PCAP |
💡 Не бойтесь сказать «не знаю» — сразу объясняйте, как бы нашли ответ. Работодатель оценивает мышление и готовность учиться, а не энциклопедическую память.
Сертификаты для старта: BTL1, Security+, CySA+
Сертификат без практики — дорогая бумага. С практикой — весомый аргумент для работодателя. Два-три практических сертификата сильнее семи теоретических. Не гонитесь за количеством.
BTL1 — Blue Team Labs Level 1
Практический экзамен: 24-часовое расследование реального инцидента. Никаких тестов с вариантами ответов — только работа в SIEM, форензика, анализ трафика, Threat Intelligence. Именно поэтому BTL1 ценится работодателями: это не проверка памяти, а подтверждение реальных навыков. Идеальный первый сертификат для входа в Blue Team.
CompTIA Security+
Широко признан, особенно в международных компаниях. Теоретический, но охватывает весь фундамент ИБ. Хорошо сочетается с BTL1: Security+ подтверждает знания, BTL1 — практику. Вместе они закрывают большинство требований к Junior-позициям.
CompTIA CySA+
Следующая ступень после Security+. Ориентирован на аналитику: обнаружение угроз, реагирование, работа с уязвимостями. Подходит для перехода с L1 на L2 или специализации в Threat Intelligence и Vulnerability Management.
Карьерная лестница: грейды и зарплаты в России
Войдя через L1 SOC, карьера в Blue Team разветвляется. Вертикальный рост — не единственный вариант. Из L2 SOC уходят в Threat Intelligence, из L3 — в Detection Engineering, из DFIR — в Malware Analysis. Каждый шаг вглубь или вширь увеличивает ценность специалиста на рынке.
| Грейд | Роль | Зарплата (₽/мес.) | Опыт |
|---|---|---|---|
| Junior / L1 | SOC-аналитик L1 | 100 000 – 140 000 | 0–1 год |
| Middle / L2 | SOC-аналитик L2 | 180 000 – 260 000 | 1–3 года |
| Senior / L3 | SOC L3 / Threat Hunter | 280 000 – 380 000 | 3–5 лет |
| Expert | DFIR / Detection Eng. | 320 000 – 430 000 | 5+ лет |
| Lead | SOC Manager / Team Lead | 400 000+ | 6+ лет |
💡 Подробнее о ролях, обязанностях и зарплатах — в материале «Кто такой Blue Team специалист: роли, зарплата, карьера».
Частые ошибки при входе в профессию
❌ Начинать с сертификатов без практики. BTL1 и Security+ — финальный аккорд подготовки, а не старт. Сначала практика, потом экзамен. Иначе получите бумагу, но не навыки — и работодатель это почувствует на первом же техническом вопросе.
❌ Изучать только теорию без домашней лаборатории. Настройка Wazuh, виртуальная машина с Windows, первый разобранный алерт в SIEM — это даёт больше понимания, чем 10 просмотренных курсов вместе взятых. Лаборатория — не опция, а обязательный элемент подготовки.
❌ Ждать «достаточного» уровня перед откликом на вакансии. L1-позиции — это и есть точка входа. Начинайте откликаться с 9–10 месяца подготовки. Работодатели берут человека с потенциалом, а не с энциклопедическим багажом.
❌ Путать Blue Team с SOC и ставить неправильную цель. Если хотите именно роль аналитика мониторинга — изучите «Как стать аналитиком SOC с нуля». Этот roadmap шире — для тех, кто смотрит на Threat Hunting, DFIR или Detection Engineering как следующий шаг.
❌ Гнаться за количеством сертификатов. Семь теоретических курсов без практики слабее, чем BTL1 плюс портфолио с реальными write-ups. Глубина важнее ширины — особенно на входе в профессию.
Где учиться и что делать прямо сейчас
Самостоятельный путь через TryHackMe и Cyberdefenders — рабочий вариант. Но структурированный курс сокращает его вдвое: вместо хаотичного поиска материалов вы получаете последовательную программу с практикой, обратной связью и понятным горизонтом результата.
Где учиться Blue Team?
Собрали курсы по Blue Team с разбивкой по уровням: от первых шагов в SOC до Threat Hunting, DFIR и Detection Engineering.
Смотреть курсы по Blue Team →