DEV Community

Feyza Nur Dandal
Feyza Nur Dandal

Posted on

SOC Mimarisi ve Bileşenleri

#infosec #cybersecurity #security #software

English | Türkçe

 

SOC Architecture & Core Components: Building the Technical Defense Stack

A Security Operations Center (SOC) relies on an integrated ecosystem of technologies designed to provide layered visibility and rapid response capabilities. Instead of treating security tools as isolated silos, a modern SOC connects them into a continuous lifecycle of data collection, ingestion, analysis, and containment.

Below is the technical breakdown of a standard enterprise SOC architecture and its fundamental components.

1. The Data Collection & Ingestion Layer

This layer serves as the telemetry source for the entire SOC. Security data (logs, events, and network metadata) is harvested from every asset across the infrastructure.

Primary Telemetry Sources:

  • Network Infrastructure: Firewalls, routers, switches, internal IDS/IPS appliances, and VPN gateways.
  • Server Infrastructure: Windows Event Logs (Security/Sysmon), Linux Syslog, web servers (Apache, Nginx, IIS), and database audit trails.
  • Endpoints: Laptops, desktops, and workstations—predominantly monitored via telemetry agents.
  • Cloud Infrastructure: Native cloud logs such as AWS CloudTrail/GuardDuty, Azure Activity Logs, and GCP Cloud Logging.
  • Identity & Access Management (IAM): Active Directory logs, Okta, and Azure AD events tracking authentication, privilege escalations, and modifications.
  • Threat Intelligence Feeds: External repositories tracking known malicious IP addresses, command-and-control (C2) domains, file hashes, and adversary signatures.

2. Centralized Correlation Engine: SIEM

The SIEM (Security Information and Event Management) platform functions as the central log aggregation and correlation hub of the architecture. It ingests billions of raw logs daily, normalizing them into a readable schema.

Core Workflows:

  • Aggregation & Normalization: Converting disparate log formats from hundreds of vendors into a standardized framework (e.g., Common Event Format - CEF) for cross-analysis.
  • Correlation Rules: Mapping multiple unrelated events together using pre-defined detection logic or machine learning behavioral models.
  • Alerting: Triggering an active alert for tier-1 analysts to review when a correlation rule matches malicious behavior. 
[Multiple Failed Logins on AD] + [Massive Inbound Traffic from TOR Node] 
                                    |
                            (SIEM Correlation)
                                    |
                        ============V============
                        [ALERT: Brute-Force/Spray]
Enter fullscreen mode Exit fullscreen mode
  • Industry Standards: Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security (ELK), and Wazuh (Open Source).

3. Automation and Orchestration: SOAR

SOAR (Security Orchestration, Automation, and Response) platforms bridge the gap between detection and mitigation. They increase operational efficiency by replacing repetitive manual tasks with programmatic workflows.

Core Workflows:

  • Orchestration: Binding API connections between separate security tools (e.g., telling a Firewall to block an IP because an EDR found a threat).
  • Playbook Automation: Executing deterministic scripts based on incoming alert categories. 
[Incoming SIEM Alert] ---> [SOAR Playbook Triggered]
                                   |
            +----------------------+----------------------+
            |                                             |
[Query VirusTotal/TIP via API]               [Isolate Host via EDR API]
            |                                             |
[If Malicious -> Update Firewall Blocklist]  [Generate Jira Ticket & Assign Analyst]
Enter fullscreen mode Exit fullscreen mode
  • Industry Standards: Palo Alto Cortex XSOAR, Splunk SOAR, Shuffle (Open Source), and TheHive.

4. Deep Visibility: EDR and NDR

While a SIEM provides general visibility across the environment, EDR and NDR supply high-resolution data on the network and host levels.

EDR (Endpoint Detection and Response)

EDR solutions monitor granular endpoint activities—including process execution loops, network connections, memory utilization, and local file modifications. It detects behavioral anomalies and memory injection attempts that regular antiviruses miss.

  • Why it matters: Most modern cyber attacks target endpoint endpoints to establish initial access. EDR provides the capability to trace parent-child process chains and isolate compromised hosts from the local subnet.
  • Industry Standards: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, and Wazuh.

NDR (Network Detection and Response)

NDR solutions continuously inspect raw packet captures (PCAP) and flow data (NetFlow) spanning both north-south and east-west internal traffic. It identifies network-level anomalies, lateral movement, and unauthorized exfiltration channels.

