DEV Community: Feyza Nur Dandal

SOC Mimarisi ve Bileşenleri

Feyza Nur Dandal — Mon, 15 Jun 2026 18:33:27 +0000

English | Türkçe

SOC Architecture & Core Components: Building the Technical Defense Stack

A Security Operations Center (SOC) relies on an integrated ecosystem of technologies designed to provide layered visibility and rapid response capabilities. Instead of treating security tools as isolated silos, a modern SOC connects them into a continuous lifecycle of data collection, ingestion, analysis, and containment.

Below is the technical breakdown of a standard enterprise SOC architecture and its fundamental components.

1. The Data Collection & Ingestion Layer

This layer serves as the telemetry source for the entire SOC. Security data (logs, events, and network metadata) is harvested from every asset across the infrastructure.

Primary Telemetry Sources:

Network Infrastructure: Firewalls, routers, switches, internal IDS/IPS appliances, and VPN gateways.
Server Infrastructure: Windows Event Logs (Security/Sysmon), Linux Syslog, web servers (Apache, Nginx, IIS), and database audit trails.
Endpoints: Laptops, desktops, and workstations—predominantly monitored via telemetry agents.
Cloud Infrastructure: Native cloud logs such as AWS CloudTrail/GuardDuty, Azure Activity Logs, and GCP Cloud Logging.
Identity & Access Management (IAM): Active Directory logs, Okta, and Azure AD events tracking authentication, privilege escalations, and modifications.
Threat Intelligence Feeds: External repositories tracking known malicious IP addresses, command-and-control (C2) domains, file hashes, and adversary signatures.

2. Centralized Correlation Engine: SIEM

The SIEM (Security Information and Event Management) platform functions as the central log aggregation and correlation hub of the architecture. It ingests billions of raw logs daily, normalizing them into a readable schema.

Core Workflows:

Aggregation & Normalization: Converting disparate log formats from hundreds of vendors into a standardized framework (e.g., Common Event Format - CEF) for cross-analysis.
Correlation Rules: Mapping multiple unrelated events together using pre-defined detection logic or machine learning behavioral models.
Alerting: Triggering an active alert for tier-1 analysts to review when a correlation rule matches malicious behavior.

[Multiple Failed Logins on AD] + [Massive Inbound Traffic from TOR Node] 
                                    |
                            (SIEM Correlation)
                                    |
                        ============V============
                        [ALERT: Brute-Force/Spray]

Industry Standards: Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security (ELK), and Wazuh (Open Source).

3. Automation and Orchestration: SOAR

SOAR (Security Orchestration, Automation, and Response) platforms bridge the gap between detection and mitigation. They increase operational efficiency by replacing repetitive manual tasks with programmatic workflows.

Core Workflows:

Orchestration: Binding API connections between separate security tools (e.g., telling a Firewall to block an IP because an EDR found a threat).
Playbook Automation: Executing deterministic scripts based on incoming alert categories.

[Incoming SIEM Alert] ---> [SOAR Playbook Triggered]
                                   |
            +----------------------+----------------------+
            |                                             |
[Query VirusTotal/TIP via API]               [Isolate Host via EDR API]
            |                                             |
[If Malicious -> Update Firewall Blocklist]  [Generate Jira Ticket & Assign Analyst]

Industry Standards: Palo Alto Cortex XSOAR, Splunk SOAR, Shuffle (Open Source), and TheHive.

4. Deep Visibility: EDR and NDR

While a SIEM provides general visibility across the environment, EDR and NDR supply high-resolution data on the network and host levels.

EDR (Endpoint Detection and Response)

EDR solutions monitor granular endpoint activities—including process execution loops, network connections, memory utilization, and local file modifications. It detects behavioral anomalies and memory injection attempts that regular antiviruses miss.

Why it matters: Most modern cyber attacks target endpoint endpoints to establish initial access. EDR provides the capability to trace parent-child process chains and isolate compromised hosts from the local subnet.
Industry Standards: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, and Wazuh.

NDR (Network Detection and Response)

NDR solutions continuously inspect raw packet captures (PCAP) and flow data (NetFlow) spanning both north-south and east-west internal traffic. It identifies network-level anomalies, lateral movement, and unauthorized exfiltration channels.

