Uyum & Yönetim

SOC (Güvenlik Operasyon Merkezi)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Büyük bir şirkete sızan saldırgan ortalama haftalarca fark edilmeden kalır — SOC'un tek görevi bu süreyi dakikalara indirmektir.

Giriş

Bir kurumu 7/24 izleyen, tehditleri yakalayan ve müdahale eden merkezi güvenlik birimini tanıyacağız.

Anlatım

NEDİR? SOC (Security Operations Center / Güvenlik Operasyon Merkezi), bir kurumun bilgi sistemlerini, ağlarını ve uygulamalarını kesintisiz (7/24) izleyen, siber tehditleri tespit eden, analiz eden ve bunlara müdahale eden merkezi ekip ve teknoloji bütünüdür. SOC hem fiziksel/sanal bir birim (insanlar) hem de bir yetenektir (süreç + teknoloji). Tek bir araç değil; insan, süreç ve teknolojinin bir araya geldiği bir savunma fonksiyonudur. NASIL ÇALIŞIR? 1) Toplama: Sunucu, ağ cihazı, uç nokta (endpoint), güvenlik duvarı ve uygulamalardan gelen log ve olay kayıtları merkezi bir SIEM (Security Information and Event Management) sistemine akıtılır. 2) Korelasyon ve tespit: SIEM, kurallar ve davranış analiziyle bu kayıtları ilişkilendirir; anormal veya kötü niyetli aktiviteyi bir uyarı (alert) olarak yükseltir. 3) Triyaj: SOC analistleri (genelde L1/L2/L3 kademeli) uyarıyı inceler, gerçek tehdit mi yoksa yanlış pozitif (false positive) mi olduğunu ayırt eder. 4) Müdahale: Doğrulanan olay, olay müdahale (incident response) sürecine girer — etkilenen sistem izole edilir, zararlı erişim kesilir, kanıt toplanır ve kök neden bulunur. 5) İyileştirme: Olaydan çıkarılan dersler tespit kurallarına ve süreçlere geri beslenir (sürekli iyileşme döngüsü). NEDEN ÖNEMLİ / İŞ YERİNDE Saldırıların erken yakalanması, saldırganın sistemde kaldığı süreyi (dwell time) kısaltır; bu da veri sızıntısının boyutunu ve maliyetini doğrudan düşürür. SOC, MTTD (ortalama tespit süresi) ve MTTR (ortalama müdahale süresi) gibi ölçütlerle performansını takip eder. KVKK, ISO 27001 ve benzeri uyum çerçeveleri sürekli izleme ve olay yönetimi bekler; SOC bu yükümlülüğün operasyonel karşılığıdır. Kurumlar SOC'u kendi içinde kurabileceği gibi dışarıdan hizmet olarak (MSSP / yönetilen SOC) da alabilir. DİKKAT / İYİ UYGULAMA SOC sadece teknoloji satın almakla kurulmaz; iyi tanımlanmış prosedürler (playbook), eğitimli analistler ve düzenli tatbikat şarttır. Uyarı yorgunluğu (alert fatigue) gerçek bir risktir: çok fazla düşük değerli uyarı, kritik olanın gözden kaçmasına yol açar — bu yüzden kurallar sürekli ayarlanmalı ve otomasyon (SOAR) ile tekrarlayan işler azaltılmalıdır.

📌 Senaryolar
📌 Örnek 1: Gece 03:00'te bir çalışan hesabı, normalde hiç bağlanmadığı yurt dışı bir IP'den ve kısa süre içinde yüzlerce dosya indiriyor. Açıklama: SIEM bu coğrafi anomali + olağandışı veri erişimini korele edip uyarı üretir. SOC analisti triyaj yapar, hesabın ele geçirildiğini doğrular, oturumu sonlandırır ve hesabı kilitleyerek olası veri sızıntısını dakikalar içinde durdurur.
📌 Örnek 2: Bir KOBİ kendi 7/24 ekibini kuracak bütçeye sahip değildir; bunun yerine yönetilen SOC (MSSP) hizmeti satın alır. Açıklama: Loglar hizmet sağlayıcının SIEM'ine akar, sağlayıcının analistleri izler ve kritik bir olayda kurumu uyararak müdahale önerisi sunar. Böylece küçük şirket de 7/24 izleme yeteneğine erişir.
📌 Örnek 3: SOC, son bir ayda en çok tekrarlayan 'başarısız oturum açma' uyarılarının çoğunun yanlış pozitif olduğunu fark eder. Açıklama: Analistler tespit kuralını ayarlar (örn. eşik değerini ve istisnaları günceller). Bu, uyarı yorgunluğunu azaltır ve ekibin dikkatini gerçek tehditlere yönlendirir — sürekli iyileştirme döngüsünün tipik bir örneğidir.
Özet

• SOC = kurumu 7/24 izleyen, tehdit tespit eden ve müdahale eden merkezi insan + süreç + teknoloji bütünüdür. • Kalbinde SIEM (log toplama + korelasyon) ve kademeli (L1/L2/L3) analist ekibi bulunur. • Amaç: saldırganın sistemde kaldığı süreyi (dwell time) kısaltıp MTTD/MTTR ölçütlerini düşürmek. • Kurum içinde kurulabilir veya dışarıdan yönetilen SOC (MSSP) olarak alınabilir.

✅ Mini-Test (3)
1.SOC (Güvenlik Operasyon Merkezi) en doğru şekilde nasıl tanımlanır?
2.SOC'ta logları toplayıp olayları ilişkilendirerek (korelasyon) uyarı üreten temel sistem hangisidir?
3.SOC'un temel amaçlarından biri, saldırganın sistemde fark edilmeden kaldığı süreyi (dwell time) kısaltmaktır.
← Tüm sözlük terimleri · Farkındalık eğitimi