Bu madde henüz onaylanmamıştır.
Güvenlik Operasyon Merkezi (Security Operations Center – SOC), bir kuruluşun bilgi teknolojisi altyapısını 7/24 izleyen, siber güvenlik olaylarını tespit eden, analiz eden ve bunlara müdahale eden merkezi bir yapıdır.【1】 SOC; insan kaynağı, süreç yönetimi ve teknolojik altyapıyı bir araya getirerek siber tehditlere karşı kurumsal savunmayı koordineli biçimde yürütür.
SOC'nin temel işlevi, ağ trafiği, sistem günlükleri (log), uç nokta davranışları ve uygulama etkinlikleri gibi veri kaynaklarını sürekli olarak gözlemlemek; bu verilerden anormal ve şüpheli durumları ayırt etmektir. Tehdit tespitinin ardından analiz, yanıt ve raporlama süreçleri devreye girer. Bu yapı sayesinde kurumlar, siber saldırıların gerçekleşmesi ile tespit edilmesi arasındaki süreyi önemli ölçüde kısaltabilmektedir.
SOC kavramının kökleri, 1990'lı yılların sonlarında kurumsal ağların internete açılmasıyla ortaya çıkan güvenlik gereksinimlerine dayanmaktadır. Bu dönemde şirketler, BT sistemlerini dışarıdan gelen tehditlere karşı korumak amacıyla ilk izleme merkezi yapılarını kurmaya başlamıştır. Başlangıçta ağ altyapısı ile güvenlik işlemlerini bir arada yürüten bu yapılar, zaman içinde birbirinden ayrışmıştır.
2000'li yıllarda artan siber saldırılar, fidye yazılımları ve kurumsal veri ihlalleri, özel güvenlik izleme birimlerine duyulan ihtiyacı belirginleştirmiştir. SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemlerinin gelişimi, SOC'lerin teknolojik altyapısını güçlendirmiş; log korelasyonu ve otomatik alarm üretimi mümkün hâle gelmiştir.【2】 2010'ların ortasından itibaren SOAR (Güvenlik Düzenleme, Otomasyon ve Yanıt) çözümleri SOC süreçlerine entegre edilmiş ve insan müdahalesi gerektiren olayların kapsamı daraltılmıştır. Bulut altyapılarının yaygınlaşmasıyla birlikte sanal ve hibrit SOC modelleri de kurumların gündemine girmiştir.
SOC, kurumun sahip olduğu tüm dijital varlıklardan toplanan veriyi merkezi bir noktada işleyerek güvenlik durumunu değerlendirir. Bu süreç üç temel aşamaya ayrılır: izleme ve tespit, analiz ve sınıflandırma, müdahale ve raporlama.
SOC Temel Çalışma Akışı

Temel bir SOC sürecinin aşamaları: log toplama → korelasyon → alarm → analiz → müdahale (BGA Siber Güvenlik)
SOC ekipleri, güvenlik duvarları, saldırı tespit sistemleri (IDS/IPS), uç nokta güvenlik yazılımları ve ağ cihazlarından üretilen log verilerini SIEM sistemi aracılığıyla merkezi olarak toplar ve analiz eder. SIEM; bu verileri korelasyona tabi tutarak anormal davranış kalıplarını saptayıp otomatik alarmlar üretir. Günümüzdeki gelişmiş SOC yapılarında makine öğrenmesi tabanlı davranış analizi sistemleri de bu sürece entegre edilmektedir.
Üretilen alarmlar, SOC analistleri tarafından değerlendirilerek öncelik sırasına konulur. Analistler, olayın gerçek bir saldırıyı mı yoksa yanlış bir pozitif bildirimi mi temsil ettiğini belirler. Saldırı sinyali taşıyan olaylar için vaka (ticket) oluşturulur ve ilgili seviyedeki analist ya da yöneticiye iletilir. Bu süreçte tehdit istihbarat kaynaklarından yararlanılarak saldırganın amacı ve yöntemi hakkında bağlam oluşturulur.
Onaylanan güvenlik olayları için SOAR sistemleri, önceden tanımlanmış otomasyon akışları çerçevesinde yanıt süreçlerini başlatır; gerektiğinde etkilenen sistemleri ağdan izole eder, ilgili tarafları bilgilendirir ve delil toplama işlemlerini yürütür. Olayın çözüme kavuşmasının ardından ayrıntılı raporlar hazırlanır; bu raporlar hem yöneticilere hem teknik ekiplere sunulur ve gelecekteki önlemlerin belirlenmesinde temel oluşturur.