Why it matters: NDR tracks threats across unmanaged segments, legacy mainframes, or IoT networks where installing an EDR agent is technically impossible.
Industry Standards: Darktrace, ExtraHop, Vectra AI, Zeek (Open Source), and Suricata.

5. Proactive Intel: Threat Intelligence Platforms (TIP)

A TIP aggregates, sanitizes, and deduplicates cyber threat intelligence data collected from commercial feeds, open-source communities (OSINT), and government channels.

SOC Architecture Integration:

The TIP injects raw Indicators of Compromise (IoCs) and adversary Tactics, Techniques, and Procedures (TTPs) into detection tools. For instance, the platform pushes known operational ransomware C2 infrastructure directly into the SIEM, allowing it to instantly flag outbound beacons.

Industry Standards: Anomali, ThreatQuotient, and MISP (Open Source).

SOC Mimarisi ve Bileşenleri: Teknik Savunma Altyapısını Kurgulamak

Modern bir Güvenlik Operasyon Merkezi'nin (SOC) başarısı, birbiriyle entegre çalışan ve katmanlı görünürlük sağlayan teknolojik bileşenlere bağlıdır. Modern bir SOC mimarisi, güvenlik araçlarını yalıtılmış adalar olarak konumlandırmak yerine; veri toplama, analiz, otomasyon ve müdahale süreçlerini tek bir yaşam döngüsünde birleştirir.

Aşağıda, kurumsal bir modern SOC mimarisinin katmanları ve bu katmanları oluşturan temel bileşenler teknik detaylarıyla ele alınmıştır.

1. Veri Toplama Katmanı (Telemetri ve Ingestion)

Bu katman, SOC mimarisinin veri kaynağıdır. Organizasyon altyapısındaki tüm varlıklardan anlamlı güvenlik verileri, loglar ve telemetri metadatası bu alanda toplanır.

Temel Telemetri Kaynakları:

Ağ Cihazları: Güvenlik duvarları (Firewall), yönlendiriciler, anahtarlar, iç ağ koruma sistemleri (IDS/IPS) ve VPN geçitleri.
Sunucu Altyapısı: Windows Olay Günlükleri (Security ve Sysmon logları), Linux Syslog verileri, web sunucu erişim logları (Apache, Nginx, IIS) ve veritabanı denetim (audit) kayıtları.
Uç Noktalar (Endpoints): Kullanıcı bilgisayarları ve iş istasyonları (Genellikle üzerlerinde çalışan ajanlar vasıtasıyla veri üretirler).
Bulut Altyapıları: Bulut ortamlarındaki yerel log mekanizmaları (AWS CloudTrail/GuardDuty, Azure Activity Logs, GCP Cloud Logging).
Kimlik ve Erişim Yönetimi (IAM): Active Directory, Okta veya Azure AD üzerindeki başarılı/başarısız oturum açma, yetki yükseltme ve hesap değişiklik logları.
Tehdit İstihbaratı Akışları (Threat Intel Feeds): Bilinen zararlı IP adresleri, komuta kontrol (C2) alan adları, dosya hash bilgileri ve saldırgan imzalarını barındıran harici veri akışları.

2. Merkezi Analiz ve Korelasyon Merkezi: SIEM

SIEM (Security Information and Event Management) platformu, tüm mimarinin merkezi log toplama ve anlamlandırma merkezidir. Farklı kaynaklardan gelen milyarlarca satır ham logu tek bir şemaya indirger (normalizasyon) ve analiz eder.

Temel Fonksiyonları:

Log Yönetimi ve Normalizasyon: Farklı üreticilerin ürettiği log formatlarını ortak bir standart dile (Örn: Common Event Format - CEF) dönüştürerek analiz edilebilir hale getirmek.
Korelasyon Kuralları: Önceden tanımlanmış mantıksal kurallar veya makine öğrenimi modelleri kullanarak bağımsız olaylar arasında bağ kurmak.
Alarm Üretimi: Bir korelasyon kuralı tetiklendiğinde analistlerin ekranına inceleme kaydı (alert) düşürmek.

[AD Üzerinde Kısa Sürede Başarısız Girişler] + [TOR Ağından Gelen İç Trafik]
                                       |
                              (SIEM Korelasyonu)
                                       |
                           ============V============
                           [ALARM: Brute-Force/Spray]

Sektör Standartları: Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security (ELK) ve Wazuh (Açık Kaynak).

