DEV Community

Feyza Nur Dandal
Feyza Nur Dandal

Posted on

SOC Hakkında Bilgi Edinelim

#beginners #cybersecurity #infosec #security

English | Türkçe

 

What is a SOC and Why is It Critical?

Before evaluating architectural models, we need to address the baseline definition: What does a Security Operations Center (SOC) actually solve?

At its core, a SOC is a centralized team and facility responsible for monitoring, detecting, and responding to security incidents 24/7/365. While firewalls and endpoint protection tools (EDR) act as individual barriers, the SOC serves as the centralized correlation point that monitors how these assets interact in real-time.

Core Objectives of a SOC:

  • Log Ingestion & Normalization: Collecting logs from endpoints, network devices, and cloud environments into a central SIEM platform.
  • Triage & Analysis: Reviewing alerts, filtering out false positives, and identifying true indicators of compromise (IoCs).
  • Incident Containment: Rapidly isolating compromised hosts or revoking credentials during an active incident to limit lateral movement.

The Impact of Operating Without a SOC:

  1. Extended Dwell Time: Without continuous monitoring, the average "dwell time"—the duration a threat actor remains undetected inside a network—typically exceeds 20 to 30 days. This gives attackers ample time for reconnaissance and data exfiltration.
  2. Delayed Response: Organizations without a SOC operate reactively. Incidents are usually discovered only after severe damage has occurred, such as public data leaks or ransomware deployment.
  3. Compliance Violations: Regulatory bodies (such as GDPR or KVKK) require strict breach notification windows (often 72 hours). Without centralized visibility, meeting these legal deadlines is practically impossible.

SOC Nedir ve Neden Önemlidir?

Operasyonel modelleri değerlendirmeden önce şu temel soruyu netleştirmek gerekir: Bir Güvenlik Operasyon Merkezi (SOC) organizasyonda tam olarak hangi problemi çözer?

En basit tanımıyla SOC; bir kurumun dijital altyapısını siber tehditlere karşı 7/24/365 esasıyla izleyen, olası saldırıları tespit eden ve bunlara müdahale eden merkezi bir yapı ve uzman ekibidir. Güvenlik duvarları (Firewall) veya uç nokta ajanları (EDR) tekil birer bariyerken; SOC, tüm bu sistemlerin birbiriyle olan etkileşimini gerçek zamanlı izleyen korelasyon merkezidir.

Bir SOC'un Temel Görevleri:

  • Log Toplama ve Normalizasyon: Sunuculardan, ağ cihazlarından ve bulut ortamlarından gelen logları merkezi bir SIEM platformunda anlamlandırmak.
  • Triyaj ve Analiz: Akan alarmları incelemek, yanlış pozitifleri (false positive) ayıklamak ve gerçek saldırı izlerini (IoC) yakalamak.
  • Olay Müdahale ve Sınırlandırma: Aktif bir saldırı anında, saldırganın ağda yatayda ilerlemesini (lateral movement) engellemek için enfekte cihazları izole etmek veya yetkileri askıya almak.

SOC Yapısı Olmadığında Karşılaşılan Riskler:

  1. Uzayan Barınma Süresi (Dwell Time): Sürekli izleme yapılmadığında, bir saldırganın ağa sızması ile bunun fark edilmesi arasında geçen süre (dwell time) küresel ortalamada 20-30 günü bulabilmektedir. Bu da saldırgana içeride keşif yapmak ve veriyi dışarı sızdırmak için ciddi bir zaman tanır.
  2. Geç ve Reaktif Müdahale: SOC desteği olmayan kurumlar tamamen "tepki odaklı" çalışır. Saldırı genellikle iş işten geçtikten sonra; yani sistemler şifrelendiğinde (ransomware) veya veriler internete düştüğünde fark edilir.
  3. Yasal Uyum ve Regülasyon İhlalleri: KVKK veya GDPR gibi regülasyonlar, veri ihlallerinin tespit edildikten sonra çok kısa bir sürede (genelde 72 saat) kurullara bildirilmesini zorunlu kılar. Merkezi görünürlük yoksa, göremediğiniz bir ihlali raporlamanız imkansızdır.

Top comments (0)