DEV Community

Feyza Nur Dandal
Feyza Nur Dandal

Posted on

2-SOC Mimarileri: En Uygun Güvenlik Operasyon Merkezi Modelini Seçmek

#architecture #cybersecurity #tutorial #infosec

English | Türkçe

 

SOC Architecture: Choosing the Right Security Operations Center Model for Your Organization

In today’s modern cyber threat landscape, organizations have moved past the question of "Will I be attacked?" and are now focused on "How fast will I detect it when I am?" This is precisely where a Security Operations Center (SOC) comes into play.

However, building a SOC is not just about purchasing the most expensive SIEM/SOAR licenses or setting up giant screens in a dedicated room. The first and most critical strategic decision depends on the organization's budget, human resources, regulatory compliance requirements (GDPR, KVKK, etc.), and risk appetite: choosing the right operational model.

In this article, we dive deep into the three main SOC models accepted in the cybersecurity ecosystem—In-House, Outsourced, and Hybrid—by examining their architecture, technical processes, and current industry trends.

1. In-House (Dedicated) SOC Model

"For Those Who Want Absolute Control"

In the In-House SOC model, an organization builds and operates a 24/7 autonomous cyber fortress using its own internal staff, dedicated technology stack, and custom-tailored internal processes.

[Log Sources] ---> [Internal SIEM / Data Lake] ---> [Your Own SOC Analysts (T1/T2/T3)]
|
[Internal Incident Response (IR)]
Enter fullscreen mode Exit fullscreen mode

Technical Architecture & Operations

  • Human Resources: The entire team, ranging from Tier 1 analysts and Threat Hunters to DFIR (Digital Forensics & Incident Response) specialists and SOC architects, consists of full-time, internal employees.
  • Technology Stack: Designing the architecture (on-premise or cloud), licensing, configuring, and maintaining security systems like SIEM, SOAR, EDR/XDR, and NDR are completely managed by the internal team.
  • Process Management: Playbooks (analysis and response procedures) are built from scratch to fit the specific workflows of the business (e.g., custom processes tailored for banking transactions or e-commerce payment gateways).

Pros & Cons

  • (+) Perfect Contextual Awareness: The internal team understands the network deeply. They know exactly which server is critical and which traffic looks anomalous but is actually normal business activity, drastically reducing false positives.
  • (+) Data Sovereignty & Privacy: Critical logs and sensitive data never leave the organization's boundaries. This is the safest harbor for heavily regulated industries.
  • (-) Alert Fatigue & Talent Shortage: Running a 24/7 shift schedule often leads to analyst burnout. Furthermore, due to the high turnover rate in cybersecurity, retaining specialized talent requires continuous financial investment.
  • (-) Tunnel Vision: The team only witnesses threats directly targeting their own organization, missing out on broader, global threat trends emerging across the industry.

2. Outsourced SOC (Managed SOC / SOC-as-a-Service)

"For Speed, Scalability, and Predictable Costs"

In this model, the cyber defense line is outsourced to a Managed Security Service Provider (MSSP) or an MDR (Managed Detection and Response) vendor whose core business is security operations.

[Internal Agents/Logs] --(Secure Tunnel/VPN)--> [MSSP/Cloud SIEM] ---> [Shared MSSP Analysts]
|
[Alert/Action Call to Client]
Enter fullscreen mode Exit fullscreen mode

Technical Architecture & Operations

  • SLA-Driven Operations: The heart of this operation beats around Service Level Agreements (SLAs). The timeframe for detecting an alert (MTTD - Mean Time to Detect) and escalating it (MTTR - Mean Time to Respond/React) is legally bound by contracts.
  • Data Flow: Logs gathered from internal firewalls, Active Directory, and EDR agents are securely forwarded (usually via cloud gateways) to the MSSP’s central SIEM platform.
  • Multi-Tenant Architecture: MSSP analysts monitor security events from hundreds of different clients simultaneously using a single pane of glass powered by massive multi-tenant correlation engines.

Pros & Cons

  • (+) Global Threat Intelligence: Because MSSPs ingest data from thousands of endpoints worldwide, a zero-day attack discovered at Client A allows them to instantly deploy IoCs (Indicators of Compromise) to protect you.
  • (+) Plug-and-Play Setup: Instead of spending millions on upfront hardware and licenses, companies can achieve 24/7 monitoring within weeks through an predictable OpEx (Operational Expenditure) subscription model.
  • (-) Operational Blindness: External analysts cannot inherently know if a midnight script execution is a dangerous attack or just an IT administrator running a routine database maintenance task. This often leads to higher false positive rates.
  • (-) Response Delays (The Triaging Border): The MSSP detects the threat and opens a critical ticket stating, "You have active ransomware, isolate the host." The time elapsed between sending that alert and your internal IT team taking physical action can sometimes result in significant damage.