3. Müdahalenin Otomasyonu ve Orkestrasyonu: SOAR

SOAR (Security Orchestration, Automation, and Response) platformları, tespit edilen tehdit ile müdahale arasındaki süreyi kısaltır. Tekrarlayan manuel analist görevlerini yazılımsal iş akışlarına (playbook) devrederek operasyonel verimlilik sağlar.

Temel Fonksiyonları:

Orkestrasyon: Farklı güvenlik araçları arasında API'ler vasıtasıyla köprü kurmak (Örn: SIEM'den aldığı alarm doğrultusunda Firewall'a kural yazmak).
Playbook Otomasyonu: Gelen alarm tipine göre önceden tanımlanmış senaryoları insan müdahalesi olmadan çalıştırmak.

[Gelen SIEM Alarmı] ---> [SOAR Playbook Tetiklenmesi]
                                    |
            +-----------------------+-----------------------+
            |                                               |
[API ile Tehdit İstihbaratı Sorgusu]            [EDR API'si ile Host İzolasyonu]
            |                                               |
[Zararlı ise -> Firewall'a IP Engelleme]        [Jira Case Açılması ve Analist Ataması]

Sektör Standartları: Palo Alto Cortex XSOAR, Splunk SOAR, Shuffle (Açık Kaynak) ve TheHive.

4. Uç Nokta ve Ağ Görünürlüğü: EDR ve NDR

SIEM platformu tüm altyapıyı makro düzeyde izlerken; EDR ve NDR katmanları, ağın ve uç noktaların mikro düzeyde derinlemesine incelenmesini sağlar.

EDR (Endpoint Detection and Response)

Uç noktalarda (sunucu, bilgisayar) çalışan prosesleri, bellek hareketlerini, ağ bağlantılarını ve dosya sistemi değişikliklerini anlık olarak kaydeder. Geleneksel antivirüs sistemlerinin imza tabanlı yapısını aşan "dosyasız" (fileless) saldırıları ve davranışsal anomalileri tespit eder.

Neden Kritik? Saldırıların büyük kısmı uç noktalardan başlar. EDR, saldırganın sızdığı sistemde ne tür işlemler yürüttüğünü (parent-child process) görmeyi ve gerektiğinde cihazı ağdan izole etmeyi (containment) sağlar.
Sektör Standartları: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint ve Wazuh.

NDR (Network Detection and Response)

Ağ trafiğini (kuzey-güney ve doğu-batı) paket bazlı (PCAP) ve akış bazlı (NetFlow) olarak sürekli analiz eder. Şifreli trafik analizleri de dahil olmak üzere ağ seviyesindeki anormallikleri inceler.

Neden Kritik? Üzerine EDR ajanı kurulamayan IoT cihazlarını, ağa bağlı yönetilmeyen bilgisayarları izlemek ve saldırganların ağ içi yatay hareketlerini (lateral movement) yakalamak için en etkili çözümdür.
Sektör Standartları: Darktrace, ExtraHop, Vectra AI, Zeek (Açık Kaynak) ve Suricata.

5. Proaktif Tehdit Yönetimi: Tehdit İstihbaratı Platformu (TIP)

TIP, ticari kaynaklardan, topluluk ağlarından (OSINT) ve resmi kurumlardan gelen siber tehdit verilerini (IoC ve TTP) tek bir havuzda toplayan, temizleyen ve yöneten sistemdir.

SOC Mimarisine Entegrasyonu:

TIP, elde ettiği güncel zararlı adres ve aktör verilerini SIEM, EDR ve Firewall gibi aktif sistemlere besler. Örneğin, güncel bir fidye yazılımı (ransomware) kampanyasına ait C2 IP adresleri TIP üzerinden SIEM'e aktarıldığında, iç ağdan bu adreslere doğru giden bir bağlantı denemesi anında yakalanır.

Sektör Standartları: Anomali, ThreatQuotient ve MISP (Açık Kaynak).

SOC Mimarileri: En Uygun Güvenlik Operasyon Merkezi Modelini Seçmek

Feyza Nur Dandal — Mon, 15 Jun 2026 16:18:43 +0000

English | Türkçe

SOC Architecture: Choosing the Right Security Operations Center Model for Your Organization

In today’s modern cyber threat landscape, organizations have moved past the question of "Will I be attacked?" and are now focused on "How fast will I detect it when I am?" This is precisely where a Security Operations Center (SOC) comes into play.

