SOC Nedir? 7/24 İzleme İşletmenizi Nasıl Korur?

Siber güvenlikte en büyük risklerden biri saldırının kendisi kadar, saldırının geç fark edilmesidir. Birçok işletme sistemlerinde anormal bir durum olduğunu ancak kullanıcılar hizmete erişemediğinde, dosyalar şifrelendiğinde, sunucu yanıt vermediğinde veya müşteri şikayeti geldiğinde fark eder.

Oysa modern siber güvenlik yaklaşımında amaç yalnızca olay olduktan sonra müdahale etmek değildir. Amaç, sistemleri sürekli izlemek, anormallikleri erken yakalamak, gerçek tehditleri ayırt etmek ve kritik durumlarda hızlı aksiyon almaktır.

SOC yani Security Operations Center, bu ihtiyaca cevap veren operasyon merkezidir. SOC; logları, alarmları, uç nokta davranışlarını, ağ ve servis durumlarını takip eden; olası tehditleri analiz eden ve gerektiğinde müdahale sürecini başlatan güvenlik operasyon yapısıdır.

113SEC yaklaşımında SOC, yalnızca ekrana bakan bir izleme ekibi değildir. Zabbix, Wazuh SIEM, CrowdStrike EDR, ticket sistemi, uzak destek ve raporlama süreçleriyle birlikte çalışan operasyonel bir güvenlik katmanıdır.

SOC Ne İşe Yarar?

SOC’un temel görevi, işletmenin dijital ortamında neler olduğunu görünür hale getirmektir. Sunucular çalışıyor mu? Diskler dolmak üzere mi? Bir kullanıcı çok sayıda hatalı giriş denemesi yapıyor mu? Bir bilgisayarda şüpheli bir süreç çalıştı mı? Firewall üzerinde anormal trafik var mı? Bir yedekleme başarısız mı oldu?

Bu soruların her biri işletme için önemlidir. Çünkü küçük bir uyarı, bazen büyük bir saldırının ilk işareti olabilir. SOC bu işaretleri toplar, anlamlandırır ve önceliklendirir.

Bir SOC yapısı üç ana işi birlikte yürütür: görünürlük sağlar, alarm üretir ve müdahale sürecini başlatır. Görünürlük olmadan güvenlik kör noktalarla yönetilir. Alarm olmadan ekip zamanında haberdar olmaz. Müdahale süreci olmadan da tespit edilen sorun iş etkisine dönüşebilir.

7/24 İzleme Neden Gereklidir?

Saldırılar mesai saatine göre gerçekleşmez. Fidye yazılımı gece çalışabilir, brute-force denemeleri hafta sonu artabilir, bir servis pazar sabahı durabilir veya yedekleme işlemi gece başarısız olabilir.

Bu nedenle güvenlik izleme yalnızca iş saatlerinde yapılan bir kontrol listesi değildir. 7 gün 24 saat çalışan bir izleme altyapısı gerekir. Bu altyapı arka planda sistemleri izler, eşikler aşıldığında alarm üretir ve kritik durumları SOC ekibine iletir.

113SEC Hizmet Süreçleri Rehberi’nde izleme ve alarm süreci; şirket bilgisayarları, sunucular ve ağ cihazlarının 7/24 izlenmesi, anormallik tespitinde otomatik alarm üretilmesi ve ekibin müşteri henüz fark etmeden harekete geçmesi şeklinde tanımlanır.

113SEC SOC Süreci Nasıl Çalışır?

113SEC’in izleme mimarisi tek bir araçtan ibaret değildir. Farklı güvenlik ve altyapı katmanlarından veri toplanır, bu veriler korele edilir ve SOC analisti tarafından değerlendirilir.

1. Zabbix sürekli izler: Sunucu, ağ cihazı, servis durumu, disk doluluğu, CPU, bellek ve bağlantı problemleri takip edilir.
2. Wazuh log analizi yapar: Başarısız giriş denemeleri, şüpheli olaylar, güvenlik logları ve korelasyonlar SIEM üzerinden değerlendirilir.
3. CrowdStrike EDR uç noktaları izler: Bilgisayar ve sunuculardaki süreç, dosya ve ağ davranışları gerçek zamanlı analiz edilir.
4. Anormallik tespit edilir: Şüpheli durum, eşik aşımı veya güvenlik olayı alarm haline getirilir.
5. SOC analisti inceler: Alarmın gerçek tehdit mi, yanlış pozitif mi, operasyonel hata mı olduğu değerlendirilir.
6. Müdahale veya kapatma yapılır: Gerekirse teknik ekip devreye girer, ticket oluşturulur, uzak bağlantı veya saha müdahalesi başlatılır.
7. Raporlama yapılır: Olay kapatıldığında bulgu, aksiyon ve öneriler kayıt altına alınır.

Zabbix, Wazuh ve CrowdStrike Birlikte Ne Sağlar?

