SOC Nədir?

Hər gün dünyada minlərlə şirkət kiber hücumlarla üzləşir. Ransomware, data sızması, phishing, DDoS — bu təhdidlər gündən-günə daha mürəkkəb, daha sürətli və daha dağıdıcı hala gəlir. Belə bir mühitdə şirkətlər özlərini qorumaq üçün nə edir? Cavab çox vaxt eyni olur: SOC.

Lakin SOC nədir, necə işləyir, kimlərdən ibarətdir və nə üçün bu qədər vacibdir? Gəlin hər şeyi ətraflı izah edək.

SOC Nədir?

SOC (Security Operations Center) — Azərbaycan dilində Təhlükəsizlik Əməliyyat Mərkəzi deməkdir. Bu, bir təşkilatın kibertəhlükəsizlik vəziyyətini 24 saat, 7 gün, 365 gün izləyən, təhlil edən və qoruyan ixtisaslaşmış komanda və texnologiya mərkəzidir.

Sadə dillə desək: SOC, şirkətinizin rəqəmsal qoruyucu qalxanıdır.

SOC-un əsas vəzifəsi kibertəhlükəsizlik hadisələrini vaxtında aşkar etmək, araşdırmaq və cavab verməkdir. Bunun üçün SOC komandaları müxtəlif alətlər, metodologiyalar və proseslərdən istifadə edir.

SOC-un Tarixi: Haradан Gəldi?

SOC konsepsiyası 1990-cı illərin sonlarında internet infrastrukturunun genişlənməsi ilə birlikdə ortaya çıxdı. İlk SOC-lar əsasən hərbi və dövlət qurumlarında qurulurdu.

2000-ci illərdə, xüsusilə böyük korporativ breachlərin ardından (məsələn, Sony, Target, Yahoo sızmaları), özəl sektor da SOC-lara maraq göstərməyə başladı. Bu gün isə SOC, hər ölçüdə şirkət üçün əvəzsiz infrastruktura çevrilib.

SOC Nə İşlə Məşğuldur? — Əsas Funksiyalar

SOC-un işi bir-biri ilə bağlı bir neçə sahəni əhatə edir:

1. Monitoring (İzləmə)

SOC komandası şirkətin bütün şəbəkə trafikini, server loglarını, endpoint cihazlarını, cloud mühitlərini və tətbiqləri real vaxt rejimində izləyir. Bir anın belə gözardı edilməsi kritik hadisəni qaçırmağa səbəb ola bilər.

2. Aşkarlama (Detection)

Anomal davranışlar, şübhəli giriş cəhdləri, malware fəaliyyəti kimi əlamətlər SIEM (Security Information and Event Management) sistemləri vasitəsilə aşkar edilir. Müasir SOC-larda AI və machine learning bu prosesi daha da sürətləndirir.

3. Hadisəyə Cavab (Incident Response)

Hücum aşkar edildikdə, SOC komandası dərhal hərəkətə keçir:

• Təhdidin izolə edilməsi
• Zərərin minimallaşdırılması
• Sistemin bərpası
• Sübut toplanması (forensics)

4. Zəiflik İdarəetməsi (Vulnerability Management)

SOC, şirkətin sistemlərindəki zəiflikləri müntəzəm skan edir, prioritetlər müəyyən edir və düzəltmə prosesini koordinasiya edir.

5. Təhdid Kəşfiyyatı (Threat Intelligence)

Dünyada baş verən son hücumlar, yeni malware növləri, aktiv threat actor qrupları haqqında məlumat toplayaraq, təşkilatı gələcək təhdidlərə hazırlayır.

6. Uyğunluq (Compliance)

GDPR, ISO 27001, PCI DSS kimi standartlara uyğunluğu təmin etmək üçün lazımi logları saxlamaq, hesabatlar hazırlamaq da SOC-un vəzifəsindədir.

SOC Komandası Kimlərdən İbarətdir?