However, building a SOC is not just about purchasing the most expensive SIEM/SOAR licenses or setting up giant screens in a dedicated room. The first and most critical strategic decision depends on the organization's budget, human resources, regulatory compliance requirements (GDPR, KVKK, etc.), and risk appetite: choosing the right operational model.

In this article, we dive deep into the three main SOC models accepted in the cybersecurity ecosystem—In-House, Outsourced, and Hybrid—by examining their architecture, technical processes, and current industry trends.

1. In-House (Dedicated) SOC Model

"For Those Who Want Absolute Control"

In the In-House SOC model, an organization builds and operates a 24/7 autonomous cyber fortress using its own internal staff, dedicated technology stack, and custom-tailored internal processes.

[Log Sources] ---> [Internal SIEM / Data Lake] ---> [Your Own SOC Analysts (T1/T2/T3)]
|
[Internal Incident Response (IR)]

Technical Architecture & Operations

Human Resources: The entire team, ranging from Tier 1 analysts and Threat Hunters to DFIR (Digital Forensics & Incident Response) specialists and SOC architects, consists of full-time, internal employees.
Technology Stack: Designing the architecture (on-premise or cloud), licensing, configuring, and maintaining security systems like SIEM, SOAR, EDR/XDR, and NDR are completely managed by the internal team.
Process Management: Playbooks (analysis and response procedures) are built from scratch to fit the specific workflows of the business (e.g., custom processes tailored for banking transactions or e-commerce payment gateways).

Pros & Cons

(+) Perfect Contextual Awareness: The internal team understands the network deeply. They know exactly which server is critical and which traffic looks anomalous but is actually normal business activity, drastically reducing false positives.
(+) Data Sovereignty & Privacy: Critical logs and sensitive data never leave the organization's boundaries. This is the safest harbor for heavily regulated industries.
(-) Alert Fatigue & Talent Shortage: Running a 24/7 shift schedule often leads to analyst burnout. Furthermore, due to the high turnover rate in cybersecurity, retaining specialized talent requires continuous financial investment.
(-) Tunnel Vision: The team only witnesses threats directly targeting their own organization, missing out on broader, global threat trends emerging across the industry.

2. Outsourced SOC (Managed SOC / SOC-as-a-Service)

"For Speed, Scalability, and Predictable Costs"

In this model, the cyber defense line is outsourced to a Managed Security Service Provider (MSSP) or an MDR (Managed Detection and Response) vendor whose core business is security operations.

[Internal Agents/Logs] --(Secure Tunnel/VPN)--> [MSSP/Cloud SIEM] ---> [Shared MSSP Analysts]
|
[Alert/Action Call to Client]

Technical Architecture & Operations

SLA-Driven Operations: The heart of this operation beats around Service Level Agreements (SLAs). The timeframe for detecting an alert (MTTD - Mean Time to Detect) and escalating it (MTTR - Mean Time to Respond/React) is legally bound by contracts.
Data Flow: Logs gathered from internal firewalls, Active Directory, and EDR agents are securely forwarded (usually via cloud gateways) to the MSSP’s central SIEM platform.
Multi-Tenant Architecture: MSSP analysts monitor security events from hundreds of different clients simultaneously using a single pane of glass powered by massive multi-tenant correlation engines.

Pros & Cons

(+) Global Threat Intelligence: Because MSSPs ingest data from thousands of endpoints worldwide, a zero-day attack discovered at Client A allows them to instantly deploy IoCs (Indicators of Compromise) to protect you.
(+) Plug-and-Play Setup: Instead of spending millions on upfront hardware and licenses, companies can achieve 24/7 monitoring within weeks through an predictable OpEx (Operational Expenditure) subscription model.
(-) Operational Blindness: External analysts cannot inherently know if a midnight script execution is a dangerous attack or just an IT administrator running a routine database maintenance task. This often leads to higher false positive rates.
(-) Response Delays (The Triaging Border): The MSSP detects the threat and opens a critical ticket stating, "You have active ransomware, isolate the host." The time elapsed between sending that alert and your internal IT team taking physical action can sometimes result in significant damage.

