SOC Nedir

SOC (Security Operations Center), siber güvenlik tehditlerini izleyen, tespit eden, analiz eden ve bunlara müdahale eden bir güvenlik operasyon merkezidir.

SOC Modelleri

Bir organizasyonun siber güvenlik operasyonlarını nasıl yönettiğini belirleyen yapıdır.

1. Dedicated SOC: Şirketin kendi içinde kurduğu ve yönettiği SOC modelidir. Tüm güvenlik operasyonları şirketin kendi çalışanları tarafından yönetilir.

2. Virtual SOC (V-SOC- Sanal SOC): Fiziksel bir SOC merkezi olmadan, uzaktan yönetilen ve bulut tabanlı çalışan bir SOC modelidir.

3. Co-Managed SOC (Hibrit- Ortak Yönetilen SOC): Şirket içi SOC ekibi ile dışarıdan alınan bir siber güvenlik hizmeti (MSSP) kombinasyonudur. Kritik süreçler şirket içinde yönetilirken, diğer operasyonlar dış kaynaklara bırakılır.

4. Command SOC (Komuta SOC): Birden fazla SOC ekibini yöneten üst düzey bir merkezi SOC sistemidir. Genellikle büyük ölçekli veya uluslararası kuruluşlar tarafından kullanılır.

Soc rolleri

1. SOC Analisti: SOC Analisti yapısına göre “Tier 1”, “Tier 2” ve “Tier 3” olarak kategorize edilebilir.

1.a Tier 1- SOC Analist: SIEM sistemlerini izler, alarmları değerlendirir ve kritik olanları üst seviyeye iletir. Splunk, QRadar, ELK Stack, Sentinel, Wireshark gibi araçlar kullanır.

1.b Tier 2 (L2)- Incident Responder: L1’den gelen şüpheli olayları detaylı inceler ve bu olayların gerçekten bir saldırı olup olmadığını doğrular. Eğer saldırı varsa, müdahale eder (Cihazı izole etmek, kötü amaçlı yazılımı kaldırmak vb.). APT (Advanced Persistent Threat) gibi gelişmiş saldırılar için Tier 3’e iletir.

1.c Tier 3 (L3)- Threat Hunter & Forensics: Ağ içerisinde gizlenmiş saldırganları ve gelişmiş tehditleri proaktif olarak tespit etmeye odaklanır. Bu uzmanlar, zararlı yazılımları analiz ederek tersine mühendislik (reverse engineering) uygular ve saldırı yöntemlerini detaylı bir şekilde inceler. Özellikle APT (Advanced Persistent Threat) saldırılarını belirlemek için tehdit istihbaratı kaynaklarını ve Dark Web analizlerini kullanarak potansiyel riskleri önceden tahmin etmeye çalışırlar.

2. Security Engineer: Security Engineer, organizasyonun güvenlik altyapısını yöneten teknik uzmandır. SOC’nin güvenlik araçlarını (SIEM, EDR, IDS/IPS vb.) yapılandırır ve sürekli optimizasyon yapar.

3. SOC Manager: Güvenlik operasyon merkezinin genel işleyişinden sorumlu olup, tehdit yönetimi süreçlerini denetler ve stratejik kararlar alır. SOC ekibinin performansını takip eder.

SOC rolleri, organizasyonun büyüklüğüne ve genel güvenlik stratejisine bağlı olarak farklılık gösterebilir. Her şirket, kendi risk yönetimi anlayışına ve operasyonel ihtiyaçlarına göre SOC ekiplerini ve süreçlerini şekillendirir. Bu yüzden SOC’deki görev dağılımları ve sorumluluklar her şirkette birebir aynı olmayabilir. Bazı organizasyonlar ekstra roller eklerken, bazıları belirli görevleri birleştirebilir.