Wazuh, ELK Stack, Splunk, Microsoft Sentinel — kurumsal projede hangisi?

**Wazuh** (open-source, ücretsiz): tam KVKK kontrol, on-prem deployment, agent-based collection güçlü, MITRE ATT&CK rule mapping built-in. Dezavantaj: UI ham, scaling 5K+ EPS'te zor, ekip Linux + Elasticsearch operasyon bilmeli. KOBİ ve orta kurumlar için **default seçim**. **ELK Stack / OpenSearch**: log analytics tarafı çok güçlü ama tek başına SIEM değil — SIEM olarak kullanmak için kendi correlation rule'larını yazmak gerekir. Wazuh + Elasticsearch zaten birleşik kullanılır. **Splunk** (enterprise): UI ve search dili (SPL) sektör standardı, geniş app marketplace, premium SIEM özellikleri. Lisans pahalı (yıllık GB-bazlı 500-2.000 USD/GB-gün), 10TB+ kurumda yıllık maliyet milyon dolarları bulur. Büyük finans, telco için tercih. **Microsoft Sentinel** (cloud-native, Azure): KVKK için EU region seçilmeli + DPA imzalanmalı. Microsoft 365 / Azure ekosisteminde olan kurumlar için entegrasyon avantajı belirgin; native KQL sorgu dili, AI-driven UEBA. Maliyet pay-per-ingestion (~2-5 USD/GB), öngörülebilirlik için commitment tier seçilebilir. Karar matrisi yazıda detayda.

MITRE ATT&CK framework neden bu kadar kritik ve nasıl uygulanır?

MITRE ATT&CK, gerçek saldırgan davranışlarını **14 taktik + 200+ teknik** olarak sınıflandıran ortak dildir. Üç kritik kullanımı var. (1) **Detection coverage map**: SIEM rule'larınızı ATT&CK technique ID'lerine eşler, hangi tekniklerin gözetildiğini hangilerinin kör nokta olduğunu görürsünüz. T1003 (Credential Dumping), T1078 (Valid Accounts), T1486 (Data Encrypted for Impact) gibi kritik teknikler eksikse SOC olgunluğu düşük. (2) **Purple team egzersiz**: Red team belirli teknikleri simüle eder, blue team detection'ları doğrular — MITRE ATT&CK Navigator ile sonuç matrisi çıkar, aylık iyileştirme döngüsü. (3) **Threat intel mapping**: bir APT grubu (örnek: APT29, FIN7) hangi teknikleri kullanıyor — TTPs profili çıkarılır, ona özel detection rule'ları yazılır. Production SOC'da ATT&CK matrix coverage **en az %60** hedef olmalı (kurumsal olgun seviye %75-85). Wazuh, Splunk, Sentinel hepsi ATT&CK tagging desteği veriyor.

SOAR nedir ve gerçekten incident response süresini azaltıyor mu?

SOAR (Security Orchestration, Automation and Response), tekrar eden incident response adımlarını **playbook**'larla otomatize eder. Tipik örnekler: phishing email raporu → URL sandbox'ta tarama → kötücülse mailbox'tan toplu silme → kullanıcıya bildirim → ticket kapatma — manuel 30dk, SOAR ile 2dk. Cortex XSOAR (Palo Alto), Splunk SOAR, Tines, Shuffle (open-source), Microsoft Sentinel playbook'lar baskın seçenekler. Gerçek değer: MTTR (Mean Time To Respond) düşüşü. Bir orta ölçekli müşterimizde 50 playbook devreye girdikten sonra L1 analist iş yükü %40 azaldı, P3/P4 ticket MTTR 4 saatten 35dk'ya indi. Ama uyarı: yanlış kurgulanmış playbook (örnek: 'şüpheli IP'yi otomatik banla') prod ortamında **kendi kullanıcılarını kilitleyebilir** — playbook'ların **human-in-the-loop approval gate**'i ile başlaması, güven kazanınca full automation'a geçmesi zorunlu. SOAR'ı ilk 6 ayda **decision support** olarak kullan, sonra otomasyona aç.