Güvenlik operasyonlarında tek bir araç her şeyi çözmez. Altyapı izleme, log analizi ve uç nokta güvenliği ayrı katmanlardır. Bu katmanların birlikte çalışması daha doğru ve daha hızlı karar verilmesini sağlar.

Zabbix, sistemin sağlıklı çalışıp çalışmadığını gösterir. Sunucu yanıt vermiyor mu, servis durmuş mu, disk dolmuş mu, ağ cihazında bağlantı problemi var mı gibi operasyonel durumları görünür kılar.

Wazuh, güvenlik olaylarını ve logları anlamlandırır. Başarısız oturum açma denemeleri, şüpheli komutlar, dosya değişiklikleri, log korelasyonları ve MITRE ATT&CK eşleştirmeleri güvenlik perspektifi sağlar.

CrowdStrike EDR ise uç nokta davranışlarını takip eder. Bir bilgisayarda olağan dışı süreç çalışması, şüpheli dosya aktivitesi, ağ bağlantısı veya zararlı davranış tespit edildiğinde SOC ekibinin olayı uç nokta seviyesinde incelemesine yardımcı olur.

Bu üçlü birlikte çalıştığında SOC yalnızca “alarm var” bilgisini değil, alarmın bağlamını da görür. Bu da yanlış pozitifleri azaltır ve gerçek tehditlere daha hızlı odaklanmayı sağlar.

SOC Hangi Durumları İzler?

SOC hizmeti yalnızca “siber saldırı var mı?” sorusuna bakmaz. İş sürekliliğini etkileyebilecek teknik ve güvenlik olaylarını birlikte takip eder.

• Tüm bilgisayar ve sunucular: CPU, bellek, disk doluluk, servis çalışırlığı ve sistem sağlığı.
• Ağ cihazları: Switch, router ve firewall durumları, trafik anomalileri ve yetkisiz erişim denemeleri.
• Güvenlik olayları: Başarısız giriş denemeleri, şüpheli yazılım çalıştırma, veri sızıntısı girişimi ve log korelasyonları.
• Uç nokta davranışları: Süreç, dosya ve ağ aktivitelerinin gerçek zamanlı analizi.
• Yedekleme durumu: Otomatik yedeklerin başarılı olup olmadığı, başarısız yedeklemelerde alarm üretimi.

Alarm Geldiğinde Ne Olur?

Alarm üretmek tek başına yeterli değildir. Önemli olan alarmın doğru sınıflandırılması, önceliğinin belirlenmesi ve doğru aksiyonun başlatılmasıdır.

Örneğin bir disk doluluk alarmı operasyonel bir uyarı olabilir. Ancak aynı anda başarısız giriş denemeleri, yeni bir yönetici hesabı ve şüpheli dosya çalıştırma olayı görülüyorsa bu durum güvenlik olayı olarak ele alınmalıdır.

Bu noktada SOC analisti alarmı inceler, gerekirse teknik ekibi devreye alır ve olay ticket sistemi üzerinden takip edilir. Kritik olaylarda SLA süresi başlar ve müşteri bilgilendirmesi yapılır.

113SEC süreç dokümanında P1 kritik olaylar için ilk yanıt hedefi 1 saat, çözüm hedefi 4 saat olarak konumlandırılır. Aktif saldırı veya sistemin tamamen durması gibi durumlar bu sınıfa girer.

KOBİ’ler İçin SOC Neden Önemli?

KOBİ’lerde çoğu zaman ayrı bir güvenlik ekibi, SIEM uzmanı, EDR analisti veya 7/24 nöbet yapısı bulunmaz. Bu nedenle güvenlik olayları ya geç fark edilir ya da günlük operasyon yoğunluğu içinde önceliklendirilmez.

SOC hizmeti bu boşluğu kapatır. İşletme kendi işine odaklanırken güvenlik operasyonu arka planda devam eder. Sistemlerde olağan dışı bir durum olduğunda alarm oluşturulur, SOC tarafından değerlendirilir ve gerektiğinde müdahale süreci başlatılır.

Bu model özellikle KOBİ’ler için maliyet ve uzmanlık açısından avantajlıdır. Kendi SOC ekibini kurmak yerine yönetilen SOC hizmeti almak; izleme, analiz, müdahale ve raporlamayı tek çatı altında toplamayı sağlar.

SOC Hizmeti Size Ne Kazandırır?

• Erken tespit: Sorun müşteri tarafından fark edilmeden önce alarm üretilir.
• Daha hızlı müdahale: Kritik olaylarda SOC ve teknik ekip sürece dahil olur.
• Daha az kör nokta: Sunucu, ağ, uç nokta, log ve yedekleme durumu birlikte izlenir.
• Şeffaf raporlama: Olaylar, aksiyonlar ve öneriler kayıt altına alınır.
• İş sürekliliği: Güvenlik ve altyapı olayları büyümeden kontrol altına alınır.
• Yönetilebilir maliyet: Aylık hizmet modeliyle kurumsal seviye güvenlik daha erişilebilir olur.