Bir SOC'nin etkin biçimde işleyebilmesi için çeşitli donanımsal ve yazılımsal bileşenlerin bir arada kullanılması gerekmektedir. Bu bileşenler arasında en kritik olanlar SIEM ve SOAR sistemleridir.
Bir SOC ekibi genellikle hiyerarşik bir yapıda örgütlenir. Kurumun büyüklüğüne bağlı olarak bazı üyeler birden fazla rol üstlenebilir.
SOC'ler, kurumun büyüklüğüne, bütçesine ve güvenlik gereksinimlerine bağlı olarak farklı modellerde oluşturulabilir.
Tüm altyapı, personel ve süreçlerin kurumun kendi bünyesinde yönetildiği modeldir. Kuruma özgü güvenlik politikaları üzerinde tam denetim imkânı sağlar; ancak yüksek yatırım ve işletme maliyeti gerektirir. Büyük ölçekli kuruluşlar ile kritik altyapı işleten kamu kurumları için tercih edilen yapıdır.
Kurum içi uzmanlık veya kaynak eksikliği durumunda, güvenlik operasyonlarının tamamı ya da bir bölümü dışarıdan hizmet sağlayan bir kuruluşa (MSSP) devredilir. Özellikle küçük ve orta ölçekli işletmeler için maliyet etkin bir alternatif oluşturur.
Fiziksel bir tesis olmaksızın, uzaktan çalışan güvenlik uzmanlarından oluşan bir yapıdır. Hem kurum içi hem dış kaynaklı uzmanların kombinasyonuyla oluşturulabilir. Bulut tabanlı güvenlik araçlarının yaygınlaşmasıyla birlikte bu model giderek tercih edilmektedir.
Kurum içi kadro ile dış kaynaklı MSSP desteğinin birlikte kullanıldığı modeldir. Özellikle çalışma saatleri dışındaki izleme süreçlerinin dış kaynakla karşılandığı, mesai saatlerinde ise iç ekibin devreye girdiği esnek bir yapıya olanak tanır.
SOC ile sık karıştırılan bir diğer yapı, Ağ Operasyon Merkezi'dir (Network Operations Center – NOC). NOC'nin temel amacı ağ performansının, bant genişliğinin ve erişilebilirliğin izlenmesidir; ağ kesintilerinin önlenmesi ve çözülmesi NOC'nin sorumluluk alanını oluşturur. SOC ise bu ağ üzerindeki güvenlik durumuna odaklanır: yetkisiz erişim girişimleri, veri sızıntısı, kötü amaçlı yazılım etkinliği gibi güvenlik tehditleri SOC tarafından ele alınır. Her iki yapı da kurumun BT ekosisteminin sağlıklı işleyişi için kritik öneme sahiptir ve büyük çaplı olaylarda işbirliği içinde hareket etmeleri beklenir.
BGA Siber Güvenlik. "SOC Nedir? Çalışma Yapısı ve Faydaları." Erişim 19 Mayıs 2025. https://www.bgasecurity.com
Bulutistan. "SOC (Security Operation Center) Nedir? Çalışma Yapısı ve Faydaları." Erişim 19 Mayıs 2025. https://bulutistan.com/blog/soc
GAIS Security. "SOC Nedir ve SOC Merkezleri Nasıl Çalışır?" Erişim 19 Mayıs 2025. https://www.gaissecurity.com
InfinitumIT. "Güvenlik Operasyon Merkezi (SOC) Nedir?" Erişim 19 Mayıs 2025.https://www.infinitumit.com.tr
Microsoft. "Güvenlik İşlemleri Merkezi (SOC) Nedir?" Microsoft Güvenlik. Erişim 19 Mayıs 2025.https://www.microsoft.com/tr-tr/security
SecNET Digital. "Güvenlik Operasyon Merkezi (SOC)." Erişim 19 Mayıs 2025.https://secnetdigital.com
Henüz Tartışma Girilmemiştir
"SOC Nedir?" maddesi için tartışma başlatın
SOC (Güvenlik Operasyon Merkezi)
Tarihçe ve Gelişim
Temel Çalışma Prensibi
İzleme ve Tespit
Analiz ve Sınıflandırma
Müdahale ve Raporlama
Teknolojik Altyapı
Ekip Yapısı ve Roller
SOC Türleri
Kurum İçi (In-House) SOC
Yönetilen SOC (MSSP – Managed Security Service Provider)
Sanal SOC
Hibrit SOC
SOC ile NOC Arasındaki Fark
Avantajlar
Sınırlılıklar
Bu madde yapay zeka desteği ile üretilmiştir.