Bir kurumsal SOC kurulumu tipik olarak ne kadar sürer ve ne kadara mal olur?

Üç ölçek var. (1) **Temel SOC** (200-500 kullanıcı, MSSP destekli, Wazuh tabanlı): 8-12 hafta kurulum, ilk yıl 1,2-2,5M TL (Wazuh ücretsiz ama 2 GPU sunucu + storage + 1 in-house mühendis maaşı + MSSP L1 sözleşmesi). (2) **Orta SOC** (500-2.000 kullanıcı, hibrit, Wazuh + threat intel + bazı SOAR): 16-24 hafta, yıllık 4-8M TL (3-4 mühendis + lisans + altyapı). (3) **Kurumsal SOC** (2.000+ kullanıcı, 24/7 in-house, Splunk/Sentinel, full SOAR, ATT&CK olgunluk %75+): 24-40 hafta kurulum, yıllık 12-30M TL (8-12 analist 3 vardiya + lead + threat intel + SOAR mühendisi + lisanslar). Maliyetin **%40-55'i personel**; lisans %20-30; altyapı %10-20; eğitim + danışmanlık %5-10. Pratik kural: SOC'a ayrılan bütçenin **personel kalemini hiçbir zaman kısma** — en pahalı SIEM bile yanlış konfigürasyon edilirse iz bırakmadan bypass edilir, doğru ekip ucuz araçla bile sağlam savunma kurar.

Siber Güvenlik

Kurumsal SOC Kurulumu: SIEM, SOAR, Threat Intel Pipeline Mimarisi

Q: MSSP'ye outsource etmek mi, in-house SOC kurmak mı — hangisi doğru?

Karar üç değişkene bağlı. (1) **Veri hassasiyeti ve KVKK kapsamı**: özel nitelikli kişisel veri (sağlık, biyometrik, finans) işleyen kurumlar için log'ların yurt dışına çıkışı çoğu zaman uyum sorunu yaratır — in-house veya yerli MSSP zorunlu. (2) **24/7 yetenek bütçesi**: in-house SOC için en az 6-8 analist (3 vardiya × 2 + lead) gerekir, yıllık 4-7M TL maaş + altyapı. MSSP aynı kapsam için yıllık 1,5-3,5M TL. (3) **Olay yanıtı SLA gereği**: kritik müşteriler P1 için 15dk MTTD/MTTR ister; bu in-house dahi zor, MSSP'de sözleşmeye yazılmalı. Pratik öneri: 500 kullanıcının altı için **yönetilen MSSP**; 500-2.000 arası için **hibrit** (MSSP L1/L2, in-house L3 + incident response); 2.000+ ve hassas sektör için **in-house SOC** + uzman threat intel danışmanlığı.

Sıfırdan üretim-grade SOC kurmanın yedi pratik kararı: log toplama, SIEM seçimi (Wazuh/ELK/Splunk), MITRE ATT&CK eşleştirme, SOAR otomasyonu, KVKK uyumlu retention. Kurumsal güvenlik projelerinden çıkan dersler. eCloud Tech mühendislik notu.

Yayım: 25 Mayıs 202613 dk okuma

socsiemsoarmitre-attack

Kurumsal siber güvenlik son beş yılda fundamental bir dönüşüm geçirdi. Çevre savunma (firewall + antivirüs + IPS) modelinin yetmediği, zero-trust + sürekli izleme + hızlı yanıt modelinin baskın hale geldiği bir döneme girdik. Bu dönüşümün operasyonel merkezi SOC (Security Operations Center) — 7/24 çalışan, telemetri toplayan, anomali tespit eden, olaylara yanıt veren ve sürekli olgunlaşan bir güvenlik fonksiyonu. Türkiye'de KVKK Kişisel Verilerin Korunması Kanunu, BDDK Bilgi Sistemleri Yönetmeliği, EPDK regülasyonları ve cyber-insurance sözleşmeleri SOC'u artık good to have değil, must have olarak konumlandırıyor.