SOC, NOC’tan Farklı mıdır?

NOC yani Network Operations Center daha çok altyapı, ağ, servis sürekliliği ve performans takibine odaklanır. Sunucu çalışıyor mu, ağ cihazı erişilebilir mi, servis yanıt veriyor mu gibi operasyonel sorular NOC’un alanıdır.

SOC ise güvenlik olaylarına odaklanır. Şüpheli giriş denemeleri, zararlı yazılım davranışı, veri sızıntısı girişimi, EDR alarmı, log korelasyonu ve tehdit analizi SOC’un alanıdır.

Pratikte bu iki yapı birlikte çalışmalıdır. Çünkü bir olay hem operasyonel hem güvenlik boyutu taşıyabilir. Örneğin bir sunucunun kapanması teknik arıza olabilir; ancak aynı olay bir saldırının sonucu da olabilir. Bu nedenle 113SEC yaklaşımında izleme, SOC ve teknik ekip aynı operasyon zinciri içinde ele alınır.

Sonuç: Güvenlik Görünürlükle Başlar

Bir sistemi korumanın ilk şartı, o sistemde ne olduğunu görebilmektir. Görünürlük yoksa saldırı da, arıza da, yedekleme hatası da geç fark edilir.

SOC hizmeti işletmelere bu görünürlüğü sağlar. 7/24 izleme, otomatik alarm, SIEM analizi, EDR takibi, teknik müdahale ve raporlama bir araya geldiğinde güvenlik reaktif olmaktan çıkar; proaktif bir operasyona dönüşür.

113SEC olarak amacımız, KOBİ’lere kurumsal seviyede SOC ve güvenlik izleme hizmetini erişilebilir hale getirmek. Siz işinize odaklanırken, sistemlerinizi izler, alarmları değerlendirir ve kritik durumlarda harekete geçeriz.

CTA: Sistemlerinizin 7/24 izleme ve SOC kapsamına uygunluğunu görmek için ücretsiz keşif görüşmesi planlayın. 113sec.com üzerinden bizimle iletişime geçebilirsiniz.

Bu Blogdan Üretilecek Sosyal Medya Postları

Post 1 — Tek Görsel

Başlık: Sistemleriniz siz uyurken de izleniyor.

Metin: SOC hizmeti; sunucu, ağ, uç nokta ve güvenlik olaylarını 7/24 takip ederek kritik alarmları erken tespit eder. Sorun büyümeden harekete geçmek için görünürlük şarttır.

CTA: Ücretsiz keşif görüşmesi alın.

Post 2 — Carousel

Slaytlar:

1. SOC nedir?
2. 7/24 izleme neden gereklidir?
3. Zabbix neyi izler?
4. Wazuh SIEM hangi logları analiz eder?
5. CrowdStrike EDR uç noktada neyi görür?
6. Alarm geldiğinde SOC nasıl aksiyon alır?
7. 113SEC ile sistemleriniz sürekli gözetimde.

Post 3 — LinkedIn Kısa Metin

Siber güvenlikte en kritik konu saldırıyı erken fark etmektir.

Birçok işletme problemi ancak sistemler durduğunda veya kullanıcılar erişim sağlayamadığında fark eder. SOC yaklaşımı bunu değiştirir.

113SEC; Zabbix, Wazuh SIEM ve CrowdStrike EDR katmanlarıyla sistemlerinizi 7/24 izler, alarmları değerlendirir ve kritik durumlarda müdahale sürecini başlatır.

Güvenlik görünürlükle başlar. 113sec.com

Yayın Notları

• Blog içinde “SOC”, “7/24 izleme”, “Wazuh SIEM”, “CrowdStrike EDR” ve “Zabbix monitoring” anahtar kelimeleri doğal şekilde kullanıldı.
• Hizmet sayfası CTA’sı olarak “Ücretsiz keşif görüşmesi” önerildi.
• Kapak görseli için koyu lacivert, SOC dashboard, alert queue ve risk score teması önerildi.
• İlgili servis sayfalarına iç link önerisi: SOC Hizmeti, Risk Analizi, Yedekleme & Kurtarma, Pentest.

Kaynak Notları

• 113SEC Hizmet Süreçleri Rehberi: İzleme & SOC süreci, Zabbix, Wazuh, CrowdStrike, otomatik alarm ve SOC analisti akışı.
• MSP Güvenlik Altyapısı Topoloji & Sistem Kitapçığı: üç katmanlı mimari, Zero Trust yaklaşımı, müşteri uç noktaları, SOC operasyon araçları ve SLA detayları.
• 113SEC Hizmet Tanıtım Sunumu: 7/24 izleme, SOC hizmeti, Wazuh SIEM + CrowdStrike EDR ve hizmet paketleri.