3. The Hybrid SOC Model

"The Best of Both Worlds Approach"

This is the most popular and pragmatic model among modern mid-to-large-scale organizations today. The objective is simple: delegate routine, high-volume tier-1 alert filtering to an external partner while keeping high-context strategic decisions internal.

+---> [Tier 1: Routine Alerts & Triaging] ----> (MSSP / Outsourced)
|
[Shared SIEM / XDR Platform] -----+
|
+---> [Tier 2/3: Threat Hunting & IR] --------= (Internal Team)
Enter fullscreen mode Exit fullscreen mode

Technical Architecture & Operations

  • Layered Role Distribution: * Tier 1 (First Level Analysis): Handled by the MSSP team. They filter out the daily noise from thousands of logs.

  • Tier 2 & Tier 3 (Deep Analysis & IR): Handled by the internal core team. They take over the "escalated" high-severity alerts from the MSSP and initiate active defense.

  • Shared Visibility: Usually, a shared Cloud SIEM or XDR platform is deployed. Both the company's internal analysts and the MSSP's analysts log into the same screen, eliminating operational silos.

Pros & Cons

  • (+) Strategic Focus: Your specialized internal analysts don't waste hours chasing basic phishing emails or routine brute-force attempts; instead, they focus strictly on proactive Threat Hunting and architecture hardening.
  • (+) Optimized Spending: The operational burden of maintaining 24/7 shift rotations falls on the MSSP, while the corporation only invests heavily in a highly skilled, smaller core team.
  • (-) Management Complexity: If communication channels and responsibility matrixes (like a RACI matrix) are not crystal clear, the two teams might hesitate during a major crisis, resulting in costly delays.

Conclusion: Which Model Should You Choose?

Selecting a SOC model is fundamentally a strategic business decision rather than a purely technical one.

Criterion In-House Managed SOC (Outsourced) Hybrid
Budget Requirements Very High (CapEx) Low / Medium (OpEx) Balanced / Optimized
Deployment Time 1 - 2 Years A Few Weeks A Few Months
Regulatory Compliance Excellent May Raise Questions High
Threat Visibility Narrow (Internal Only) Broad (Global Insights) Balanced
Control Level 100% Internal Bound by MSSP Limits Shared Control
  • Go with In-House if you are a massive enterprise (such as banking, defense, or healthcare) handling high-stakes data and requiring absolute operational control with an ample budget.
  • Go with Managed SOC if you are a small-to-medium business lacking a dedicated cybersecurity budget but needing to satisfy compliance requirements quickly and cost-effectively.
  • Go with Hybrid if you already have a small internal security team but struggle to maintain around-the-clock 24/7 monitoring coverage.

SOC Modelleri: Kurumunuza En Uygun Güvenlik Operasyon Merkezi Modelini Seçmek

Modern siber tehdit ortamında, bir organizasyonun "Saldırıya uğrayacak mıyım?" sorusunu çoktan geçip "Saldırıya uğradığımda ne kadar hızlı fark edeceğim?" aşamasına gelmesi gerekiyor. İşte bu noktada devreye Güvenlik Operasyon Merkezleri (SOC) giriyor.

Ancak bir SOC kurmak sadece en pahalı SIEM/SOAR lisansını almak ya da bir odaya dev ekranlar yerleştirmekten ibaret değildir. İlk ve en kritik stratejik karar, organizasyonun bütçesine, insan kaynağına, yasal uyumluluk (KVKK, GDPR, BDDK vb.) süreçlerine ve risk iştahına uygun operasyonel modeli seçmektir.

Bu yazıda, modern siber güvenlik ekosisteminde kabul görmüş üç ana SOC modelini (Kurum İçi, Dış Kaynaklı ve Hibrit) mimari, teknik süreçler ve güncel sektör trendleri ışığında masaya yatırıyoruz.

1. Kurum İçi (In-House / Dedicated) SOC Modeli

"Tüm Direksiyon Benim Elimde Olsun" Diyenler İçin

Kurum İçi SOC modelinde organizasyon; kendi personeli, kendi teknoloji stack'i ve tamamen kendi kültürüne göre optimize edilmiş süreçleriyle 7/24 yaşayan, bağımsız bir siber kale inşa eder.

