113SEC  —  BLOG
X000Y000
[113SEC]EN
DESTEK
← TÜM YAZILAR[ YAZI ] — SOC

SOC Nedir? 7/24 İzleme İşletmenizi Nasıl Korur?

Bir saldırının asıl maliyeti çoğu zaman geç fark edilmesinden doğar. SOC, sistemlerinizi 7/24 izleyerek anormallikleri erken yakalar ve kritik durumlarda hızlı müdahale sağlar.

TARİHŞubat 2026
KATEGORİSOC
OKUMA6 dk okuma
SOC Nedir? 7/24 İzleme İşletmenizi Nasıl Korur?

Bir saldırının asıl maliyeti çoğu zaman geç fark edilmesinden doğar. SOC, sistemlerinizi 7/24 izleyerek anormallikleri erken yakalar ve kritik durumlarda hızlı müdahale sağlar.

Asıl risk saldırı değil, geç fark etmektir

Siber güvenlikte en büyük tehlikelerden biri, saldırının kendisi kadar saldırının ne zaman fark edildiğidir. Birçok işletme sistemlerinde anormal bir durum olduğunu ancak kullanıcılar hizmete erişemediğinde, dosyalar şifrelendiğinde, sunucu yanıt vermediğinde veya müşteriden şikayet geldiğinde anlar. O noktada sorun çoktan iş etkisine dönüşmüştür.

Modern güvenlik yaklaşımında amaç yalnızca olay olduktan sonra müdahale etmek değildir. Amaç sistemleri sürekli izlemek, anormallikleri erken yakalamak, gerçek tehditleri yanlış alarmlardan ayırmak ve kritik durumlarda hızlı aksiyon almaktır. İşte bu ihtiyaca cevap veren yapının adı SOC'tur.

SOC nedir?

SOC, açılımıyla Security Operations Center, yani Güvenlik Operasyon Merkezi'dir. Logları, alarmları, uç nokta davranışlarını, ağ ve servis durumlarını takip eden; olası tehditleri analiz eden ve gerektiğinde müdahale sürecini başlatan operasyonel güvenlik yapısıdır.

113SEC yaklaşımında SOC, yalnızca ekrana bakan bir izleme ekibi değildir. Zabbix, Wazuh SIEM, CrowdStrike EDR, ticket sistemi, uzaktan destek ve raporlama süreçleriyle birlikte çalışan canlı bir güvenlik katmanıdır. Kullandığımız araçların ve teknoloji altyapımızın ayrıntılarını ilgili sayfada bulabilirsiniz.

SOC ne işe yarar?

SOC'un temel görevi, işletmenin dijital ortamında neler olduğunu görünür hale getirmektir. Sunucular çalışıyor mu? Diskler dolmak üzere mi? Bir kullanıcı çok sayıda hatalı giriş denemesi mi yapıyor? Bir bilgisayarda şüpheli bir süreç mi başladı? Firewall üzerinde anormal trafik var mı? Bir yedekleme başarısız mı oldu?

Bu soruların her biri işletme için önemlidir; çünkü küçük bir uyarı çoğu zaman büyük bir saldırının ilk işaretidir. Bir SOC üç işi birlikte yürütür: görünürlük sağlar, alarm üretir ve müdahale sürecini başlatır. Görünürlük olmadan güvenlik kör noktalarla yönetilir, alarm olmadan ekip zamanında haberdar olmaz, müdahale süreci olmadan da tespit edilen sorun iş kaybına dönüşür.

7/24 izleme neden gereklidir?

Saldırılar mesai saatine göre gerçekleşmez. Fidye yazılımı gece çalışabilir, kaba kuvvet (brute-force) denemeleri hafta sonu artabilir, bir servis pazar sabahı durabilir veya yedekleme işlemi gece yarısı sessizce başarısız olabilir.

Bu yüzden güvenlik izleme, yalnızca iş saatlerinde gözden geçirilen bir kontrol listesi olamaz. Haftanın yedi günü, günün yirmi dört saati çalışan bir altyapı gerekir. Bu altyapı arka planda sistemleri izler, eşikler aşıldığında alarm üretir ve kritik durumları SOC ekibine iletir. Hedef, sorunu müşteri daha fark etmeden ele almaktır.

113SEC SOC süreci nasıl çalışır?