Bizim SOC operasyon kurulum mühendisliği, olay yanıt hizmetleri ve tehdit istihbaratı hizmetleri kapsamında son 24 ayda 11 kurumsal SOC projesi yürüttük — finans, sağlık, enerji ve e-ticaret sektörlerinde. Bu yazıda yedi pratik adımda kurumsal SOC mimarisinin nasıl kurulduğunu sıfırdan anlatıyoruz: kapsam tanımı, log toplama, SIEM seçimi, MITRE ATT&CK eşleştirme, threat intel pipeline, SOAR otomasyonu ve sürekli olgunlaşma süreci.

1. Stratejik karar — kapsam, model ve olgunluk hedefi

İlk soru Splunk mu, Wazuh mı? değil; neyi koruyoruz, kime karşı, hangi olgunluk seviyesinde? olmalı. Üç temel boyut:

Kapsam (scope): hangi varlıklar SOC izlemesi altında? Tipik katmanlar: (1) endpoint (kullanıcı bilgisayarları, sunucular), (2) network (firewall, router, switch, IDS/IPS), (3) cloud (AWS/Azure/GCP control plane + workload), (4) identity (Active Directory, Azure AD, MFA), (5) application (web uygulamaları, API gateway), (6) SaaS (Microsoft 365, Google Workspace, Slack). Her katman ayrı log source, ayrı detection rule, ayrı tuning gerektirir. "Her şeyi izleyelim" yaklaşımı yıkıcı — başlangıçta en kritik 2-3 katmana odaklan, olgunlaştıkça genişlet.

Model (in-house / MSSP / hibrit):

In-house: kontrol tam, gizlilik max, ama 24/7 vardiya için en az 6-8 analist (yıllık 4-7M TL personel), uzun ramp-up. Hassas sektör (savunma, kritik altyapı, büyük finans) için zorunlu.
MSSP (Managed Security Service Provider): hızlı başlangıç (4-8 hafta), 7/24 vardiya hazır, yıllık 1,5-3,5M TL. Dezavantaj: log'lar dış kuruma akar — KVKK için DPA + log lokasyonu sözleşmeye girmeli. Yerli MSSP tercih edilir.
Hibrit: MSSP L1 (alert triyaj) + L2 (initial investigation), in-house L3 (deep investigation) + incident response + threat hunting. Orta-büyük kurumlar için baskın model — maliyet/kapsam dengesi en iyi.

Olgunluk hedefi: SOC olgunluğu yıllar içinde gelişir. SANS SOC maturity model 5 seviye tanımlar:

Seviye	Tanım	Kurumsal eşik
Level 1	Ad-hoc, dokümante değil	İlk 6 ay
Level 2	Tekrarlanabilir, temel KPI	6-18 ay
Level 3	Tanımlı süreç, MITRE ATT&CK eşlemeli, threat intel	18-36 ay
Level 4	Ölçümlü ve sürekli iyileştirme, threat hunting aktif	3-5 yıl
Level 5	Optimize, AI-augmented detection, proactive	5+ yıl

Pratik hedef: ilk 12 ayda Level 2-3 arası; 24-36 ayda Level 3-4 arası. Level 5 marketing iddialarına itibar etmeyin — gerçek Level 5 SOC çok az kurumda var (büyük tech, devlet siber savunma).

2. Log toplama — telemetri kalitesi her şeyi belirler

SOC'un en az glamour'lu ama en kritik adımı log toplama. Eksik veya kalitesiz telemetri ile dünyada en iyi SIEM bile boş çalışır. Beş kritik kaynak:

Endpoint logs (EDR): process creation, file modification, registry change, network connection, PowerShell execution. Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne, Wazuh agent — kurumsal seçenekler. Sysmon (Microsoft) ücretsiz alternatif, doğru sysmon-config (örnek: SwiftOnSecurity) ile %80 EDR değeri verir.

Network logs: firewall (deny/allow with source/dest), proxy (HTTP request, user-agent), DNS (query log — DNS exfiltration tespiti için kritik), NetFlow/IPFIX (traffic baseline). DNS log'lar genelde atlanır ama lateral movement ve C2 callback detection için en değerli kaynak.