[Log Kaynakları] ---> [Kurum İçi SIEM / Veri Gölü] ---> [Kendi SOC Analistleriniz (T1/T2/T3)]
|
[Kurum İçi Olay Müdahale (IR)]
Enter fullscreen mode Exit fullscreen mode

Teknik Mimarisi ve İşleyişi

  • İnsan Kaynağı: Tier 1 analistlerden Tehdit Avcılarına (Threat Hunters), DFIR (Adli Bilişim ve Olay Müdahale) uzmanlarından SOC mimarlarına kadar tüm ekip kurumun bordrolu çalışanlarından oluşur.
  • Teknoloji Stack'i: SIEM, SOAR, EDR/XDR, NDR ve Log Yönetimi araçlarının lisanslanması, on-premise ya da cloud ortamda mimari tasarımı, kuralların (Sigma, YARA vb.) yazılması ve bakımı tamamen iç ekibin sorumluluğundadır.
  • Süreç Yönetimi: Playbook'lar (analiz prosedürleri), kurumun iş kollarına özel olarak (örneğin bir bankanın swift süreçlerine veya bir e-ticaret sitesinin ödeme geçidine özel) terzi usulü dikilir.

Avantajlar & Dezavantajlar

  • (+) Kusursuz Kurumsal Bağlam (Context): İç ekip, networkteki hangi sunucunun kritik olduğunu, hangi trafiğin "normal anormal" (false positive) olduğunu dış bir gözden çok daha iyi bilir.
  • (+) Veri Egemenliği ve Gizlilik: Kritik loglar and ham veriler kurum sınırlarının dışına çıkmaz. Sıkı regülasyonlara tabi sektörler için en güvenli limandır.
  • (-) "Alert Fatigue" (Uyarı Yorgunluğu) ve İnsan Kaynağı Krizi: 7/24 vardiya dönen analistlerin burnout (tükenmişlik) yaşaması çok yaygındır. Ayrıca siber güvenlik uzmanı sirkülasyonunun çok yüksek olduğu günümüzde, ekibi elde tutmak devasa bir maliyettir.
  • (-) Tünel Vizyonu (Sınırlı Bakış Açısı): Ekip sadece kendi kurumuna gelen saldırıları görür. Sektörde dönen küresel tehdit dalgalarını yakalamakta gecikebilir.

2. Dış Kaynaklı SOC (Managed SOC / SOC-as-a-Service)

"Hız, Ölçeklenebilirlik ve Öngörülebilir Maliyet" Arayanlar İçin

Bu modelde siber savunma hattı, bu işi core-business (ana iş kolu) olarak yapan bir Müşterek Güvenlik Hizmeti Sağlayıcısına (MSSP) veya MDR (Managed Detection and Response) firmasına emanet edilir.

[Kurum İçi Ajanlar/Loglar] --(Güvenli Tünel/VPN)--> [MSSP/Cloud SIEM] ---> [Müşterek MSSP Analistleri]
|
[Müşteriye Alarm/Aksiyon Çağrısı]
Enter fullscreen mode Exit fullscreen mode

Teknik Mimarisi ve İşleyişi

  • SLA (Hizmet Seviyesi Anlaşması) Odaklılık: Operasyonun kalbi SLA'lerdir. Bir uyarının ne kadar sürede analiz edileceği (MTTD - Ortalama Tespit Süresi) ve müdahale edileceği (MTTR - Ortalama Müdahale Süresi) sözleşmelerle net çizgilerle belirlenir.
  • Veri Akışı: Kurum içi firewall, AD, EDR gibi sistemlerden toplanan loglar, güvenli kanallarla (genelde cloud tabanlı) MSSP'nin merkezi SIEM sistemine aktarılır.
  • Çoklu Kiracılı (Multi-Tenant) Mimari: MSSP analistleri tek bir ekrandan (Single Pane of Glass) yüzlerce farklı müşterinin alarmını core-korelasyon kuralları vasıtasıyla izler.