  • Why it matters: NDR tracks threats across unmanaged segments, legacy mainframes, or IoT networks where installing an EDR agent is technically impossible.
  • Industry Standards: Darktrace, ExtraHop, Vectra AI, Zeek (Open Source), and Suricata.

5. Proactive Intel: Threat Intelligence Platforms (TIP)

A TIP aggregates, sanitizes, and deduplicates cyber threat intelligence data collected from commercial feeds, open-source communities (OSINT), and government channels.

SOC Architecture Integration:

The TIP injects raw Indicators of Compromise (IoCs) and adversary Tactics, Techniques, and Procedures (TTPs) into detection tools. For instance, the platform pushes known operational ransomware C2 infrastructure directly into the SIEM, allowing it to instantly flag outbound beacons.

  • Industry Standards: Anomali, ThreatQuotient, and MISP (Open Source).

SOC Mimarisi ve Bileşenleri: Teknik Savunma Altyapısını Kurgulamak

Modern bir Güvenlik Operasyon Merkezi'nin (SOC) başarısı, birbiriyle entegre çalışan ve katmanlı görünürlük sağlayan teknolojik bileşenlere bağlıdır. Modern bir SOC mimarisi, güvenlik araçlarını yalıtılmış adalar olarak konumlandırmak yerine; veri toplama, analiz, otomasyon ve müdahale süreçlerini tek bir yaşam döngüsünde birleştirir.

Aşağıda, kurumsal bir modern SOC mimarisinin katmanları ve bu katmanları oluşturan temel bileşenler teknik detaylarıyla ele alınmıştır.

1. Veri Toplama Katmanı (Telemetri ve Ingestion)

Bu katman, SOC mimarisinin veri kaynağıdır. Organizasyon altyapısındaki tüm varlıklardan anlamlı güvenlik verileri, loglar ve telemetri metadatası bu alanda toplanır.

Temel Telemetri Kaynakları:

  • Ağ Cihazları: Güvenlik duvarları (Firewall), yönlendiriciler, anahtarlar, iç ağ koruma sistemleri (IDS/IPS) ve VPN geçitleri.
  • Sunucu Altyapısı: Windows Olay Günlükleri (Security ve Sysmon logları), Linux Syslog verileri, web sunucu erişim logları (Apache, Nginx, IIS) ve veritabanı denetim (audit) kayıtları.
  • Uç Noktalar (Endpoints): Kullanıcı bilgisayarları ve iş istasyonları (Genellikle üzerlerinde çalışan ajanlar vasıtasıyla veri üretirler).
  • Bulut Altyapıları: Bulut ortamlarındaki yerel log mekanizmaları (AWS CloudTrail/GuardDuty, Azure Activity Logs, GCP Cloud Logging).
  • Kimlik ve Erişim Yönetimi (IAM): Active Directory, Okta veya Azure AD üzerindeki başarılı/başarısız oturum açma, yetki yükseltme ve hesap değişiklik logları.
  • Tehdit İstihbaratı Akışları (Threat Intel Feeds): Bilinen zararlı IP adresleri, komuta kontrol (C2) alan adları, dosya hash bilgileri ve saldırgan imzalarını barındıran harici veri akışları.

2. Merkezi Analiz ve Korelasyon Merkezi: SIEM

SIEM (Security Information and Event Management) platformu, tüm mimarinin merkezi log toplama ve anlamlandırma merkezidir. Farklı kaynaklardan gelen milyarlarca satır ham logu tek bir şemaya indirger (normalizasyon) ve analiz eder.

Temel Fonksiyonları:

  • Log Yönetimi ve Normalizasyon: Farklı üreticilerin ürettiği log formatlarını ortak bir standart dile (Örn: Common Event Format - CEF) dönüştürerek analiz edilebilir hale getirmek.
  • Korelasyon Kuralları: Önceden tanımlanmış mantıksal kurallar veya makine öğrenimi modelleri kullanarak bağımsız olaylar arasında bağ kurmak.
  • Alarm Üretimi: Bir korelasyon kuralı tetiklendiğinde analistlerin ekranına inceleme kaydı (alert) düşürmek. 
[AD Üzerinde Kısa Sürede Başarısız Girişler] + [TOR Ağından Gelen İç Trafik]
                                       |
                              (SIEM Korelasyonu)
                                       |
                           ============V============
                           [ALARM: Brute-Force/Spray]
Enter fullscreen mode Exit fullscreen mode
  • Sektör Standartları: Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security (ELK) ve Wazuh (Açık Kaynak).

