SOC Tier 1, Tier 2, Tier 3 Nedir? SOC Analisti Seviyeleri ve Görevleri
SOC Tier 2 ne iş yapar? Güvenlik Operasyon Merkezi'ndeki Tier 1, Tier 2 ve Tier 3 analist seviyelerinin görevlerini, farklarını, kariyer yolunu ve bir alarmın bu katmanlarda nasıl ilerlediğini sade biçimde anlattık.
SOC Tier 1, Tier 2, Tier 3 Nedir? SOC Analisti Seviyeleri ve Görevleri
Hızlı cevap: SOC (Güvenlik Operasyon Merkezi) analistleri genelde üç seviyeye ayrılır. Tier 1 alarmları ilk karşılayan ve sınıflandıran katmandır. Tier 2 derinlemesine inceleme ve gerçek olayları araştıran soruşturmacı katmandır. Tier 3 ise tehdit avcılığı, ileri analiz ve en karmaşık olayların çözümünü üstlenen uzman katmandır. Bir alarm Tier 1'den girer, gerçek tehdit ise Tier 2 ve gerekirse Tier 3'e yükselir. SOC danışmanlığı için: +90 536 662 38 09.
SOC nedir, neden katmanlı?
SOC, bir kurumun ağını, sunucularını ve uç noktalarını 7/24 izleyen ekiptir. Günde binlerce alarm üretilir, bunların çoğu yanlış alarmdır. Hepsini aynı uzmanın incelemesi hem yavaş hem pahalıdır. Bu yüzden iş, ciddiyetine göre katmanlara bölünür. Bu yapı, basit gürültüyü hızlı eler, gerçek tehdide uzman zamanı ayırır.
Tier 1: İzleme ve triyaj
Tier 1 analisti SIEM ekranındaki alarmları ilk gören kişidir. Görevi, alarmı hızlıca sınıflandırmak: yanlış alarm mı, gerçek olay mı? Bilinen senaryoları prosedüre göre kapatır, şüpheli olanı Tier 2'ye yükseltir. Giriş seviyesi roldür, hız ve dikkat ister.
Tier 2: Derin inceleme ve müdahale
Tier 2, yükseltilen olayı araştırır. Logları korelasyona sokar, etkilenen sistemleri belirler, saldırının kapsamını çıkarır ve müdahaleyi başlatır. NIST SP 800-61 çerçevesini kullanır, IR playbook yazımıza bakın. Tier 2, çoğu kurumun gerçek savunma beynidir, çünkü olayı durduran kararları burası verir.
Tier 3: Tehdit avcılığı ve uzmanlık
Tier 3, en deneyimli analistlerdir. Alarmı beklemeden proaktif tehdit avcılığı yapar, APT gibi ileri tehditleri izler, zararlı yazılım analizi ve bellek adli analizi yürütür. Yeni tespit kurallarını da bu katman yazar.
Bir alarmın yolculuğu
Bir uç noktada şüpheli süreç çalıştığını düşünün. EDR alarm üretir, Tier 1 görür ve gürültü olmadığını anlayıp yükseltir, Tier 2 logları inceleyip yanal hareket olduğunu görür ve cihazı izole eder, olay büyükse Tier 3 zararlıyı tersine mühendislikle çözer. Saldırı tespitinin bu zincirde kritik rolü vardır.
Sıkça Sorulan Sorular
Tier 2 olmak için ne gerekir?
Genelde Tier 1 deneyimi, log analizi, ağ bilgisi ve olay müdahale tecrübesi. Sertifikalar yardımcı olur, asıl belirleyici pratik beceridir.
Küçük kurumun SOC'u olmalı mı?
Kendi SOC'unu kurmak pahalıdır. Çoğu KOBİ için dışarıdan yönetilen MDR hizmeti daha mantıklıdır.
SOC tek başına yeter mi?
Hayır, SOC tespit eder, ama önleme, sertleştirme ve düzenli test ile birlikte çalışmalıdır.
Kurumsal güvenlik izleme için: +90 536 662 38 09.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.