Avantajlar & Dezavantajlar

  • (+) Küresel Tehdit İstihbaratı Grafiği: MSSP, X sektöründeki bir müşterisine yapılan yeni nesil bir oday saldırısını (Zero-Day) tespit ettiği an, edindiği IoC'ler (Indication of Compromise) ile sizin sistemlerinizi de anında koruma altına alabilir.
  • (+) Tak-Çalıştır Hızı ve Finansal Kolaylık: Milyon dolarlık donanım ve lisans yatırımı yerine, aylık/yıllık "OpEx" (Operasyonel Harcama) modeliyle birkaç hafta içinde 7/24 izlemeye geçilir.
  • (-) Kurumsal Dinamiklere Körlük: Dışarıdaki analist, gece yarısı sunucuda çalışan bir betiğin (script) sistem yöneticisinin rutin bir işi mi yoksa bir hacker aktivitesi mi olduğunu ayırt etmekte zorlanabilir. Bu da yüksek oranda False Positive veya daha kötüsü False Negative (gözden kaçan gerçek tehdit) demektir.
  • (-) Gecikmeli Müdahale (Triyaj Sınırı): MSSP saldırıyı görür, analiz eder ve size "Sisteminizde ransomware aktivitesi var, izole edin" diye bilet açar. Ancak o bileti açıp sizin iç ekibin aksiyon almasına kadar geçen süre (Time-to-Respond) bazen kritik zararlara yol açabilir.

3. Hibrit (Hybrid) SOC Modeli

En Best-of-Both-Worlds Yaklaşımı

Bugün orta ve büyük ölçekli modern organizasyonların en çok tercih ettiği, pragmatik modeldir. Amaç; rutin, tekrarlayan ve yorucu işleri dış kaynağa delege ederken; kritik kararları ve derin analizleri içeride tutmaktır.

+---> [Tier 1: Rutin Alarmlar & Triyaj] -------> (MSSP / Dış Kaynak)
|
[Ortak SIEM / XDR Platformu] -----+
|
+---> [Tier 2/3: Tehdit Avcılığı & IR] --------> (Kurum İçi Ekip)
Enter fullscreen mode Exit fullscreen mode

Teknik Mimarisi ve İşleyişi

  • Katmanlı Rol Dağılımı: * Tier 1 (İlk Seviye Analiz): MSSP ekibi üstlenir. 7/24 akan binlerce logu eler, gürültüyü temizler.

  • Tier 2 & Tier 3 (Derin Analiz & Olay Müdahale): Kurum içi çekirdek ekip üstlenir. MSSP'den gelen "Escalated" (yükseltilmiş) nitelikli alarmları alıp kurum içinde aktif defansa geçerler.

  • Ortak Görünürlük (Shared Platform): Genellikle ortak bir Cloud SIEM ya da XDR platformu kurulur. Hem kurumun kendi analisti hem de dış kaynak analisti aynı ekrana bakar, böylece operasyonel kopukluk yaşanmaz.

Avantajlar & Dezavantajlar

  • (+) Stratejik Odaklanma: Kurum içi uzman analistleriniz, bütün gün phishing mailleri veya başarısız brute-force denemelerini incelemekle vakit kaybetmez; doğrudan Tehdit Avcılığı (Threat Hunting) ve proaktif sıkılaştırmaya odaklanır.
  • (+) Optimize Maliyet: 7/24 vardiya döndürmenin getirdiği operasyonel yükü MSSP sırtlanırken, kurum sadece nitelikli çekirdek kadroya yatırım yapar.
  • (-) Yönetimsel Karmaşıklık (RACI Matrisi İhtiyacı): Kimin nereden sorumlu olduğu (Hangi alarmı kim inceleyecek? Aksiyonu kim alacak?) çok net çizilmezse, kriz anında iki ekip birbirinin yüzüne bakabilir. Güçlü bir koordinasyon mimarisi şarttır.

Sonuç: Hangi Modeli Seçmeli?

SOC modeli seçimi teknik bir karardan ziyade, tamamen kurumsal bir strateji og olgunluk kararıdır.

Kriter Kurum İçi (In-House) Dış Kaynaklı (Managed) Hibrit (Hybrid)
Bütçe İhtiyacı Çok Yüksek (CapEx) Düşük / Orta (OpEx) Dengeli / Optimize
Kurulum Süresi 1 - 2 Yıl Birkaç Hafta Birkaç Ay
Regülasyon Uyumu Mükemmel Soru İşaretleri Olabilir Yüksek
Görünürlük Genişliği Dar (Sadece Kurum içi) Çok Geniş (Global) Dengeli
Kontrol Seviyesi %100 Kurumda MSSP Sınırlarında Paylaşımlı Kontrol

Eğer kritik finansal verilere sahip holding seviyesinde bir yapıysanız Kurum İçi; siber güvenlik ekibi kuracak bütçesi olmayan ve hızlıca regülasyonlara uyum sağlamak isteyen bir yapıysanız Managed SOC (SOCaaS); halihazırda küçük bir IT/Güvenlik ekibiniz var ama 7/24 izleme yükünün altından kalkamıyorsanız Hibrit model sizin için en doğru reçetedir.

Top comments (0)