Hemen başlayın
Siber Güvenlik Rehberi

SOC kurulumu rehberi: tehdit izleme merkezi nasıl oluşturulur?

SOC (Security Operations Center), kurumun siber tehditlerini 7/24 izleyen, analiz eden ve olay müdahale süreçlerini yöneten operasyon merkezidir. SOC kurulumu yalnızca SIEM lisansı almak değil; log kaynaklarının entegrasyonu, use case tasarımı, analist yetkinliği ve olay müdahale playbook'larının bir araya gelmesidir. SG Danışmanlık SOC danışmanlığı hizmetiyle kurumunuzun mevcut olgunluğunu değerlendirir, aşamalı bir kurulum yol haritası sunar.

SOC kurulumu ve Blue Team tehdit izleme merkezi
  • Yazar: SG Danışmanlık
  • 27 Mayıs 2026
  • 11 dk okuma

SOC nedir ve neden kurulur?

SOC, güvenlik olaylarının merkezi toplandığı, korelasyon kurallarının çalıştırıldığı ve analistlerin alarm triyajı yaptığı yapıdır. Amaç, fidye yazılımı, kimlik bilgisi ele geçirme ve veri sızdırma gibi tehditleri erken aşamada tespit edip müdahale süresini kısaltmaktır.

KVKK ve sektör düzenlemeleri log saklama ve olay kaydı tutma yükümlülükleri getirir; SOC bu gereksinimleri operasyonel disipline dönüştürür. SOC olmadan da log toplanabilir; ancak olaylar arasında bağlantı kurmak ve önceliklendirmek zorlaşır.

SOC kurulumu öncesi olgunluk değerlendirmesi

SOC projesine başlamadan önce log kaynak envanteri çıkarılmalıdır: firewall, EDR, kimlik yönetimi, DNS, bulut audit logları ve kritik uygulama logları. Logların SIEM'e ulaşıp ulaşmadığı, zaman senkronizasyonu (NTP) ve saklama süreleri kontrol edilir.

Mevcut IT ve güvenlik ekiplerinin 7/24 kapasitesi, olay müdahale planı ve eskalasyon zinciri değerlendirilir. Küçük kurumlar için tam 7/24 iç SOC yerine hibrit model — gündüz iç ekip, gece dış kaynak — sık tercih edilir.

  • Log kaynağı envanteri ve kapsam analizi
  • Mevcut SIEM/EDR altyapısı ve lisans durumu
  • Olay müdahale planı ve iletişim zinciri
  • Analist kadrosu ve vardiya modeli
  • Use case ve playbook olgunluk seviyesi

SIEM seçimi ve entegrasyon

SIEM (Security Information and Event Management), SOC'un teknik omurgasıdır. Seçimde log hacmi, entegrasyon kütüphanesi, korelasyon motoru, raporlama ve mevzuat uyum şablonları dikkate alınır. Bulut tabanlı SIEM hızlı devreye alma sunarken, on-premise çözümler veri egemenliği gerektiren kurumlar için tercih edilir.

Entegrasyon aşamasında önce kritik kaynaklar bağlanır: domain controller, firewall, EDR ve kimlik sağlayıcı logları. Her kaynak için normalizasyon, alan eşleme ve saklama politikası tanımlanır. Log kalitesi düşükse en iyi kural seti bile anlamlı alarm üretmez.

Use case kütüphanesi ve alarm yönetimi

Use case, belirli bir tehdit senaryosunu tespit eden kural veya analitik setidir. MITRE ATT&CK teknikleri referans alınarak öncelikli senaryolar seçilir: kimlik bilgisi spraying, anomalous login, lateral movement, veri exfiltration göstergeleri.

Alarm gürültüsü (false positive) analist yorgunluğuna ve gerçek tehditlerin kaçırılmasına yol açar. SOC kurulumunun olgunluk aşamasında kurallar iteratif olarak ayarlanır; whitelist, eşik değerleri ve bağlam zenginleştirme uygulanır. Purple Team oturumları, kuralların gerçek saldırı senaryolarında tetiklenip tetiklenmediğini doğrular.

Olay müdahale playbook'ları

Playbook, alarm tipine göre analistin izleyeceği adım adım prosedürdür. Her playbook triyaj, izolasyon, kanıt toplama, kök neden analizi ve iyileştirme adımlarını içerir. Fidye yazılımı, phishing ve yetkisiz erişim için ayrı playbook'lar hazırlanmalıdır.

Playbook'lar yalnızca dokümanda kalmamalı; tabletop tatbikatları ve Purple Team senaryolarıyla test edilmelidir. Olay sonrası post-mortem raporu, SOC süreçlerinin sürekli iyileştirilmesini sağlar.

SOC performans metrikleri

SOC başarısı ölçülebilir metriklerle takip edilmelidir: ortalama tespit süresi (MTTD), ortalama müdahale süresi (MTTR), alarm kapatma oranı, yanlış pozitif oranı ve kritik olay kapsamı. Yönetim kuruluna sunulabilir aylık SOC raporu bu metrikleri özetler.

SOC danışmanlığı sürecinde başlangıç olgunluk skoru belirlenir; 6–12 aylık hedefler tanımlanır. Böylece yatırımın geri dönüşü somut göstergelerle izlenir.

SOC danışmanlığı ile aşamalı devreye alma

Tam kapsamlı SOC bir gecede kurulmaz. Önce kritik log kaynakları, ardından öncelikli use case seti, son olarak 7/24 operasyon modeli planlanır. Managed SOC veya hibrit model küçük ekipler için maliyet-etkin alternatif sunar.

Teknik altyapı ve süreç tasarımı için SOC danışmanlığı hizmetimiz kapsamlı yol haritası sunar. Savunma ekibi yetkinliği Blue Team çalışmalarıyla desteklenir; olay anında siber olay müdahale devreye alınır.

SOC kurulumunda sık yapılan hatalar

  • SIEM kurulumu tamamlanmadan 7/24 vardiya başlatmak
  • Use case olmadan ham log biriktirmek
  • Playbook olmadan alarm triyajı yapmak
  • Purple Team doğrulaması yapmadan kural setini dondurmak

Pratik kontrol listesi

  • Tüm kritik sistemlerden log SIEM'e akıyor mu?
  • NTP ve log zaman damgası tutarlılığı sağlandı mı?
  • En az 10 öncelikli use case devreye alındı mı?
  • 7/24 eskalasyon ve iletişim zinciri tanımlı mı?
  • Olay müdahale playbook'ları son 12 ayda test edildi mi?

Sonuç

SOC kurulumu teknik entegrasyon, süreç tasarımı ve insan yetkinliğinin birleşimidir. Aşamalı bir yol haritasıyla başlamak, alarm gürültüsünü kontrol altında tutarken gerçek tehdit görünürlüğünü artırır.

Kurumunuzun SOC olgunluğunu değerlendirmek için SOC danışmanlığı hizmetlerimizden yararlanabilir; ücretsiz ön görüşme için iletişime geçin.

Ücretsiz ön değerlendirme için iletişim sayfamızdan bize ulaşın veya hizmetlerimiz sayfasından kapsamı inceleyin.

Sık sorulan sorular

Log kaynağı sayısı ve mevcut altyapıya göre değişir. Temel SIEM entegrasyonu ve ilk use case seti genellikle 2–4 ay; tam operasyonel olgunluk 6–12 ay sürebilir.

Siber güvenliğinizi şansa bırakmayın.

Ücretsiz danışmanlık için hemen bizimle iletişime geçin.
Ücretsiz danışmanlık alın
Danışmanlık görseli