Güvenlik Operasyonları Merkezi (SOC) Nedir ?
Güvenlik operasyonları merkezi (SOC), bir kuruluşun güvenliği sağlamak için sürekli olarak izlemek ve analiz etmekten sorumlu bilgi güvenliği ekibini barındıran bir birimdir.
SOC ekibinin amacı, teknoloji çözümleri kullanarak ve uyguladığı süreçler ile siber güvenlik olaylarını tespit etmek, analizini yapmak ve bu olaylara karşı aksiyon almaktır. Güvenlik operasyon merkezlerinde genellikle güvenlik analistleri ve mühendisleri ile güvenlik operasyonlarını denetleyen yöneticiler bulunur. SOC ekibi, güvenlik sorunlarının bulunmasının ve bu sorunların hızlı bir şekilde çözüme ulaşmasının sağlanması için organizasyonel olay müdahale ekipleriyle yakından çalışır.
Güvenlik operasyon merkezleri, ağlar, sunucular, uç noktalar, veritabanları, uygulamalar, web siteleri ve diğer sistemlerdeki etkinliği izler ve analiz eder. Bir güvenlik olayı veya tehlikesi olabilecek anormal etkinlikleri arar.
SOC ekibi genel olarak, izleme sistemleri ile kuruma karşı gerçekleşen atak ve sızma olaylarını en kısa sürede tespit etmeyi hedefler ve her hangi bir güvenlik ihlali ya da anormal aktivite araştırması yapar.
Buldukları tüm bilgileri değerlendirerek gerekli aksiyonun alınmasını ve sorumlu olduğu kurumun bilgilerini korumaları için çok önemli bir fayda sağlarlar.
Güvenlik Operasyon Merkezi Nasıl Çalışır ?
Güvenlik stratejisi geliştirmeye, güvenlik mimarisini tasarlamaya veya koruyucu önlemleri uygulamaya odaklanmak yerine SOC ekibi, kurumsal bilgi güvenliğinin devam eden, operasyonel bileşeninden sorumludur. Güvenlik operasyonları merkezi personeli, siber güvenlik olaylarını tespit etmek, analiz etmek, raporlamak ve önlemek amacıyla birlikte çalışan güvenlik analistlerinden oluşmaktadır.
Bir SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya ve yeteneklere sahip olması gerekmektedir. SOC işlemlerinin temeli, kurumun sahip olduğu tüm cihaz ve sistemlerden gönderilen log kayıtlarını ve bu kayıtlardan meydana gelen verileri analiz edip, uygun sonuçlar ve tepkiler üreten SIEM ve SOAR sistemleri ile sağlanabilmektedir.
SIEM ve SOAR sistemlerinden kısaca şöyle bahsedebiliriz;
SIEM, Security Information and Event Management olarak ifade edilen ve genelde Güvenlik Bilgileri ve Olay Yönetimi şeklinde çevrilen ürünlerdir. Kurum içinde kullanılan bütün cihazlardan (Firewall, IDS, IPS, aktif cihaz logları, sistem logları, uygulama logları vb) toplanmış loglar üzerinden tanımlanmış kurallara göre loglar arasında anlamlı ilişkiler kurarak, bilgi sistem yöneticilerine ileten, uyaran, yönlendiren pasif önleyici sistemlerdir.
SOAR ise (Security Orchestration Automation and Responce) Güvenlik Orkestrasyon, Otomasyon ve Yanıt vermek olarak çevirilen ürünlerdir. SIEM’den gelen alarmları yönetmek ve yanıt vermek için tasarlanmıştır. Farklı kaynaklardan gelen veriler veya logların toplanarak düzenlenmesi standardizasyonu ve otomasyonunu sağlamaya yarayan sistemler bütünüdür. SOAR sistemi SIEM’den gelen verileri otomatik olarak yöneten bir sistemdir. Bu sistem farklı güvenlik uygulama ve servislerinin birlikte çalışmasını ve birbirlerine entegre olmasını sağlar. Olası bir saldırı durumunda veya şüpheli bir davranış algıladığında anlamlı ,daha hızlı ve etkili cevap verme süreleri elde etmek için kullanılır.
- https://evrenbey.medium.com/soar-bölüm-1-önce-olay-müdahale-a268c2da3bc8
SOAR’ın bir SOC’a sağladığı temel fayda, mühendislerin ve analistlerin uzmanlık becerilerini daha iyi kullanmalarına olanak tanıyan, herhangi bir insan müdahalesine gerek duymadan bir izleme sisteminde elle yapılan ve zaman alan işleri otomatikleştirmesi ve düzenlemesidir. SIEM olayları analiz ve değerlendirme yaparak sonuç bildirirken, SOAR entegre olduğu sistemlerle birlikte karşı hamle yaparak olaya müdahale eder.
SIEM ve SOAR uygulamaları SOC ekipleri için çok kritik bir öneme sahip olduğundan dolayı günümüzde bir çok kurumsal firma bu uygulamaları kullanmaya devam etmektedir.
Kaynaklar
https://evrenbey.medium.com/soar-bölüm-1-önce-olay-müdahale-a268c2da3bc
https://siberataksavunma.com/soc-security-operations-center-nedir/
https://www.mcafee.com/enterprise/en-us/security-awareness/operations/what-is-soc.html