3. The Hybrid SOC Model

"The Best of Both Worlds Approach"

This is the most popular and pragmatic model among modern mid-to-large-scale organizations today. The objective is simple: delegate routine, high-volume tier-1 alert filtering to an external partner while keeping high-context strategic decisions internal.

+---> [Tier 1: Routine Alerts & Triaging] ----> (MSSP / Outsourced)
|
[Shared SIEM / XDR Platform] -----+
|
+---> [Tier 2/3: Threat Hunting & IR] --------= (Internal Team)

Technical Architecture & Operations

Layered Role Distribution: * Tier 1 (First Level Analysis): Handled by the MSSP team. They filter out the daily noise from thousands of logs.
Tier 2 & Tier 3 (Deep Analysis & IR): Handled by the internal core team. They take over the "escalated" high-severity alerts from the MSSP and initiate active defense.
Shared Visibility: Usually, a shared Cloud SIEM or XDR platform is deployed. Both the company's internal analysts and the MSSP's analysts log into the same screen, eliminating operational silos.

Pros & Cons

(+) Strategic Focus: Your specialized internal analysts don't waste hours chasing basic phishing emails or routine brute-force attempts; instead, they focus strictly on proactive Threat Hunting and architecture hardening.
(+) Optimized Spending: The operational burden of maintaining 24/7 shift rotations falls on the MSSP, while the corporation only invests heavily in a highly skilled, smaller core team.
(-) Management Complexity: If communication channels and responsibility matrixes (like a RACI matrix) are not crystal clear, the two teams might hesitate during a major crisis, resulting in costly delays.

Conclusion: Which Model Should You Choose?

Selecting a SOC model is fundamentally a strategic business decision rather than a purely technical one.

Criterion	In-House	Managed SOC (Outsourced)	Hybrid
Budget Requirements	Very High (CapEx)	Low / Medium (OpEx)	Balanced / Optimized
Deployment Time	1 - 2 Years	A Few Weeks	A Few Months
Regulatory Compliance	Excellent	May Raise Questions	High
Threat Visibility	Narrow (Internal Only)	Broad (Global Insights)	Balanced
Control Level	100% Internal	Bound by MSSP Limits	Shared Control

Go with In-House if you are a massive enterprise (such as banking, defense, or healthcare) handling high-stakes data and requiring absolute operational control with an ample budget.
Go with Managed SOC if you are a small-to-medium business lacking a dedicated cybersecurity budget but needing to satisfy compliance requirements quickly and cost-effectively.
Go with Hybrid if you already have a small internal security team but struggle to maintain around-the-clock 24/7 monitoring coverage.

SOC Modelleri: Kurumunuza En Uygun Güvenlik Operasyon Merkezi Modelini Seçmek

Modern siber tehdit ortamında, bir organizasyonun "Saldırıya uğrayacak mıyım?" sorusunu çoktan geçip "Saldırıya uğradığımda ne kadar hızlı fark edeceğim?" aşamasına gelmesi gerekiyor. İşte bu noktada devreye Güvenlik Operasyon Merkezleri (SOC) giriyor.

Ancak bir SOC kurmak sadece en pahalı SIEM/SOAR lisansını almak ya da bir odaya dev ekranlar yerleştirmekten ibaret değildir. İlk ve en kritik stratejik karar, organizasyonun bütçesine, insan kaynağına, yasal uyumluluk (KVKK, GDPR, BDDK vb.) süreçlerine ve risk iştahına uygun operasyonel modeli seçmektir.

Bu yazıda, modern siber güvenlik ekosisteminde kabul görmüş üç ana SOC modelini (Kurum İçi, Dış Kaynaklı ve Hibrit) mimari, teknik süreçler ve güncel sektör trendleri ışığında masaya yatırıyoruz.

1. Kurum İçi (In-House / Dedicated) SOC Modeli

"Tüm Direksiyon Benim Elimde Olsun" Diyenler İçin

Kurum İçi SOC modelinde organizasyon; kendi personeli, kendi teknoloji stack'i ve tamamen kendi kültürüne göre optimize edilmiş süreçleriyle 7/24 yaşayan, bağımsız bir siber kale inşa eder.

