SOAR (Security Orchestration) Otomasyonu

kullanici1

Mart 16, 2026

Olay Müdahele,Siber Güvenlik

Bir SOC’un (Security Operations Center) en büyük problemi çoğu zaman “bilgi eksikliği” değil, “iş yükü fazlalığı”dır. Aynı gün içinde yüzlerce alarm üretilebilir; bu alarmların bir kısmı gerçek saldırı, önemli bir kısmı ise yanlış pozitif veya düşük öncelikli olaylardır. Analistlerin büyük bölümü zamanını, olayın gerçek olup olmadığını anlamaya (triage), bağlam toplamaya (enrichment) ve tekrarlayan müdahale adımlarına harcar. Bu tekrar eden iş, hızla “alarm yorgunluğu” (alert fatigue) üretir ve en kritik olaylar gözden kaçabilir.

SOAR (Security Orchestration, Automation and Response), bu soruna süreç ve otomasyonla yaklaşır. Amaç, güvenlik araçlarını birbirine bağlayıp, standart olay akışlarını playbook’lar üzerinden çalıştırarak hem müdahale süresini kısaltmak hem de karar kalitesini yükseltmektir. SOAR yalnızca bir otomasyon aracı değildir; orkestrasyon (araçları konuşturma), otomasyon (tekrarı azaltma) ve yanıt (kontrollü aksiyon) bileşenlerini tek programda toplar. Bu makale, SOAR’ın çalışma mantığını, hangi senaryolarda değer ürettiğini ve kurumsal ölçekte nasıl yönetilmesi gerektiğini örnek düzende ele alır.

SOAR Nedir?

SOAR, farklı güvenlik ürünlerinden gelen alarmları toplayıp, olay yönetimini standartlaştıran ve belirlenmiş playbook’larla otomatik veya yarı otomatik yanıt üreten bir platform yaklaşımıdır. Bu yaklaşımda ‘orkestrasyon’, SIEM, EDR, e-posta güvenliği, IAM, firewall/proxy, ticketing ve CTI kaynakları gibi sistemleri API üzerinden entegre edip tek bir akışta kullanabilmeyi ifade eder. ‘Otomasyon’, analistin manuel yaptığı tekrar eden adımları (IOC zenginleştirme, reputasyon sorguları, kullanıcı/cihaz bağlamı toplama) playbook’a taşır. ‘Response’ ise risk seviyesine göre uygulanan aksiyonları kapsar.

SOAR’ın temel hedefi, olay müdahalesini “kişiye bağlı” olmaktan çıkarıp, tutarlı ve denetlenebilir bir sürece dönüştürmektir. Böylece aynı olay tipi, farklı analistlerde farklı sonuçlar üretmez; playbook, kurumun ortak kararı hâline gelir.

q
w

SOAR Mimarisinin Temel Bileşenleri

SOAR otomasyonunu anlamak için platformu birkaç bileşene ayırmak faydalıdır:

1) Olay girişi ve vaka yönetimi:
SIEM’den, EDR’dan veya e-posta güvenliğinden gelen alarmlar vaka (case) hâline getirilir. Olayın sahibi, önceliği, SLA’sı ve durum akışı burada yönetilir.

2) Enrichment (bağlam zenginleştirme):
IOC’lerin reputasyonu, kullanıcı bilgileri, cihaz durumu, ilgili loglar, geçmiş benzer olaylar ve CTI ilişkileri otomatik toplanır. Bu adım, triage süresini ciddi biçimde kısaltır.

3) Playbook/Workflow motoru:
Olay tipine göre sıralı veya koşullu adımlar çalıştırılır. ‘Eğer risk skoru yüksekse → şu aksiyon’ gibi karar noktaları tanımlanır. Playbook’lar, kurumun standardı olduğu için versiyonlanmalı ve test edilmelidir.

4) Entegrasyon katmanı:
SOAR’ın değeri entegrasyonla artar. API erişimi olan sistemlerle bağlantı kurarak; e-posta geri alma, hesap kilitleme, cihaz izolasyonu, firewall kuralı ekleme gibi aksiyonları tetikleyebilir.

5) İnsan onayı ve denetim:
Her aksiyon otomatik olmamalıdır. Kritik aksiyonlarda insan onayı (human-in-the-loop), değişiklik yönetimi ve audit kayıtları gerekir. SOAR’ın “kontrollü otomasyon” prensibi burada devreye girer.

6) Raporlama ve metrikler:
MTTR, false positive oranı, playbook başarı oranı, otomasyonla kazanılan süre gibi metrikler izlenir. Bu metrikler, SOAR programını sürekli iyileştirmenin temelidir.

