Genel SOAR kullanım örnekleri pratikte nadiren işe yarar; doğru otomasyon tamamen ortamınıza, uyarı hacimlerinize ve SOC’unuzun nasıl yapılandırıldığına bağlıdır. Aşağıdaki kullanım örnekleri belirli senaryolara göre uyarlanmıştır ve adım adım iş akışı ayrıntılarını içerir.
Aşağıdaki iş akışları geleneksel SOAR modelini yansıtır; ajan tabanlı platformlar aynı vakaların çoğunu önceden tanımlanmış adımlar olmadan çalıştırır.
1. Kimlik avı tespiti ve yanıt
Analistler, yüksek yanlış pozitif hacimleri ve tekrarlayan triyaj eylemlerinden kaynaklanan kimlik avı uyarılarını manuel olarak ele alırken darboğazlarla karşılaşır. Sorunun ölçeği önemli ölçüde büyümüştür. Yapay zeka tarafından oluşturulan kimlik avı içeriği artık tespit edilen kimlik avı e-postalarının %82,6'sında görülmektedir; bu, yıldan yıla %53,5'lik bir artıştır. 1
Yapay zeka tarafından oluşturulan kimlik avı e-postaları, geleneksel olarak hazırlanan kimlik avı e-postalarına göre %60 daha yüksek tıklama oranına sahiptir ve ikna edici bir kampanya oluşturma süresi 16 saatten yaklaşık beş dakikaya düşmüştür.2 Bu hacim ve sofistikelik seviyesinde, otomatik triyaj artık bir üretkenlik iyileştirmesi değil, bir ön koşuldur.
SOAR nasıl yardımcı olur:
- Triyaj aşaması: SOAR, kimlik avı uyarılarını alır ve bunları önem derecesine, kaynağa ve risk seviyesine göre otomatik olarak sınıflandırır.
- Gösterge çıkarma ve doğrulama: Anahtar göstergeler (URL'ler, IP adresleri, dosya hash'leri) kimlik avı öğesinden çıkarılır.
- Zararlı mı değil mi: Zararlı etkinlik tespit edilirse, playbook bir yanıtı tetikler: göndereni engelleme, uç noktaları izole etme veya kötü amaçlı e-postayı silme. Net bir gösterge bulunamazsa, sistem yanlış pozitifleri elemek için uyarıyı daha fazla doğrular.
- Yanlış pozitif analizi: Şüpheli dosya, davranışı analiz etmek için bir korumalı alanda çalıştırılır. Gönderenin alan adı, güvenilir alan adlarına benzerlik açısından kontrol edilir (homoglif tespiti).
Gerçek dünya örneği: CrowdStrike’ın Charlotte Agentic SOAR’ı artık önceden yazılmış playbook'lar olmadan gerçek zamanlı olarak kimlik avı soruşturması yaparak, soruşturulan uyarılarda %98 karar doğruluğu iddia etmektedir.3 Zensar’ın Siber Güvenlik Ekibi, 200'den fazla entegrasyon ve e-posta tehdit istihbaratı içeren kodsuz playbook'lar aracılığıyla kimlik avı triyajı ve olay yanıtı için SOAR kullanmaktadır.
Burada ajan tabanlı fark: Geleneksel SOAR, kimlik avı göstergelerini önceden yazılmış kurallarla eşleştirir. Ajan tabanlı platformlar, özellikle daha önce eşleşecek göstergesi olmayan yapay zeka tarafından oluşturulan kimlik avı için önemli olan, e-postanın bağlamı, gönderen geçmişi ve davranışsal sinyaller üzerinden akıl yürütür.
SOAR araçları, doğru uç nokta verilerine ve uygulanabilir cihaz kontrolüne dayanır. Uç nokta yönetim yazılımının otomatik güvenlik yanıtını nasıl güçlendirdiğini öğrenin.
2. Uç nokta tespit ve yanıt (EDR)
EDR araçları şüpheli uç nokta etkinliğini tespit eder, ancak çoğu yanlış pozitif olan yüksek uyarı hacimleri üretir. EDR uyarılarını ölçekli olarak manuel olarak triyajlamak, doğrulanmış tehditleri araştırmaya ayrılması gereken analist zamanını tüketir.
SOAR nasıl yardımcı olur:
- Uç nokta verilerinin alımı: SOAR, uç nokta etkinliğini izlemek için EDR araçlarından (antivirüs ajanları, EDR platformları) gerçek zamanlı veri çeker.
- SIEM kontrolü: Dosyaların veya hash'lerin daha önce SIEM'de tanımlanıp tanımlanmadığını çapraz referanslar.
- Analistlere bildirim: Potansiyel bir tehdit tespit edilirse, SOAR tam bağlam ve önem puanı ile analistleri uyarır.
- Otomatik yanıt ve uç nokta temizliği: Yanlış pozitif olarak doğrulanırsa, SOAR olayı otomatik olarak kapatır. Tehdit olarak doğrulanırsa, SOAR uç noktayı izole eder ve şüpheli dosyaları kaldırır.
İş akışı genellikle manuel triyaj için gereken saatler yerine dakikalar içinde tamamlanır. Binlerce uç nokta çalıştıran kuruluşlar için operasyonel fark önemlidir: büyük ölçekli manuel EDR triyajı, çoğu SOC'un sürdüremeyeceği analist kadrosu gerektirir.