[Log Kaynakları] ---> [Kurum İçi SIEM / Veri Gölü] ---> [Kendi SOC Analistleriniz (T1/T2/T3)]
|
[Kurum İçi Olay Müdahale (IR)]

Teknik Mimarisi ve İşleyişi

İnsan Kaynağı: Tier 1 analistlerden Tehdit Avcılarına (Threat Hunters), DFIR (Adli Bilişim ve Olay Müdahale) uzmanlarından SOC mimarlarına kadar tüm ekip kurumun bordrolu çalışanlarından oluşur.
Teknoloji Stack'i: SIEM, SOAR, EDR/XDR, NDR ve Log Yönetimi araçlarının lisanslanması, on-premise ya da cloud ortamda mimari tasarımı, kuralların (Sigma, YARA vb.) yazılması ve bakımı tamamen iç ekibin sorumluluğundadır.
Süreç Yönetimi: Playbook'lar (analiz prosedürleri), kurumun iş kollarına özel olarak (örneğin bir bankanın swift süreçlerine veya bir e-ticaret sitesinin ödeme geçidine özel) terzi usulü dikilir.

Avantajlar & Dezavantajlar

(+) Kusursuz Kurumsal Bağlam (Context): İç ekip, networkteki hangi sunucunun kritik olduğunu, hangi trafiğin "normal anormal" (false positive) olduğunu dış bir gözden çok daha iyi bilir.
(+) Veri Egemenliği ve Gizlilik: Kritik loglar and ham veriler kurum sınırlarının dışına çıkmaz. Sıkı regülasyonlara tabi sektörler için en güvenli limandır.
(-) "Alert Fatigue" (Uyarı Yorgunluğu) ve İnsan Kaynağı Krizi: 7/24 vardiya dönen analistlerin burnout (tükenmişlik) yaşaması çok yaygındır. Ayrıca siber güvenlik uzmanı sirkülasyonunun çok yüksek olduğu günümüzde, ekibi elde tutmak devasa bir maliyettir.
(-) Tünel Vizyonu (Sınırlı Bakış Açısı): Ekip sadece kendi kurumuna gelen saldırıları görür. Sektörde dönen küresel tehdit dalgalarını yakalamakta gecikebilir.

2. Dış Kaynaklı SOC (Managed SOC / SOC-as-a-Service)

"Hız, Ölçeklenebilirlik ve Öngörülebilir Maliyet" Arayanlar İçin

Bu modelde siber savunma hattı, bu işi core-business (ana iş kolu) olarak yapan bir Müşterek Güvenlik Hizmeti Sağlayıcısına (MSSP) veya MDR (Managed Detection and Response) firmasına emanet edilir.

[Kurum İçi Ajanlar/Loglar] --(Güvenli Tünel/VPN)--> [MSSP/Cloud SIEM] ---> [Müşterek MSSP Analistleri]
|
[Müşteriye Alarm/Aksiyon Çağrısı]

Teknik Mimarisi ve İşleyişi

SLA (Hizmet Seviyesi Anlaşması) Odaklılık: Operasyonun kalbi SLA'lerdir. Bir uyarının ne kadar sürede analiz edileceği (MTTD - Ortalama Tespit Süresi) ve müdahale edileceği (MTTR - Ortalama Müdahale Süresi) sözleşmelerle net çizgilerle belirlenir.
Veri Akışı: Kurum içi firewall, AD, EDR gibi sistemlerden toplanan loglar, güvenli kanallarla (genelde cloud tabanlı) MSSP'nin merkezi SIEM sistemine aktarılır.
Çoklu Kiracılı (Multi-Tenant) Mimari: MSSP analistleri tek bir ekrandan (Single Pane of Glass) yüzlerce farklı müşterinin alarmını core-korelasyon kuralları vasıtasıyla izler.

