Günlük Rutin: Bir SOC Analisti Ne Yapar?
- Alarm Takibi: SIEM ekranlarına düşen binlerce log arasından gerçek tehditleri (True Positive) sahte alarmlardan (False Positive) ayırt etmek ana görevdir.
- Analiz ve Triyaj: Bir alarm geldiğinde analist; "Kim, nereden, hangi yöntemle, hangi sisteme saldırıyor?" sorularına yanıt arar.
- Müdahale: Tespit edilen tehdit için ilk müdahaleyi yapar (örneğin; şüpheli IP'yi engelleme veya etkilenen bilgisayarı ağdan ayırma).
Çalışma Ortamı ve Şartları
- Vardiya Sistemi: SOC birimleri genellikle 7/24 esasına göre çalışır. Bu, gece vardiyaları ve hafta sonu çalışmaları anlamına gelebilir.
- Ekranlarla Dolu Bir Oda: Birçok monitörün olduğu, dünya haritaları üzerinde siber saldırıların aktığı "War Room" (Savaş Odası) havasında bir ortam hayal edin.
- Hız ve Hassasiyet: Bir saldırganın sisteme sızmasıyla veriyi dışarı çıkarması arasındaki süre çok kısadır. Bu yüzden SOC analisti hızlı karar vermek zorundadır.
SOC Çalışanının Gelişim Eğrisi (Tier Yapısı)
SOC'da Çalışmanın Avantajları ve Zorlukları
- Hızlı Öğrenme: Günde yüzlerce farklı saldırı türü ve trafik protokolü gördüğünüz için teknik bilginiz inanılmaz hızla artar.
- Kritiklik Hissi: Gerçek bir saldırıyı durdurduğunuzda hissettiğiniz adrenalin ve başarı duygusu çok yüksektir.
- Kariyer Basamağı: SOC, siber güvenliğin mutfağıdır. Buradan yetişen biri ileride Olay Müdahale (IR) veya Sızma Testi alanlarına çok rahat geçer.
- Alarm Yorgunluğu (Alert Fatigue): Sürekli aynı türden binlerce sahte alarm görmek bir süre sonra dikkati dağıtabilir.
- Stres Yönetimi: Büyük bir bankanın veya kurumun verisi tehlikedeyken soğukkanlı kalmak zordur.
- Vardiya Düzeni: Uyku düzenini korumak ve sosyal hayata vakit ayırmak çaba gerektirir.
SOC Analisti Olmak İçin Gereken Araç Bilgisi
- SIEM: (Splunk, QRader, Logsign, ArcSight vb.)
- EDR/XDR: (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint vb.)
- SOAR: İş akışlarını otomatize eden sistemler.
- Wireshark: Ağ trafiğini analiz etmek için.
SOC'da gün, genellikle bir önceki vardiayadan devralınan olayların (incidents) incelenmesiyle başlar.
| Seviye | Görev Tanımı | Deneyim |
| Tier 1 (L1) | Alarmları izler, ilk elemeyi yapar ve temel vakaları çözer. | Başlangıç / Junior |
| Tier 2 (L2) | L1'den gelen karmaşık vakaları derinlemesine inceler, müdahale eder. | Orta Seviye |
| Tier 3 (L3) | Tehdit avcılığı (Threat Hunting) yapar, zafiyetleri analiz eder. | Kıdemli / Uzman |
Avantajlar:
Zorluklar:
SOC'da çalışacaksanız şu araçlara aşina olmalısınız:
Sonuç
Eğer bulmaca çözmeyi seviyorsanız, sürekli değişen bir ortamda çalışmaktan sıkılmıyorsanız ve siber dünyadaki "kötü adamları" gerçek zamanlı yakalamanın heyecanını istiyorsanız SOC harika bir başlangıç noktasıdır.