badge icon

Bu madde henüz onaylanmamıştır.

Madde
Alıntıla

SOC (Güvenlik Operasyon Merkezi)

Güvenlik Operasyon Merkezi (Security Operations Center – SOC), bir kuruluşun bilgi teknolojisi altyapısını 7/24 izleyen, siber güvenlik olaylarını tespit eden, analiz eden ve bunlara müdahale eden merkezi bir yapıdır.【1】 SOC; insan kaynağı, süreç yönetimi ve teknolojik altyapıyı bir araya getirerek siber tehditlere karşı kurumsal savunmayı koordineli biçimde yürütür.

SOC'nin temel işlevi, ağ trafiği, sistem günlükleri (log), uç nokta davranışları ve uygulama etkinlikleri gibi veri kaynaklarını sürekli olarak gözlemlemek; bu verilerden anormal ve şüpheli durumları ayırt etmektir. Tehdit tespitinin ardından analiz, yanıt ve raporlama süreçleri devreye girer. Bu yapı sayesinde kurumlar, siber saldırıların gerçekleşmesi ile tespit edilmesi arasındaki süreyi önemli ölçüde kısaltabilmektedir.

Tarihçe ve Gelişim

SOC kavramının kökleri, 1990'lı yılların sonlarında kurumsal ağların internete açılmasıyla ortaya çıkan güvenlik gereksinimlerine dayanmaktadır. Bu dönemde şirketler, BT sistemlerini dışarıdan gelen tehditlere karşı korumak amacıyla ilk izleme merkezi yapılarını kurmaya başlamıştır. Başlangıçta ağ altyapısı ile güvenlik işlemlerini bir arada yürüten bu yapılar, zaman içinde birbirinden ayrışmıştır.

2000'li yıllarda artan siber saldırılar, fidye yazılımları ve kurumsal veri ihlalleri, özel güvenlik izleme birimlerine duyulan ihtiyacı belirginleştirmiştir. SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemlerinin gelişimi, SOC'lerin teknolojik altyapısını güçlendirmiş; log korelasyonu ve otomatik alarm üretimi mümkün hâle gelmiştir.【2】 2010'ların ortasından itibaren SOAR (Güvenlik Düzenleme, Otomasyon ve Yanıt) çözümleri SOC süreçlerine entegre edilmiş ve insan müdahalesi gerektiren olayların kapsamı daraltılmıştır. Bulut altyapılarının yaygınlaşmasıyla birlikte sanal ve hibrit SOC modelleri de kurumların gündemine girmiştir.

Temel Çalışma Prensibi

SOC, kurumun sahip olduğu tüm dijital varlıklardan toplanan veriyi merkezi bir noktada işleyerek güvenlik durumunu değerlendirir. Bu süreç üç temel aşamaya ayrılır: izleme ve tespit, analiz ve sınıflandırma, müdahale ve raporlama.

SOC Temel Çalışma Akışı

Temel bir SOC sürecinin aşamaları: log toplama → korelasyon → alarm → analiz → müdahale (BGA Siber Güvenlik)

İzleme ve Tespit

SOC ekipleri, güvenlik duvarları, saldırı tespit sistemleri (IDS/IPS), uç nokta güvenlik yazılımları ve ağ cihazlarından üretilen log verilerini SIEM sistemi aracılığıyla merkezi olarak toplar ve analiz eder. SIEM; bu verileri korelasyona tabi tutarak anormal davranış kalıplarını saptayıp otomatik alarmlar üretir. Günümüzdeki gelişmiş SOC yapılarında makine öğrenmesi tabanlı davranış analizi sistemleri de bu sürece entegre edilmektedir.

Analiz ve Sınıflandırma

Üretilen alarmlar, SOC analistleri tarafından değerlendirilerek öncelik sırasına konulur. Analistler, olayın gerçek bir saldırıyı mı yoksa yanlış bir pozitif bildirimi mi temsil ettiğini belirler. Saldırı sinyali taşıyan olaylar için vaka (ticket) oluşturulur ve ilgili seviyedeki analist ya da yöneticiye iletilir. Bu süreçte tehdit istihbarat kaynaklarından yararlanılarak saldırganın amacı ve yöntemi hakkında bağlam oluşturulur.

Müdahale ve Raporlama

Onaylanan güvenlik olayları için SOAR sistemleri, önceden tanımlanmış otomasyon akışları çerçevesinde yanıt süreçlerini başlatır; gerektiğinde etkilenen sistemleri ağdan izole eder, ilgili tarafları bilgilendirir ve delil toplama işlemlerini yürütür. Olayın çözüme kavuşmasının ardından ayrıntılı raporlar hazırlanır; bu raporlar hem yöneticilere hem teknik ekiplere sunulur ve gelecekteki önlemlerin belirlenmesinde temel oluşturur.

