SOC Nedir?

SOC (Security Operations Center), yani Güvenlik Operasyonları Merkezi, bilgi güvenliği olaylarının izlenmesi, tespit edilmesi ve müdahale edilmesine adanmış bir yapıdır. Haftanın 7 günü, günün 24 saati çalışan SOC, bir kuruluşun siber savunmasının merkezi sinir sistemidir. Güvenlik analistlerini, teknolojik araçları ve yapılandırılmış süreçleri bir araya getirerek sürekli koruma sağlar.

Gözetim ekranlarıyla donatılmış kontrol odası

SOC yalnızca pasif bir şekilde izleme yapmakla yetinmez: güvenlik olaylarını aktif olarak analiz eder, uyarıları ilişkilendirir, şüpheli olayları araştırır ve doğrulanmış tehditlere karşı müdahaleyi koordine eder. Amacı, bir tehdidin tespit edilmesi ile etkisiz hale getirilmesi arasındaki süreyi kısaltmaktır — MTTD (Ortalama Tespit Süresi) ve MTTR (Ortalama Müdahale Süresi) olarak bilinen kritik göstergeler.

SIEM: SOC'un Teknolojik Beyni

SIEM (Security Information and Event Management), SOC'un merkezi teknolojik platformudur. Altyapıdaki tüm sistemlerden — güvenlik duvarları, sunucular, iş istasyonları, uygulamalar, ağ cihazları, bulut çözümleri — gelen olay günlüklerini (log) toplar, normalize eder ve ilişkilendirir.

SIEM'in Temel İşlevleri

  • Merkezi toplama — Tüm kaynaklardan gelen logların tek bir noktada birleştirilmesi ve analizi kolaylaştırmak için format normalizasyonu
  • Olay korelasyonu — Korelasyon kuralları, farklı kaynaklardan gelen görünüşte zararsız olayları ilişkilendirerek karmaşık saldırı kalıplarını tespit eder
  • Anomali tespiti — Makine öğrenimi algoritmaları, belirlenen temel çizgiye göre sapma gösteren davranışları tanımlar
  • Gerçek zamanlı uyarılar — Kritiklik ve bağlama göre önceliklendirilmiş uyarılar oluşturularak analistlerin en ciddi tehditlere odaklanması sağlanır
  • Adli bilişim araştırması — Logların uzun süreli saklanması ve bir olayın seyrini izlemek için gelişmiş arama araçları
  • Gösterge panelleri ve raporlar — Güvenlik durumunun gerçek zamanlı görselleştirilmesi ve uyumluluk raporlarının oluşturulması

Modern Bir SOC'un Mimarisi

Etkin bir SOC, birden fazla seviyede (tier) organize edilir:

Tier 1: Triyaj Analistleri

Birinci seviye analistler, SIEM uyarılarını sürekli olarak izler. Görevleri, her bir uyarıyı hızla nitelendirmektir: yanlış pozitif, doğrulanmış olay veya eskalasyon gereksinimi. Yaygın senaryolar için standart operasyonel prosedürleri (playbook) takip ederler.

Tier 2: Araştırma Analistleri

İkinci seviye analistler, Tier 1 tarafından eskalasyon yapılan olayları üstlenir. Derinlemesine araştırma yürütür, teknik kanıtları ilişkilendirir ve güvenlik ihlalinin kapsamını belirler. Kapsama alma ve düzeltme önlemleri önerirler.

Tier 3: İleri Düzey Uzmanlar

Üçüncü seviye uzmanlar, karmaşık olaylarda ve gelişmiş kalıcı tehditlerde (APT) devreye girer. Tehdit avı (threat hunting) yapar, zararlı yazılım analizi gerçekleştirir ve yeni tespit kuralları geliştirir.

SOAR: SOC Hizmetinde Otomasyon

SOAR (Security Orchestration, Automation and Response) platformları, olay müdahalesindeki tekrarlayan görevleri otomatikleştirerek SIEM'i tamamlar. Bir SOAR playbook'u, örneğin enfekte bir iş istasyonunu ağdan otomatik olarak izole edebilir, güvenlik duvarında kötü amaçlı bir IP adresini engelleyebilir ve nöbetçi ekibi bilgilendirebilir — tüm bunları saniyeler içinde gerçekleştirir.

Bilgi güvenliği gösterge paneli

Otomasyon, MTTR'yi önemli ölçüde azaltmaya ve analistleri mekanik görevlerden kurtararak analiz ve araştırmaya odaklanmalarını sağlamaya olanak tanır.

Kurum İçi SOC ve Dış Kaynaklı SOC (MSSP) Karşılaştırması

Kuruluşlar, kurum içi bir SOC kurmak veya yönetilen güvenlik hizmeti sağlayıcısına (MSSP) başvurmak arasında seçim yapabilir:

Kurum İçi SOC

Avantajları: iş bağlamının derinlemesine bilinmesi, hızlı müdahale, tam kontrol. Dezavantajları: yüksek maliyet (7/24 nitelikli personel, teknolojiler, sürekli eğitim), rekabetçi bir piyasada işe alım zorluğu.

Dış Kaynaklı SOC (MSSP)

Avantajları: paylaşımlı maliyet, anında erişilebilen uzmanlık, garantili 7/24 kapsam. Dezavantajları: müşteri bağlamının daha az bilinmesi, hizmet sağlayıcıya bağımlılık, veri gizliliği sorunları.

Hibrit Model

Giderek daha fazla kuruluş hibrit bir modeli benimsemektedir: küçük bir iç güvenlik ekibi, sürekli izlemeyi sağlayan bir MSSP ile işbirliği içinde çalışır. Bu yaklaşım her iki modelin avantajlarını birleştirir.

SOC Performans Göstergeleri

Bir SOC'un etkinliği çeşitli KPI'lar aracılığıyla ölçülür:

Gerçek zamanlı izleme ekranları
  • MTTD — Ortalama olay tespit süresi (hedef: 24 saatten az)
  • MTTR — Ortalama müdahale ve çözüm süresi (kritik olaylar için hedef: 4 saatten az)
  • Yanlış pozitif oranı — İlgisiz uyarıların yüzdesi (hedef: %30'dan az)
  • Tespit kapsamı — MITRE ATT&CK çerçevesindeki saldırı tekniklerinin tespit kuralları tarafından kapsanma yüzdesi
  • İşlenen olay sayısı — Dönem başına nitelendirilen ve çözülen olay hacmi

Sonuç

Sürekli gelişen bir tehdit ortamında, kesintisiz izleme kapasitesine sahip olmak artık bir lüks değil, bir zorunluluktur. İster kurum içi, ister dış kaynaklı veya hibrit olsun, iyi yapılandırılmış ve performanslı bir SIEM ile donatılmış bir SOC, siber saldırılara karşı en güçlü savunmadır. Yatırım önemli olsa da, eylemsizliğin maliyeti kıyaslanamayacak kadar yüksektir.