İzleme mimarimiz tek bir araçtan ibaret değildir. Farklı güvenlik ve altyapı katmanlarından veri toplanır, bu veriler birbiriyle ilişkilendirilir ve bir SOC analisti tarafından değerlendirilir. Süreç tipik olarak şu adımlardan oluşur:

  1. Zabbix sürekli izler: Sunucu, ağ cihazı, servis durumu, disk doluluğu, CPU, bellek ve bağlantı sorunları takip edilir.
  2. Wazuh log analizi yapar: Başarısız giriş denemeleri, şüpheli olaylar ve güvenlik logları SIEM üzerinden korele edilir.
  3. CrowdStrike EDR uç noktaları izler: Bilgisayar ve sunuculardaki süreç, dosya ve ağ davranışları gerçek zamanlı analiz edilir.
  4. Anormallik tespit edilir: Şüpheli durum, eşik aşımı veya güvenlik olayı alarma dönüştürülür.
  5. SOC analisti inceler: Alarmın gerçek tehdit mi, yanlış pozitif mi yoksa operasyonel bir hata mı olduğu değerlendirilir.
  6. Müdahale veya kapatma yapılır: Gerekirse teknik ekip devreye girer, ticket açılır, uzak bağlantı veya saha müdahalesi başlatılır.
  7. Raporlama yapılır: Olay kapatıldığında bulgu, aksiyon ve öneriler kayıt altına alınır.

Zabbix, Wazuh ve CrowdStrike birlikte ne sağlar?

Güvenlik operasyonlarında tek bir araç her şeyi çözmez. Altyapı izleme, log analizi ve uç nokta güvenliği ayrı katmanlardır; gücü birlikte çalışmalarından gelir.

  • Zabbix, sistemin sağlıklı çalışıp çalışmadığını gösterir: Sunucu yanıt veriyor mu, servis durmuş mu, disk dolmuş mu, ağ cihazında bağlantı sorunu var mı?
  • Wazuh, güvenlik olaylarını ve logları anlamlandırır: Başarısız oturum açma denemeleri, şüpheli komutlar, dosya değişiklikleri ve MITRE ATT&CK eşleştirmeleri güvenlik perspektifi sunar.
  • CrowdStrike EDR, uç nokta davranışlarını takip eder: Olağan dışı süreç çalışması, şüpheli dosya aktivitesi veya zararlı davranış görüldüğünde olayı uç nokta seviyesinde incelemeyi sağlar.

Bu üçlü birlikte çalıştığında SOC yalnızca "bir alarm var" bilgisini değil, alarmın bağlamını da görür. Bu da yanlış pozitifleri azaltır ve gerçek tehditlere daha hızlı odaklanmayı mümkün kılar.

SOC hangi durumları izler?

SOC yalnızca "siber saldırı var mı?" sorusuna bakmaz; iş sürekliliğini etkileyebilecek teknik ve güvenlik olaylarını birlikte takip eder:

  • Tüm bilgisayar ve sunucular: CPU, bellek, disk doluluğu, servis çalışırlığı ve genel sistem sağlığı.
  • Ağ cihazları: Switch, router ve firewall durumları, trafik anomalileri ve yetkisiz erişim denemeleri.
  • Güvenlik olayları: Başarısız giriş denemeleri, şüpheli yazılım çalıştırma, veri sızıntısı girişimi ve log korelasyonları.
  • Uç nokta davranışları: Süreç, dosya ve ağ aktivitelerinin gerçek zamanlı analizi.
  • Yedekleme durumu: Otomatik yedeklerin başarılı olup olmadığı ve başarısız yedeklemelerde alarm üretimi.

Alarm geldiğinde ne olur?

Alarm üretmek tek başına yeterli değildir. Önemli olan alarmı doğru sınıflandırmak, önceliğini belirlemek ve doğru aksiyonu başlatmaktır. Örneğin bir disk doluluk alarmı tek başına operasyonel bir uyarı olabilir. Ancak aynı anda başarısız giriş denemeleri, yeni bir yönetici hesabı ve şüpheli dosya çalıştırma da görülüyorsa, bu artık bir güvenlik olayıdır.