Yaygın SOAR Kullanım Senaryoları

SOAR, her problem için uygun değildir; en çok tekrar eden ve standardize edilebilen olay tiplerinde değer üretir. Öne çıkan senaryolar:

  • Phishing müdahalesi: e-postayı analiz etme, URL/domain reputasyon sorgusu, kullanıcıya bildirim, e-postayı geri alma ve IOC engelleme.
    • EDR alarmları: süreç bağlamı toplama, ilgili hash/IOC zenginleştirme, cihaz izolasyonu (onaylı), karantina ve ticket açma.
    • Şüpheli oturum/kimlik olayları: riskli giriş doğrulama, MFA reset/step-up, hesap kilitleme (kademeli), log korelasyonu.
    • IOC yönetimi: CTI’den gelen IOC’leri doğrulama, uygun platformlara dağıtma, süreli engelleme ve geri alma.
    • Bulut güvenlik alarmları: anormal API çağrısı, yanlış yapılandırma, erişim anahtarı rotasyonu ve politika düzeltme.
    • Zafiyet bulguları: aktif istismar edilen CVE’leri zafiyet yönetimine öncelik olarak işleme ve doğrulama işleri.

 

 Bu senaryolarda SOAR, analistin yaptığı 10–15 dakikalık bağlam toplama işini saniyelere indirerek, analistin karar ve koordinasyon kısmına daha fazla zaman ayırmasını sağlar.

Riskler ve Sınırlamalar

SOAR otomasyonu, yanlış kurgulanırsa güvenliği artırmak yerine iş kesintisi üretebilir. Yaygın riskler:

  • Yanlış pozitiflere otomatik ağır aksiyon: yanlış bir alarm yüzünden hesap kilitlemek veya cihazı izole etmek operasyonu bozabilir.
    • Entegrasyon kırılganlığı: API değişiklikleri, yetki sorunları veya rate limit nedeniyle playbook başarısız olabilir.
    • Playbook drift’i: Süreçler değişir ama playbook güncellenmezse otomasyon yanlış kararlar üretebilir.
    • Aşırı karmaşıklık: Her olayı otomatikleştirmeye çalışmak, bakım maliyetini artırır.
    • Gizlilik ve yetki: SOAR platformu geniş erişim ister; yetki yönetimi ve audit zorunludur.

 

 Bu sınırlamalar, SOAR’ın değerini azaltmaz; doğru yönetişim ihtiyacını vurgular.

Etkili Bir SOAR Programı İçin Gerekli Adımlar

SOAR’ı başarılı kılan şey ürün seçimi değil, program yönetimidir. Uygulanabilir bir yol haritası:

  • Use-case seçimi: En çok tekrar eden 3–5 olay tipini seç; hızlı kazanım hedefle.
    • Standartlaştırma: Olay sınıflandırması, risk skoru ve karar kriterlerini yazılı hâle getir.
    • Entegrasyon planı: Hangi sistemler bağlanacak, hangi aksiyonlar mümkün, hangi aksiyonlar onay gerektirir belirle.
    • Kademeli otomasyon: Önce enrichment + ticket; sonra yarı otomatik; en son yüksek güvenli otomatik aksiyon.
    • Test ve versiyonlama: Playbook’ları staging’de test et; değişiklikleri versiyonla ve geri dönüş planı tut.
    • Yetki ve denetim: SOAR yetkilerini en az ayrıcalıkla ver; kritik aksiyonlar için audit ve iki aşamalı onay uygula.
    • Metrikler: MTTR, otomasyonla kazanılan süre, playbook hata oranı, false positive etkisi gibi metrikleri düzenli izle.
    • Sürekli iyileştirme: Olay sonrası geri bildirimle playbook’ları güncelle; gürültüyü azaltmak için tespit kurallarıyla birlikte çalış.

 

 Bu adımlar, SOAR otomasyonunu ‘butonla güvenlik’ değil; ölçülebilir ve sürdürülebilir bir müdahale disiplini hâline getirir.

Sonuç

SOAR, güvenlik operasyonlarını hızlandıran ve standartlaştıran güçlü bir orkestrasyon ve otomasyon yaklaşımıdır. En büyük faydası, tekrarlayan triage ve enrichment işlerini otomatikleştirerek analistlerin karar ve koordinasyon kapasitesini artırmasıdır.

Başarılı bir SOAR uygulaması; doğru use-case seçimi, kontrollü otomasyon, güçlü entegrasyon yönetimi ve net yönetişimle mümkün olur. Kurumlar bu yaklaşımı programlaştırdığında, MTTR düşer, alarm yorgunluğu azalır ve olay müdahalesi daha tutarlı bir kaliteye ulaşır.

Tags :
#GüvenlikOtomasyonu,#OlayMüdahale,#Orkestrasyon,#Playbook,#SiberGüvenlik,#SOC
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.