Avantajlar & Dezavantajlar

(+) Küresel Tehdit İstihbaratı Grafiği: MSSP, X sektöründeki bir müşterisine yapılan yeni nesil bir oday saldırısını (Zero-Day) tespit ettiği an, edindiği IoC'ler (Indication of Compromise) ile sizin sistemlerinizi de anında koruma altına alabilir.
(+) Tak-Çalıştır Hızı ve Finansal Kolaylık: Milyon dolarlık donanım ve lisans yatırımı yerine, aylık/yıllık "OpEx" (Operasyonel Harcama) modeliyle birkaç hafta içinde 7/24 izlemeye geçilir.
(-) Kurumsal Dinamiklere Körlük: Dışarıdaki analist, gece yarısı sunucuda çalışan bir betiğin (script) sistem yöneticisinin rutin bir işi mi yoksa bir hacker aktivitesi mi olduğunu ayırt etmekte zorlanabilir. Bu da yüksek oranda False Positive veya daha kötüsü False Negative (gözden kaçan gerçek tehdit) demektir.
(-) Gecikmeli Müdahale (Triyaj Sınırı): MSSP saldırıyı görür, analiz eder ve size "Sisteminizde ransomware aktivitesi var, izole edin" diye bilet açar. Ancak o bileti açıp sizin iç ekibin aksiyon almasına kadar geçen süre (Time-to-Respond) bazen kritik zararlara yol açabilir.

3. Hibrit (Hybrid) SOC Modeli

En Best-of-Both-Worlds Yaklaşımı

Bugün orta ve büyük ölçekli modern organizasyonların en çok tercih ettiği, pragmatik modeldir. Amaç; rutin, tekrarlayan ve yorucu işleri dış kaynağa delege ederken; kritik kararları ve derin analizleri içeride tutmaktır.

+---> [Tier 1: Rutin Alarmlar & Triyaj] -------> (MSSP / Dış Kaynak)
|
[Ortak SIEM / XDR Platformu] -----+
|
+---> [Tier 2/3: Tehdit Avcılığı & IR] --------> (Kurum İçi Ekip)

Teknik Mimarisi ve İşleyişi

Katmanlı Rol Dağılımı: * Tier 1 (İlk Seviye Analiz): MSSP ekibi üstlenir. 7/24 akan binlerce logu eler, gürültüyü temizler.
Tier 2 & Tier 3 (Derin Analiz & Olay Müdahale): Kurum içi çekirdek ekip üstlenir. MSSP'den gelen "Escalated" (yükseltilmiş) nitelikli alarmları alıp kurum içinde aktif defansa geçerler.
Ortak Görünürlük (Shared Platform): Genellikle ortak bir Cloud SIEM ya da XDR platformu kurulur. Hem kurumun kendi analisti hem de dış kaynak analisti aynı ekrana bakar, böylece operasyonel kopukluk yaşanmaz.

Avantajlar & Dezavantajlar

(+) Stratejik Odaklanma: Kurum içi uzman analistleriniz, bütün gün phishing mailleri veya başarısız brute-force denemelerini incelemekle vakit kaybetmez; doğrudan Tehdit Avcılığı (Threat Hunting) ve proaktif sıkılaştırmaya odaklanır.
(+) Optimize Maliyet: 7/24 vardiya döndürmenin getirdiği operasyonel yükü MSSP sırtlanırken, kurum sadece nitelikli çekirdek kadroya yatırım yapar.
(-) Yönetimsel Karmaşıklık (RACI Matrisi İhtiyacı): Kimin nereden sorumlu olduğu (Hangi alarmı kim inceleyecek? Aksiyonu kim alacak?) çok net çizilmezse, kriz anında iki ekip birbirinin yüzüne bakabilir. Güçlü bir koordinasyon mimarisi şarttır.

Sonuç: Hangi Modeli Seçmeli?

SOC modeli seçimi teknik bir karardan ziyade, tamamen kurumsal bir strateji og olgunluk kararıdır.

Kriter	Kurum İçi (In-House)	Dış Kaynaklı (Managed)	Hibrit (Hybrid)
Bütçe İhtiyacı	Çok Yüksek (CapEx)	Düşük / Orta (OpEx)	Dengeli / Optimize
Kurulum Süresi	1 - 2 Yıl	Birkaç Hafta	Birkaç Ay
Regülasyon Uyumu	Mükemmel	Soru İşaretleri Olabilir	Yüksek
Görünürlük Genişliği	Dar (Sadece Kurum içi)	Çok Geniş (Global)	Dengeli
Kontrol Seviyesi	%100 Kurumda	MSSP Sınırlarında	Paylaşımlı Kontrol

Eğer kritik finansal verilere sahip holding seviyesinde bir yapıysanız Kurum İçi; siber güvenlik ekibi kuracak bütçesi olmayan ve hızlıca regülasyonlara uyum sağlamak isteyen bir yapıysanız Managed SOC (SOCaaS); halihazırda küçük bir IT/Güvenlik ekibiniz var ama 7/24 izleme yükünün altından kalkamıyorsanız Hibrit model sizin için en doğru reçetedir.