Teknolojik Altyapı

Bir SOC'nin etkin biçimde işleyebilmesi için çeşitli donanımsal ve yazılımsal bileşenlerin bir arada kullanılması gerekmektedir. Bu bileşenler arasında en kritik olanlar SIEM ve SOAR sistemleridir.

  • SIEM (Security Information and Event Management): Farklı kaynaklardan gelen log verilerini toplayarak korelasyon analizi yapar ve anormal etkinliklere karşılık alarmlar üretir. SIEM sistemleri, güvenlik olaylarının merkezi bir noktadan yönetilmesini sağlar.
  • SOAR (Security Orchestration, Automation and Response): Birden fazla güvenlik kaynağından toplanan tehdit verilerini düzenler ve düşük öncelikli olaylara insan müdahalesi olmaksızın otomatik yanıt verilmesini sağlar. SOC ekiplerinin iş yükünü azaltır ve müdahale sürelerini kısaltır.
  • EDR/XDR (Endpoint / Extended Detection and Response): Uç nokta cihazlarındaki etkinlikleri izleyerek tehditleri tespit eden ve yanıt süreçlerini yönetebilen sistemlerdir. XDR, bu işlevi ağ, bulut ve uygulama katmanlarına da genişletir.
  • Tehdit İstihbaratı Platformları: Küresel siber tehdit verilerini toplayarak SOC ekiplerine saldırı yöntemleri ve tehdit aktörleri hakkında öngörüsel bilgi sağlar. APT (Gelişmiş Kalıcı Tehdit) grupları ve sıfır gün açıkları bu kapsamda takip edilir.

Ekip Yapısı ve Roller

Bir SOC ekibi genellikle hiyerarşik bir yapıda örgütlenir. Kurumun büyüklüğüne bağlı olarak bazı üyeler birden fazla rol üstlenebilir.

  • Seviye 1 Analist: Alarmları izleyerek doğruluğunu değerlendirir, öncelik sırası belirler ve gerektiğinde bir üst seviyeye yönlendirir. Ağ güvenliği ve SIEM sistem yetkinliklerine sahip olmalıdır.
  • Seviye 2 Analist: Yüksek öncelikli olayları derinlemesine inceler; kök neden analizi, tehdit avcılığı (threat hunting) ve ağ adli analizi gibi ileri düzey teknikler uygular.
  • Seviye 3 Analist / Uzman: Zararlı yazılım analizi, tersine mühendislik ve kriptanaliz gibi özel yetkinlikler gerektiren olayları ele alır. Sızma testi ve güvenlik değerlendirme çalışmalarına katkıda bulunur.
  • SOC Yöneticisi: Ekibin tüm operasyonlarını denetler; eğitim, işe alım, saldırı süreç yönetimi ve uyumluluk raporlamasından sorumludur. Güçlü liderlik ve iletişim yetkinliklerine sahip olması beklenir.
  • Siber Tehdit İstihbaratı Ekibi: Saldırgan amaçları ve yöntemleri hakkında veri toplayarak SOC ekibine bağlam sağlar; proaktif tehdit modelleri geliştirir.【3】

SOC Türleri

SOC'ler, kurumun büyüklüğüne, bütçesine ve güvenlik gereksinimlerine bağlı olarak farklı modellerde oluşturulabilir.

Kurum İçi (In-House) SOC

Tüm altyapı, personel ve süreçlerin kurumun kendi bünyesinde yönetildiği modeldir. Kuruma özgü güvenlik politikaları üzerinde tam denetim imkânı sağlar; ancak yüksek yatırım ve işletme maliyeti gerektirir. Büyük ölçekli kuruluşlar ile kritik altyapı işleten kamu kurumları için tercih edilen yapıdır.

Yönetilen SOC (MSSP – Managed Security Service Provider)

Kurum içi uzmanlık veya kaynak eksikliği durumunda, güvenlik operasyonlarının tamamı ya da bir bölümü dışarıdan hizmet sağlayan bir kuruluşa (MSSP) devredilir. Özellikle küçük ve orta ölçekli işletmeler için maliyet etkin bir alternatif oluşturur.

Sanal SOC

Fiziksel bir tesis olmaksızın, uzaktan çalışan güvenlik uzmanlarından oluşan bir yapıdır. Hem kurum içi hem dış kaynaklı uzmanların kombinasyonuyla oluşturulabilir. Bulut tabanlı güvenlik araçlarının yaygınlaşmasıyla birlikte bu model giderek tercih edilmektedir.

Hibrit SOC

Kurum içi kadro ile dış kaynaklı MSSP desteğinin birlikte kullanıldığı modeldir. Özellikle çalışma saatleri dışındaki izleme süreçlerinin dış kaynakla karşılandığı, mesai saatlerinde ise iç ekibin devreye girdiği esnek bir yapıya olanak tanır.