3. Müdahalenin Otomasyonu ve Orkestrasyonu: SOAR

SOAR (Security Orchestration, Automation, and Response) platformları, tespit edilen tehdit ile müdahale arasındaki süreyi kısaltır. Tekrarlayan manuel analist görevlerini yazılımsal iş akışlarına (playbook) devrederek operasyonel verimlilik sağlar.

Temel Fonksiyonları:

  • Orkestrasyon: Farklı güvenlik araçları arasında API'ler vasıtasıyla köprü kurmak (Örn: SIEM'den aldığı alarm doğrultusunda Firewall'a kural yazmak).
  • Playbook Otomasyonu: Gelen alarm tipine göre önceden tanımlanmış senaryoları insan müdahalesi olmadan çalıştırmak. 
[Gelen SIEM Alarmı] ---> [SOAR Playbook Tetiklenmesi]
                                    |
            +-----------------------+-----------------------+
            |                                               |
[API ile Tehdit İstihbaratı Sorgusu]            [EDR API'si ile Host İzolasyonu]
            |                                               |
[Zararlı ise -> Firewall'a IP Engelleme]        [Jira Case Açılması ve Analist Ataması]
Enter fullscreen mode Exit fullscreen mode
  • Sektör Standartları: Palo Alto Cortex XSOAR, Splunk SOAR, Shuffle (Açık Kaynak) ve TheHive.

4. Uç Nokta ve Ağ Görünürlüğü: EDR ve NDR

SIEM platformu tüm altyapıyı makro düzeyde izlerken; EDR ve NDR katmanları, ağın ve uç noktaların mikro düzeyde derinlemesine incelenmesini sağlar.

EDR (Endpoint Detection and Response)

Uç noktalarda (sunucu, bilgisayar) çalışan prosesleri, bellek hareketlerini, ağ bağlantılarını ve dosya sistemi değişikliklerini anlık olarak kaydeder. Geleneksel antivirüs sistemlerinin imza tabanlı yapısını aşan "dosyasız" (fileless) saldırıları ve davranışsal anomalileri tespit eder.

  • Neden Kritik? Saldırıların büyük kısmı uç noktalardan başlar. EDR, saldırganın sızdığı sistemde ne tür işlemler yürüttüğünü (parent-child process) görmeyi ve gerektiğinde cihazı ağdan izole etmeyi (containment) sağlar.
  • Sektör Standartları: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint ve Wazuh.

NDR (Network Detection and Response)

Ağ trafiğini (kuzey-güney ve doğu-batı) paket bazlı (PCAP) ve akış bazlı (NetFlow) olarak sürekli analiz eder. Şifreli trafik analizleri de dahil olmak üzere ağ seviyesindeki anormallikleri inceler.

  • Neden Kritik? Üzerine EDR ajanı kurulamayan IoT cihazlarını, ağa bağlı yönetilmeyen bilgisayarları izlemek ve saldırganların ağ içi yatay hareketlerini (lateral movement) yakalamak için en etkili çözümdür.
  • Sektör Standartları: Darktrace, ExtraHop, Vectra AI, Zeek (Açık Kaynak) ve Suricata.

5. Proaktif Tehdit Yönetimi: Tehdit İstihbaratı Platformu (TIP)

TIP, ticari kaynaklardan, topluluk ağlarından (OSINT) ve resmi kurumlardan gelen siber tehdit verilerini (IoC ve TTP) tek bir havuzda toplayan, temizleyen ve yöneten sistemdir.

SOC Mimarisine Entegrasyonu:

TIP, elde ettiği güncel zararlı adres ve aktör verilerini SIEM, EDR ve Firewall gibi aktif sistemlere besler. Örneğin, güncel bir fidye yazılımı (ransomware) kampanyasına ait C2 IP adresleri TIP üzerinden SIEM'e aktarıldığında, iç ağdan bu adreslere doğru giden bir bağlantı denemesi anında yakalanır.

  • Sektör Standartları: Anomali, ThreatQuotient ve MISP (Açık Kaynak).

Top comments (0)