SOC Hakkında Bilgi Edinelim

Feyza Nur Dandal — Mon, 15 Jun 2026 16:17:26 +0000

English | Türkçe

What is a SOC and Why is It Critical?

Before evaluating architectural models, we need to address the baseline definition: What does a Security Operations Center (SOC) actually solve?

At its core, a SOC is a centralized team and facility responsible for monitoring, detecting, and responding to security incidents 24/7/365. While firewalls and endpoint protection tools (EDR) act as individual barriers, the SOC serves as the centralized correlation point that monitors how these assets interact in real-time.

Core Objectives of a SOC:

Log Ingestion & Normalization: Collecting logs from endpoints, network devices, and cloud environments into a central SIEM platform.
Triage & Analysis: Reviewing alerts, filtering out false positives, and identifying true indicators of compromise (IoCs).
Incident Containment: Rapidly isolating compromised hosts or revoking credentials during an active incident to limit lateral movement.

The Impact of Operating Without a SOC:

Extended Dwell Time: Without continuous monitoring, the average "dwell time"—the duration a threat actor remains undetected inside a network—typically exceeds 20 to 30 days. This gives attackers ample time for reconnaissance and data exfiltration.
Delayed Response: Organizations without a SOC operate reactively. Incidents are usually discovered only after severe damage has occurred, such as public data leaks or ransomware deployment.
Compliance Violations: Regulatory bodies (such as GDPR or KVKK) require strict breach notification windows (often 72 hours). Without centralized visibility, meeting these legal deadlines is practically impossible.

SOC Nedir ve Neden Önemlidir?

Operasyonel modelleri değerlendirmeden önce şu temel soruyu netleştirmek gerekir: Bir Güvenlik Operasyon Merkezi (SOC) organizasyonda tam olarak hangi problemi çözer?

En basit tanımıyla SOC; bir kurumun dijital altyapısını siber tehditlere karşı 7/24/365 esasıyla izleyen, olası saldırıları tespit eden ve bunlara müdahale eden merkezi bir yapı ve uzman ekibidir. Güvenlik duvarları (Firewall) veya uç nokta ajanları (EDR) tekil birer bariyerken; SOC, tüm bu sistemlerin birbiriyle olan etkileşimini gerçek zamanlı izleyen korelasyon merkezidir.

Bir SOC'un Temel Görevleri:

Log Toplama ve Normalizasyon: Sunuculardan, ağ cihazlarından ve bulut ortamlarından gelen logları merkezi bir SIEM platformunda anlamlandırmak.
Triyaj ve Analiz: Akan alarmları incelemek, yanlış pozitifleri (false positive) ayıklamak ve gerçek saldırı izlerini (IoC) yakalamak.
Olay Müdahale ve Sınırlandırma: Aktif bir saldırı anında, saldırganın ağda yatayda ilerlemesini (lateral movement) engellemek için enfekte cihazları izole etmek veya yetkileri askıya almak.

SOC Yapısı Olmadığında Karşılaşılan Riskler:

Uzayan Barınma Süresi (Dwell Time): Sürekli izleme yapılmadığında, bir saldırganın ağa sızması ile bunun fark edilmesi arasında geçen süre (dwell time) küresel ortalamada 20-30 günü bulabilmektedir. Bu da saldırgana içeride keşif yapmak ve veriyi dışarı sızdırmak için ciddi bir zaman tanır.
Geç ve Reaktif Müdahale: SOC desteği olmayan kurumlar tamamen "tepki odaklı" çalışır. Saldırı genellikle iş işten geçtikten sonra; yani sistemler şifrelendiğinde (ransomware) veya veriler internete düştüğünde fark edilir.
Yasal Uyum ve Regülasyon İhlalleri: KVKK veya GDPR gibi regülasyonlar, veri ihlallerinin tespit edildikten sonra çok kısa bir sürede (genelde 72 saat) kurullara bildirilmesini zorunlu kılar. Merkezi görünürlük yoksa, göremediğiniz bir ihlali raporlamanız imkansızdır.