SOC ile NOC Arasındaki Fark

SOC ile sık karıştırılan bir diğer yapı, Ağ Operasyon Merkezi'dir (Network Operations Center – NOC). NOC'nin temel amacı ağ performansının, bant genişliğinin ve erişilebilirliğin izlenmesidir; ağ kesintilerinin önlenmesi ve çözülmesi NOC'nin sorumluluk alanını oluşturur. SOC ise bu ağ üzerindeki güvenlik durumuna odaklanır: yetkisiz erişim girişimleri, veri sızıntısı, kötü amaçlı yazılım etkinliği gibi güvenlik tehditleri SOC tarafından ele alınır. Her iki yapı da kurumun BT ekosisteminin sağlıklı işleyişi için kritik öneme sahiptir ve büyük çaplı olaylarda işbirliği içinde hareket etmeleri beklenir.

Avantajlar

  • Sürekli izleme: 7/24 aktif gözetim, olayların kaynağına ve türüne bakılmaksızın anında tespit edilmesini sağlar.
  • Hızlı müdahale: Saldırganın aktif olduğu süre ile kurumun tespit süresi arasındaki fark önemli ölçüde azalır.
  • Merkezi görünürlük: Kurumun tüm BT altyapısı tek bir noktadan izlenerek kapsamlı bir güvenlik görünümü elde edilir.
  • Uyumluluk desteği: Güvenlik standartları (ISO 27001, KVKK, GDPR vb.) ile uyumluluğun sağlanması ve denetim süreçlerinin yönetimi kolaylaşır.
  • Proaktif tehdit yönetimi: Tehdit istihbarat verileriyle desteklenen SOC yapıları, saldırıların gerçekleşmesini engellemek için önceden önlem alabilir.

Sınırlılıklar

  • Yüksek maliyet: Kurum içi SOC kurulumu yüksek yatırım ve sürekli işletme gideri gerektirmektedir.
  • Yetenek açığı: Nitelikli güvenlik analisti bulmak ve elde tutmak zorlaşmakta; özellikle gelişmekte olan ülkelerde uzman insan kaynağı sıkıntısı yaşanmaktadır.
  • Alarm yorgunluğu: SIEM sistemlerinin ürettiği çok sayıda yanlış pozitif alarm, analistlerin dikkatini dağıtabilir ve gerçek tehditlerin gözden kaçmasına yol açabilir.
  • Ölçekleme güçlüğü: Kurumun büyümesiyle birlikte artan veri hacmi ve karmaşık altyapı, SOC kapasitesinin hızla güncellenmesini zorunlu kılar.

Kaynakça

BGA Siber Güvenlik. "SOC Nedir? Çalışma Yapısı ve Faydaları." Erişim 19 Mayıs 2025. https://www.bgasecurity.com

Bulutistan. "SOC (Security Operation Center) Nedir? Çalışma Yapısı ve Faydaları." Erişim 19 Mayıs 2025. https://bulutistan.com/blog/soc

GAIS Security. "SOC Nedir ve SOC Merkezleri Nasıl Çalışır?" Erişim 19 Mayıs 2025. https://www.gaissecurity.com

InfinitumIT. "Güvenlik Operasyon Merkezi (SOC) Nedir?" Erişim 19 Mayıs 2025.https://www.infinitumit.com.tr

Microsoft. "Güvenlik İşlemleri Merkezi (SOC) Nedir?" Microsoft Güvenlik. Erişim 19 Mayıs 2025.https://www.microsoft.com/tr-tr/security

SecNET Digital. "Güvenlik Operasyon Merkezi (SOC)." Erişim 19 Mayıs 2025.https://secnetdigital.com

Ayrıca Bakınız

Yazarın Önerileri

Yazar Bilgileri

Avatar
YazarFerhat Obuz19 Mayıs 2026 23:35

Etiketler

Tartışmalar

Henüz Tartışma Girilmemiştir

"SOC Nedir?" maddesi için tartışma başlatın

Tartışmaları Görüntüle

İçindekiler

  • SOC (Güvenlik Operasyon Merkezi)

  • Tarihçe ve Gelişim

  • Temel Çalışma Prensibi

    • İzleme ve Tespit

    • Analiz ve Sınıflandırma

    • Müdahale ve Raporlama

  • Teknolojik Altyapı

  • Ekip Yapısı ve Roller

  • SOC Türleri

    • Kurum İçi (In-House) SOC

    • Yönetilen SOC (MSSP – Managed Security Service Provider)

    • Sanal SOC

    • Hibrit SOC

  • SOC ile NOC Arasındaki Fark

  • Avantajlar

  • Sınırlılıklar

Bu madde yapay zeka desteği ile üretilmiştir.

KÜRE'ye Sor