Identity logs: Active Directory event log (4624 login, 4625 failed login, 4688 process, 4720 user created), Azure AD sign-in log, MFA challenge, privileged access. Pass-the-hash, golden ticket, kerberoasting saldırılarının tespit yeri burası.

Cloud logs: AWS CloudTrail (API çağrı log'u), Azure Activity Log, GCP Audit Log — kim ne zaman hangi resource'a ne yaptı. S3 bucket public yapma, IAM policy değişikliği, VPC değişikliği gibi olaylar burada görülür.

Application logs: web application access log, API gateway (rate limit ihlali, auth failure), database (query audit), SaaS (Microsoft 365 unified audit log, Google Workspace admin log).

Log toplama mimarisi standart pattern:

[Log source]
    ↓ (syslog, agent, API)
[Log shipper: Fluent Bit / Logstash / Wazuh agent]
    ↓ (normalization, enrichment)
[Buffer: Kafka / Redis] (high-volume için)
    ↓
[SIEM: Wazuh / ELK / Splunk / Sentinel]
    ↓
[Long-term archive: S3 / Azure Blob / MinIO]

KVKK perspektifinden iki kritik nokta: (1) log içerisinde kişisel veri (kullanıcı adı, IP, email) varsa Veri Sorumlusu olarak işleme amacı ("güvenlik izleme") yazılı politikada belirtilmeli, retention period tanımlanmalı (genelde 6-12 ay sıcak, 12-24 ay arşiv). (2) log lokasyonu Türkiye veya AB sınırı içinde tutulmalı; ABD bulut servisleri kullanılıyorsa DPA + Standard Contractual Clauses zorunlu.

Veri mühendisliği altyapısı SOC log pipeline'ı için sıklıkla kritik — Kafka cluster, ETL job'lar, archive policy bilgisi olmadan sürdürülebilir SOC kurulamaz.

3. SIEM seçimi — Wazuh, ELK, Splunk, Sentinel karar matrisi

SIEM (Security Information and Event Management) SOC'un beyni — log'ları korelasyon kuralları üzerinden geçirip alert üretir. Yanlış SIEM seçimi 1-2 yıl içinde göç projesi yaratır; doğru seçim 5-7 yıl ömür verir.

Wazuh (open-source, ücretsiz):

Avantaj: ücretsiz, on-prem KVKK uyumlu, agent-based güçlü, MITRE ATT&CK rule mapping built-in, FIM (File Integrity Monitoring) + SCA (Security Configuration Assessment) + vulnerability detection tek paket.
Dezavantaj: UI ham (Wazuh Dashboard kullanışlı ama Splunk seviyesinde değil), scaling >5K EPS (events per second) Elasticsearch tuning ister, ekip Linux + Elasticsearch operasyon bilmeli.
En uygun: KOBİ ve orta kurumlar (200-2.000 kullanıcı), KVKK-kritik sektörler, açık kaynak felsefesi.

ELK Stack / OpenSearch:

Avantaj: log analytics tarafı çok güçlü, custom dashboard, scaling iyi.
Dezavantaj: tek başına SIEM değil — correlation rule'larını manuel yazmak gerekir; Elastic Security (X-Pack) özellikleri ücretli (yıllık ~125 USD/host).
En uygun: zaten ELK kullanan kurumlar, custom analytics ihtiyacı yüksekse.

Splunk Enterprise Security:

Avantaj: UI + arama dili (SPL) sektör standardı, geniş app marketplace (1.500+ integration), Enterprise Security premium add-on (correlation, threat intel, asset framework).
Dezavantaj: lisans pahalı — perpetual veya term-based, yıllık 500-2.000 USD/GB-gün; 10TB/gün için yıllık 1,8M-7,3M USD. Ingestion tabanlı pricing nedeniyle KOBİ için erişilemez.
En uygun: büyük finans, telco, retail (5.000+ kullanıcı), milyon-dolarlık güvenlik bütçesi.