Bu noktada SOC analisti alarmı inceler, gerekirse teknik ekibi devreye alır ve olay ticket sistemi üzerinden takip edilir. Kritik olaylarda SLA süresi başlar ve müşteri bilgilendirilir. Sürecimizde P1 (kritik) olaylar için ilk yanıt hedefi 1 saat, çözüm hedefi 4 saattir; aktif bir saldırı ya da sistemin tamamen durması bu sınıfa girer.

KOBİ'ler için SOC neden önemli?

KOBİ'lerde çoğu zaman ayrı bir güvenlik ekibi, SIEM uzmanı, EDR analisti ya da 7/24 nöbet yapısı bulunmaz. Bu nedenle güvenlik olayları ya geç fark edilir ya da günlük operasyon yoğunluğu içinde önceliklendirilemez.

Yönetilen SOC hizmeti bu boşluğu kapatır. İşletme kendi işine odaklanırken güvenlik operasyonu arka planda devam eder; olağan dışı bir durumda alarm oluşur, SOC tarafından değerlendirilir ve gerektiğinde müdahale başlatılır. Kendi SOC ekibini kurmak yerine bu hizmeti almak, izleme, analiz, müdahale ve raporlamayı tek çatı altında ve yönetilebilir bir maliyetle toplar.

SOC, NOC'tan farklı mıdır?

NOC, yani Network Operations Center, daha çok altyapı, ağ, servis sürekliliği ve performans takibine odaklanır: Sunucu çalışıyor mu, ağ cihazı erişilebilir mi, servis yanıt veriyor mu? SOC ise güvenlik olaylarına odaklanır: Şüpheli giriş denemeleri, zararlı yazılım davranışı, veri sızıntısı girişimi, EDR alarmı ve tehdit analizi.

Pratikte bu iki yapı birlikte çalışmalıdır; çünkü bir olay hem operasyonel hem güvenlik boyutu taşıyabilir. Örneğin bir sunucunun kapanması teknik bir arıza olabileceği gibi bir saldırının sonucu da olabilir. Bu yüzden 113SEC yaklaşımında izleme, SOC ve teknik ekip aynı operasyon zinciri içinde ele alınır.

Sonuç: güvenlik görünürlükle başlar

Bir sistemi korumanın ilk şartı, o sistemde ne olduğunu görebilmektir. Görünürlük yoksa saldırı da, arıza da, yedekleme hatası da geç fark edilir. SOC hizmeti işletmelere bu görünürlüğü kazandırır: 7/24 izleme, otomatik alarm, SIEM analizi, EDR takibi, teknik müdahale ve raporlama bir araya geldiğinde güvenlik reaktif olmaktan çıkar, proaktif bir operasyona dönüşür.

113SEC olarak amacımız, KOBİ'lere kurumsal seviyede SOC ve güvenlik izleme hizmetini erişilebilir kılmak. Siz işinize odaklanırken biz sistemlerinizi izler, alarmları değerlendirir ve kritik durumlarda harekete geçeriz. Sistemlerinizin 7/24 izleme kapsamına uygunluğunu konuşmak için bizimle iletişime geçebilirsiniz.

Sık Sorulan Sorular

SOC nedir ve ne işe yarar?

SOC (Security Operations Center), logları, alarmları, uç nokta davranışlarını ve sistem durumlarını sürekli izleyen güvenlik operasyon merkezidir. Görünürlük sağlar, alarm üretir ve gerektiğinde müdahale sürecini başlatır.

7/24 izleme neden gereklidir?

Saldırılar mesai saatine uymaz; fidye yazılımı gece, kaba kuvvet denemeleri hafta sonu olabilir. 7/24 çalışan izleme altyapısı sistemleri arka planda takip eder, eşik aşımında alarm üretir ve kritik durumları müşteri fark etmeden ekibe iletir.

SOC ile NOC arasındaki fark nedir?

NOC altyapı, ağ ve servis sürekliliğine; SOC ise güvenlik olaylarına, tehdit analizine ve uç nokta davranışlarına odaklanır. Bir olay hem operasyonel hem güvenlik boyutu taşıyabildiği için iki yapı birlikte çalışmalıdır.

SOC hizmeti KOBİ'ler için neden uygundur?

KOBİ'lerde çoğu zaman ayrı güvenlik ekibi veya 7/24 nöbet bulunmaz. Yönetilen SOC; izleme, analiz, müdahale ve raporlamayı tek çatı altında ve yönetilebilir bir aylık maliyetle sunarak bu boşluğu kapatır.