Yaxşı bir SOC, güclü insanların güclü alətlərə sahib olmasıdır. Tipik bir SOC komandası aşağıdakı rolları əhatə edir:

SOC-da İstifadə Olunan Əsas Texnologiyalar

Modern bir SOC bir neçə güclü alət üzərində qurulur:

SIEM (Security Information and Event Management) Bütün log və hadisə məlumatlarını mərkəzləşdirir, korrelyasiya aparır. Splunk, Microsoft Sentinel, IBM QRadar məşhur SIEM həlləridir.

EDR/XDR (Endpoint/Extended Detection & Response) Kompüter, telefon, server kimi endpoint cihazlarını izləyir. CrowdStrike, SentinelOne, Microsoft Defender bu sahənin liderləridir.

SOAR (Security Orchestration, Automation and Response) Təkrarlanan tapşırıqları avtomatlaşdırır, playbook-ları işə salır. Palo Alto Cortex XSOAR, Splunk SOAR bu kateqoriyanın öndə gedənidir.

Threat Intelligence Platformları (TIP) IOC-ları (Indicators of Compromise), TTPs-ləri toplayır və paylaşır. MISP, Anomali açıq mənbəli seçimlərdir.

Vulnerability Scanner Şəbəkə və sistemlərdəki boşluqları müntəzəm skan edir. Nessus, Qualys bu sahənin klassik vasitələridir.

SOC-un Növləri: Hansını Seçmək Lazımdır?

Hər şirkət eyni tipli SOC-a ehtiyac duymur. Üç əsas model mövcuddur:

🏢 Daxili (In-house) SOC

Şirkətin öz binasında, öz əməkçilərindən ibarət SOC. Tam nəzarət, lakin yüksək xərc. Böyük korporasiyalar üçün idealdır.

Üstünlükləri: Tam nəzarət, dərin kontekst bilgisi, sürətli cavab

Çatışmazlıqları: Baha, ixtisaslı kadr tapmaq çətin, işə başlamaq vaxt aparır

🤝 Outsource (MSSP — Managed Security Service Provider)

Xarici şirkətin SOC xidmətindən istifadə etmək. Kiçik və orta ölçülü müəssisələr üçün sərfəlidir.

Üstünlükləri: Aşağı xərc, hazır ekspertiza, tez başlamaq mümkün

Çatışmazlıqları: Kontext bilgisi zəif ola bilər, hüquqi narahatlıqlar

⚡ Hibrid (Hybrid) SOC

Daxili komanda ilə MSSP-nin birlikdə işlədiyi model. Böyüməkdə olan şirkətlər üçün əla kompromis.

SOC-un İş Prinsipi: Bir Hadisənin Həyat Dövrü

Gəlin real bir ssenari üzərindən gedək:

Ssenari: Bir işçinin kompüterindən gecə saat 3-də naməlum serverə böyük miqdarda data göndərilir.

1 SIEM anomal trafiki aşkar edir → Alert yaranır

2 L1 Analitik alerti görür → İlkin qiymətləndirmə aparır

3 Şübhəli görünür → L2-yə eskalasiya edilir

4 L2 dərin araşdırma aparır → Malware aşkar edir

5 Endpoint izolə edilir → Zərər dayandırılır

6 Forensics aparılır → Hücumun giriş nöqtəsi müəyyənləşdirilir

7 Tam hesabat hazırlanır → Rəhbərliyə təqdim olunur

8 Lessons learned → Qaydalar yenilənir, zəiflik bağlanır

Bu proses bəzən dəqiqələr, bəzən saatlar, bəzən günlər çəkə bilər — hər şey hadisənin mürəkkəbliyindən asılıdır.

Azərbaycanda SOC: Vəziyyət Necədir?

Azərbaycan son illərdə kibertəhlükəsizlik infrastrukturunu ciddi şəkildə gücləndirib. Dövlət qurumları, bank sektoru və telekommunikasiya şirkətləri SOC qurma prosesini sürətləndirib.