Microsoft Sentinel (cloud-native, Azure):

Avantaj: Azure ekosistem entegrasyonu, KQL (Kusto Query Language) güçlü, AI-driven UEBA + Fusion correlation, pay-per-ingestion (~2-5 USD/GB), Microsoft 365 / Defender doğal entegrasyon.
Dezavantaj: Azure-bound; KVKK için EU region (West Europe / North Europe) seçilmeli + DPA. On-prem-only kurumlar için uygun değil.
En uygun: Microsoft 365 / Azure heavy kurumlar, cloud-first stratejisi, orta-büyük ölçek.

Karar matrisi:

Kriter	Wazuh	ELK	Splunk	Sentinel
Maliyet (yıllık, 2K user)	TL 500K-2M	TL 1M-3M	USD 250K-1M+	USD 150K-600K
KVKK on-prem	Tam	Tam	Tam	EU region + DPA
Setup süresi	8-12 hafta	8-14 hafta	16-24 hafta	4-8 hafta
MITRE ATT&CK desteği	Native	Manuel	Native (ES)	Native
Compliance reporting	Orta	Manuel	Güçlü	Güçlü
Ekip yetkinlik gereği	Linux+Elastic	Elastic+Lucene	SPL+admin	KQL+Azure

Pratik öneri: KOBİ/orta = Wazuh; Microsoft ekosistem = Sentinel; büyük enterprise = Splunk veya Sentinel. Yanlış: "Splunk en iyi" demek — Splunk doğru ekip + bütçe ile en güçlü, ama küçük ekip için maliyet ve operasyon yükü altında ezilir.

4. MITRE ATT&CK eşleştirme — ortak dil ve detection coverage

MITRE ATT&CK framework, gerçek dünya saldırgan davranışlarını yapılandırılmış olarak sınıflandıran ortak güvenlik dilidir. 14 taktik (Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) × 200+ teknik + 600+ sub-teknik. Production SOC'un bu çerçeveyi üç ana amaçla kullanması gerekir:

Detection coverage map: mevcut SIEM rule'larınızı ATT&CK technique ID'lerine eşlersiniz, hangi tekniklerin gözetildiğini hangilerinin kör nokta olduğunu görürsünüz. Örnek eşleme:

Detection rule	ATT&CK technique
PowerShell encoded command execution	T1059.001
Mimikatz signature on disk	T1003.001
LSASS process memory access	T1003.001
New service creation on remote host	T1543.003
Suspicious DNS query (DGA pattern)	T1071.004
File encryption mass (ransomware)	T1486

ATT&CK Navigator (ücretsiz web aracı) bu eşlemeyi görselleştirir — yeşil = covered, sarı = partial, kırmızı = uncovered. Production SOC için coverage en az %60 (kurumsal olgun %75-85). %100 imkansız ve gereksiz; bazı teknikler (insider threat with legitimate access) signature-based detection ile yakalanamaz, behavior analytics + DLP ile çözülür.

Purple team egzersiz: Red team belirli ATT&CK teknikleri simüle eder (Atomic Red Team, Caldera, Cobalt Strike), blue team detection'ları doğrular. Aylık döngü: Red planlar → uygular → Blue gördü mü kontrol → kör nokta → yeni rule yaz → tekrar test. Bizim red team simülasyon hizmetimiz bu döngüyü dış ekip olarak yürütüyor; in-house team validasyon kazanır.

Threat intel mapping: tanımlı bir tehdit aktörü (APT29, FIN7, Conti, Lazarus, MuddyWater) hangi teknikleri kullanıyor — ATT&CK Groups sayfasından TTPs profili çekilir, kuruma özel detection rule'ları yazılır. Örnek: APT29 sıklıkla T1078 (Valid Accounts) + T1098 (Account Manipulation) + T1059.001 (PowerShell) zincirini kullanır; bu üç teknik kombinasyonunu yakalayan correlation rule yazılır.

ATT&CK olgunluk değerlendirme aracı: DeTT&CT (open-source) coverage gap analizini otomatik yapar, log source eksikliklerini tespit eder. Yıllık değerlendirme yapan kurumlar 18-24 ay içinde coverage %35-40'tan %70-75'e çıkıyor.

5. Threat intelligence pipeline — dış istihbaratı detection'a çevirmek

Threat intelligence (TI), dış kaynaklardan gelen kim, ne, nasıl saldırıyor bilgisinin detection'a, prevention'a ve response'a çevrilmesidir. Üç kalite seviyesi:

Strategic TI: yönetim için sektörel tehdit landscape — APT trendleri, ülke-seviye saldırı motifleri, dark web underground ekonomi. Yıllık rapor formatında. Microsoft Digital Defense Report, CrowdStrike Global Threat Report, ENISA Threat Landscape, BTK USOM raporları.

Operational TI: SOC analistleri için aktif kampanya bilgisi — hangi APT grubu şu anda hangi sektörü hedefliyor, hangi initial access vector kullanılıyor, hangi malware family aktif. Recorded Future, Mandiant Advantage, CrowdStrike Falcon Intelligence, açık STIX/TAXII feed'leri (AlienVault OTX, MISP), Türkiye için USOM siber tehdit bültenleri.

Tactical TI / IoC (Indicators of Compromise): SIEM'in doğrudan tükettiği — kötücül IP adresi, malware hash, malicious domain, URL pattern, JA3 fingerprint, Yara rule. STIX 2.1 standardı, TAXII 2.1 transport protocol. Feed örnekleri:

Feed	Tip	Maliyet
AlienVault OTX	Topluluk, geniş	Ücretsiz
Abuse.ch URLhaus / Feodo / SSL BL	Malware C2, ransomware	Ücretsiz
Spamhaus	Botnet, spam	Ücretsiz / paid
MISP topluluk paylaşım	Sektör-özel	Ücretsiz
Recorded Future	Kurumsal premium	USD 50K-300K/yıl
Mandiant Advantage	APT, deep	USD 100K-500K/yıl
USOM Türkiye	Yerel tehdit	Ücretsiz (kurumsal kayıt)

Pipeline mimarisi:

[TI feed'ler: STIX/TAXII, JSON, CSV]
    ↓
[TI platform: MISP / OpenCTI / ThreatConnect]
    ↓ (deduplication, scoring, tagging)
[SIEM enrichment: alert IoC ile eşleşince context]
    ↓
[SOAR playbook: otomatik block / quarantine / alert escalation]

Önemli pratik: IoC kalitesi yaşı + kaynağı + doğrulamasıyla ölçülür. Doğrulanmamış feed'i SIEM'e doğrudan beslemek false positive patlamasına yol açar — SOC analist iş yükü saatlerce artarken gerçek tehdit gözden kaçar. IoC için scoring (high confidence / medium / low) ve TTL (örnek: 30 gün sonra expire) zorunlu disiplin.

MISP (Malware Information Sharing Platform, open-source) Türk SOC'larında popüler — sektör paylaşım toplulukları (BDDK üyesi bankaların kapalı MISP'i, TÜBİTAK BİLGEM-USOM koordinasyonu) IoC paylaşımını organize eder.

Tehdit istihbaratı hizmetimiz bu pipeline'ı kurum-özel TTPs analizi ile zenginleştiren danışmanlık katmanını sağlar.

6. SOAR otomasyonu — playbook'lar ve MTTR azaltma

SOAR (Security Orchestration, Automation and Response), SOC'un kas hafızası — tekrar eden incident response adımlarını playbook'larla otomatize eder, MTTR (Mean Time To Respond) düşürür ve L1 analist iş yükünü azaltır.

Tipik playbook örnekleri:

Phishing email response:

Kullanıcı raporlu phishing email Inbox'a düştü
Otomatik: URL'leri sandbox'ta tarat (URLscan, VirusTotal, ANY.RUN)
Eklenti hash'ini MISP/VT'de kontrol et
Kötücülse: aynı email'i alan tüm kullanıcı mailbox'larından sil (Microsoft 365 Compliance API)
Gönderen domain'i email gateway'de block
Kullanıcılara bildirim
Ticket'ı resolved kapat, dashboard'da metric güncelle
Manuel: 30dk. SOAR: 2-3dk.