Dövlət Xidməti Agentliyi, Məlumat Texnologiyaları üzrə Dövlət Agentliyi (MINCOM) və Azərbaycan Respublikasının Milli Kibertəhlükəsizlik Mərkəzi bu sahədə strateji addımlar atır.

Regional kiberhadisə reaksiya komandaları (CERT) da fəaliyyət göstərir. Bununla belə, ixtisaslı SOC kadrlara olan tələbat hələ də teklifi üstələyir — bu isə gənc mütəxəssislər üçün əla fürsət deməkdir.

SOC Analitiki Olmaq İstəyənlər Üçün

Əgər kibertəhlükəsizlik sahəsindəki karyeranızı SOC üzərindən qurmaq istəyirsinizsə, aşağıdakı yoldan gedə bilərsiniz:

Texniki bilik:

• Şəbəkə əsasları (TCP/IP, DNS, HTTP, Firewall)
• Linux və Windows əməliyyat sistemləri
• Log analizi (Syslog, Windows Event Logs)
• SIEM alətlərindən biri (Splunk tövsiyə olunur)

Sertifikatlar:

• CompTIA Security+ (başlangıc)
• CompTIA CySA+ (SOC üçün ideal)
• GIAC SOC Analyst (GCIA, GCIH)
• Certified SOC Analyst (CSA) — EC-Council

Praktik məşq:

• TryHackMe platformasında SOC Level 1 path
• Blue Team Labs Online
• LetsDefend.io (SOC-ə xüsusi fokuslu platforma)

SOC Qurmaq Üçün Nə Lazımdır?

Şirkətiniz üçün SOC qurmaq istəyirsinizsə, aşağıdakı addımları izləyin:

1. Scope müəyyənləşdirin — Nəyi qoruyacaqsınız? Hansı sistemlər, hansı məlumatlar?
2. Risk qiymətləndirməsi aparın — Ən böyük təhdidlər hansılardır?
3. Komandanı formalaşdırın — İnsan faktorunu gözardı etməyin
4. Texnologiyanı seçin — SIEM, EDR, SOAR üçün bütçə ayırın
5. Prosesləri yazın — Playbook-lar, eskalasiya sxemləri, SLA-lar
6. Use case-lər hazırlayın — Hansı ssenarilər üçün alert yazılacaq?
7. Ölçün və inkişaf edin — KPI-lar, MTTR, MTTD kimi metriklər

Gələcəyin SOC-u: AI və Avtomatlaşdırma

SOC sahəsini dəyişdirən ən böyük trend süni intellektdir. AI-powered SOC anlayışı artıq real həyata keçirilir:

• Generative AI analitiklərə hesabat yazmağa kömək edir
• ML modellər bilinməyən təhdidləri anomaliya analizilə tapır
• Automated triage L1-in işini xəyli azaldır
• Predictive analytics hücumları baş verməmişdən əvvəl proqnozlaşdırır

Bununla belə, mütəxəssislər razılaşır: insan faktoru SOC-da həmişə mərkəzi rol oynayacaq. Çünki kontekst, mühakimə və yaradıcılıq hələ ki maşının çatışmayan tərəfləridir.

Nəticə

SOC, müasir rəqəmsal dünyada şirkətin kibertəhlükəsizliyinin bel sütunudur. O, sadəcə bir texnologiya yığımı deyil — insanların, proseslərin və texnologiyaların harmoniyasıdır.

Kiçik bir startup da, böyük bir dövlət qurumu da — hər ikisi SOC prinsiplərini tətbiq etməyə ehtiyac duyur. Fərq yalnız miqyasda olur.

Kibertəhlükəsizlik reaktiv deyil, proaktiv bir yanaşma tələb edir. SOC isə bu yanaşmanın ən somut ifadəsidir.