Malware detection on endpoint:

EDR alert → SIEM correlation
Otomatik: endpoint host'u network'ten isolate (CrowdStrike/Defender API)
Process tree + file hash al
VirusTotal + Hybrid Analysis query
Kullanıcı manager'ına bildirim
L2 analiste ticket atama (artifact ekli)
Kullanıcıyla iletişim notu hazırla

Failed login burst (brute force):

SIEM detection: 10dk içinde 50+ failed login aynı user için
Otomatik: source IP'yi 1 saatliğine geçici block (firewall API)
User account'u temporary lock (AD API) — sadece insider source ise
MFA challenge zorla
User'a SMS bildirim
L1 analiste ticket — manuel review

Popüler SOAR platformları:

Platform	Tip	Lisans
Cortex XSOAR (Palo Alto)	Enterprise, market lideri	USD 100K-500K/yıl
Splunk SOAR	Splunk ekosistem	USD 60K-300K/yıl
Microsoft Sentinel playbooks	Azure-native, Logic Apps	Pay-per-execution
Tines	Modern, no-code	USD 20K-100K/yıl
Shuffle	Open-source	Ücretsiz
n8n + custom	Genel workflow	Ücretsiz / hosted

Kritik uyarı — playbook tasarımı disiplin gerektirir:

Yanlış kurgulanmış "şüpheli IP'yi otomatik banla" playbook'u prod ortamında şirket VPN'ini veya müşteri IP'sini banlayabilir. Buna automation self-DoS denir.
Pattern: ilk 6 ay decision support olarak çalışır — playbook adımları otomatik koşar, son adım "L2 analist onay" gate'ine takılır. Güven oluştukça gate'ler kaldırılır.
Her playbook için rollback path olmalı: ne yaptıysan geri alabilmelisin (örnek: yanlışlıkla quarantine'a alınan dosyayı restore).
Audit log zorunlu: hangi playbook ne zaman hangi action'ı aldı — KVKK + adli inceleme için.

Olay yanıt hizmetimiz playbook kütüphanesi geliştirme + tabletop egzersiz + post-incident review döngüsü ile SOC'un response yeteneğini olgunlaştırır.

7. Sürekli olgunlaşma — metrikler, threat hunting, eğitim

SOC kurulduğu gün biten bir proje değil; yaşayan bir disiplin. İlk altı ay sonrası gerçek iş başlar. Üç paralel akış:

Metrik ve KPI: SOC sağlığını ölçen sayısal göstergeler. Minimum set:

Metrik	Hedef	Anlamı
MTTD (Mean Time To Detect)	<30dk P1, <4saat P2	Tehdit ne kadar sürede tespit edildi
MTTR (Mean Time To Respond)	<2saat P1, <8saat P2	Yanıt ne kadar sürede tamamlandı
Alert volume / day	Trend takip	Patlamalar tuning ihtiyacı
False positive rate	<%15	Yüksekse rule tuning gerekli
Analyst-touched alert rate	%70+	L1 verimliliği
ATT&CK coverage	%60+	Detection olgunluk
Closed ticket SLA	%90+	Operasyonel disiplin
Threat hunting hour / week	8-20saat	Proaktif kapasite

Dashboard: Grafana üstünde SIEM metric'leri görselleştirme + haftalık ops review toplantısı.

Threat hunting: alert-driven olmayan, proaktif tehdit araması. Hipotez bazlı: "APT29 ekosistemimizde olsa hangi log pattern'i bırakırdı?" → log'ları manuel tara → bulduğunu doğrula → yeni detection rule yaz. Haftada 8-20 saat dedikasyon, senior analist (L3) yapar. Threat hunting + ATT&CK coverage gap analizi en hızlı olgunluk artırır.

Eğitim: SOC ekibinin sürekli gelişimi. Aylık şirket-içi tabletop (kurgu incident, role-play, kararlar), 6 aylık sertifika hedefi (SC-200 Sentinel için, Splunk Power User, SANS GCIH/GCFA, Wazuh Certified Security Analyst), yıllık konferans katılımı (Black Hat, BSides İstanbul, SOC Forum Türkiye).

Post-incident review: her P1/P2 incident sonrası blameless retro — neyi yakaladık, neyi geç gördük, neyi kaçırdık, hangi detection eklemek gerek. Retrospektif notları wiki'ye yazılır, 3 ayda bir trend analizi yapılır.

Pratik özet — başlangıç check-list'i

İlk üretim SOC'unuz için doğru sıra:

Kapsam tanımı: hangi 2-3 katman önce, hangileri faz 2.
Model kararı: 500 user altı = MSSP; 500-2.000 = hibrit; 2.000+ hassas = in-house.
Log toplama mimarisi: shipper + buffer + SIEM + archive. KVKK retention politika yazılı.
SIEM seçimi: KOBİ/orta = Wazuh; Microsoft heavy = Sentinel; büyük enterprise = Splunk/Sentinel.
Endpoint EDR: Defender / CrowdStrike / SentinelOne / Wazuh agent. Sysmon konfigürasyon (SwiftOnSecurity).
MITRE ATT&CK eşleştirme: ilk hedef %50, 12 ayda %70+. ATT&CK Navigator + DeTT&CT.
Threat intel pipeline: ücretsiz feed'lerle başla (OTX, Abuse.ch, USOM), MISP kur, scoring + TTL disiplin.
SOAR: ilk 5-10 playbook decision support modunda, 6 ay sonra full automation.
Metrik dashboard: Grafana + haftalık ops review; aylık KPI raporu yönetime.
Sürekli olgunlaşma: threat hunting (haftalık), purple team (aylık), tabletop (aylık), sertifika (6 aylık), post-incident review (her P1/P2 sonrası).

Bu liste minimum disiplin. Üzerine sektörel ek (BDDK Bilgi Sistemleri Yönetmeliği için ek raporlama, KVKK ihlal bildirim 72 saat süreç entegrasyonu, EPDK kritik altyapı için EWCS — Early Warning Cyber System) eklenir. SOC'un değeri "kurulu olmak"ta değil, "her hafta olgunlaştığını ölçebilmekte" — metrikler düşüyorsa neden, yükseliyorsa hangi süreç işledi sorularına dokümante cevap verebilmek gerekir.

Bizim ekibimiz Şanlıurfa Karaköprü'den SOC operasyon kurulum mühendisliği ve olay yanıt hizmetleri ile finans, sağlık, enerji ve e-ticaret sektörlerinde SOC pipeline'ları kurdu. Kurumsal SOC pilotu, SIEM seçimi danışmanlığı veya mevcut SOC'un olgunluk değerlendirmesi için iletişim formundan ulaşabilirsiniz — ilk değerlendirme görüşmesi ücretsizdir.

eCloud Tech — Şanlıurfa merkezli kurumsal yazılım, yapay zekâ, blockchain ve siber güvenlik ekibi. Building Tomorrow.

Sıkça Sorulan Sorular

Karar üç değişkene bağlı. (1) Veri hassasiyeti ve KVKK kapsamı: özel nitelikli kişisel veri (sağlık, biyometrik, finans) işleyen kurumlar için log'ların yurt dışına çıkışı çoğu zaman uyum sorunu yaratır — in-house veya yerli MSSP zorunlu. (2) 24/7 yetenek bütçesi: in-house SOC için en az 6-8 analist (3 vardiya × 2 + lead) gerekir, yıllık 4-7M TL maaş + altyapı. MSSP aynı kapsam için yıllık 1,5-3,5M TL. (3) Olay yanıtı SLA gereği: kritik müşteriler P1 için 15dk MTTD/MTTR ister; bu in-house dahi zor, MSSP'de sözleşmeye yazılmalı. Pratik öneri: 500 kullanıcının altı için yönetilen MSSP; 500-2.000 arası için hibrit (MSSP L1/L2, in-house L3 + incident response); 2.000+ ve hassas sektör için in-house SOC + uzman threat intel danışmanlığı.

İlgili yazılar

Siber Güvenlik

Türkiye'de Penetrasyon Testi Standartları: 7 Maddeli Kurumsal Rehber

Türkiye'de penetrasyon testi yaptıracak kurumların bilmesi gereken 7 standart, kapsam, raporlama formatı ve tedarikçi seçim kriterleri. BDDK, TSE, OWASP çerçeveleriyle eCloud Tech mühendislik notu.