Bu nerede bozulur: Statik SOAR playbook'ları bilinen EDR uyarı kalıplarını iyi işler. Mevcut kurallarla eşleşmeyen yeni kötü amaçlı yazılım veya yatay hareket teknikleri, ya analist incelemesi ya da bilinmeyen davranış üzerinden akıl yürütebilen bir ajan tabanlı platform gerektirir.
3. IP adresi konumlarından şüpheli kullanıcı oturum açmalarının tespiti
Şüpheli oturum açmaları ölçekli olarak yakalamak zordur çünkü kullanıcı davranışı değişkendir, kuruluşlar birden çok bulut ortamına yayılır ve manuel izleme, erişim sağlanmadan önce harekete geçmek için çok yavaştır.
SOAR nasıl yardımcı olur:
- Davranışsal anomaliyi al: SOAR, SIEM'lerden veya kimlik doğrulama sistemlerinden oturum açma verilerini toplar ve olağandışı etkinliği (imkansız seyahat, tipik olmayan erişim saatleri, yeni cihazlar) işaretler.
- Kullanıcı bilgilerini zenginleştir: SOAR, davranışın kullanıcının normal deseniyle tutarlı olup olmadığını değerlendirmek için geçmiş oturum açma geçmişini, rolünü ve izinlerini alır.
- IP istihbaratını zenginleştir: SOAR, bilinen kötü amaçlı kaynakları, Tor çıkış düğümlerini veya VPN uç noktalarını belirlemek için IP adreslerini tehdit istihbaratı veritabanlarıyla çapraz referanslar.
- Tehdit durumunu belirle: Kullanıcı davranışı bağlamı ve IP verilerine dayanarak SOAR, oturum açmanın muhtemelen kötü amaçlı olup olmadığına karar verir.
Otomatik yanıt:
- Tehdit yok: SOAR olayı otomatik olarak kapatır
- Tespit edilen tehdit: SOAR IP'yi engeller ve hesabı kilitler, MFA sorgulaması veya zorunlu parola sıfırlama tetikler
Zenginleştirme adımı, SOAR'un en fazla değer kattığı yerdir. Bu olmadan, bilinmeyen bir IP'den oturum açmayı değerlendiren bir analistin, IP'nin işaretlenip işaretlenmediğini, kullanıcının yakın zamanda seyahat edip etmediğini veya kullanıcının erişim izinlerinin ele geçirilmesi durumunda neye izin vereceğini hızlı bir şekilde bilmesinin bir yolu yoktur. SOAR, tüm bu bağlamı saniyeler içinde ortaya çıkarır.
Video: SOAR ile IP adresi soruşturması
Kaynak: Palo Alto Networks4
4. Sıfır-gün tehdit yanıtı
Sıfır-gün saldırıları, bir yama mevcut olmadan önce daha önce bilinmeyen güvenlik açıklarından yararlanır. Antivirüs araçları, imzalar mevcut olmadığı için bunları tespit edemez. Bu aynı zamanda statik SOAR playbook'larının en sert sınırına çarptığı yerdir: hiçbir önceden yazılmış kural bilinmeyen bir istismarı öngöremez. Yapay zeka destekli keşif artık saldırganların yaması bulunmayan güvenlik açıklarını haftalar yerine saatler içinde belirlemesine olanak tanımaktadır,5 bu da istismar edilebilirliği ile aktif saldırılar arasındaki pencereyi daraltır.
SOAR nasıl yardımcı olur:
IOC'leri ve dosyaları topla: Uyarıdan dosya hash'lerini, kötü amaçlı URL'leri ve IP adreslerini çek.
Göstergeleri çıkar ve kontrol et:
- Kötü amaçlı hash'ler için uç nokta günlüklerini tara: Tanımlanan hash'lerin yürütüldüğüne veya indirildiğine dair kanıt için EDR günlüklerini analiz et.
- Ele geçirilmiş ana bilgisayarlar için güvenlik duvarı günlüklerini sorgula: Bilinen kötü amaçlı IP'lere giden veya gelen trafiği veya şüpheli yanal hareketi ara.
- Önceki olaylarla bağlantı kur: Geçmiş olaylardan benzer TTP'leri belirlemek için mevcut kayıtları çapraz referansla.
- Block enfekte uç noktalar: Güvenlik duvarları, web ağ geçitleri ve e-posta filtreleri arasında engelleme kuralları dağıt.
- Playbook'u kapat: Güncellenmiş kuralları veya IOC'leri EDR platformuna geri gönder.
Ajan tabanlı Yapay Zeka, sıfır-gün boşluğunu doğrudan ele alır. Göstergeleri önceden yazılmış kurallarla eşleştirmek yerine, yeni davranış üzerinden akıl yürütür ve bu, daha önce ortamda hiç görülmemiş tehdit türleri için daha uygun hale getirir.6
5. Güvenlik açığı yönetimi
Manuel güvenlik açığı testi zaman alıcıdır, yanlış pozitifler üretir ve genellikle yönetilmeyen varlıklara görünürlükten yoksundur. Güvenlik ekipleri, CVE beslemeleri hepsi yüksek önem iddia eden yüzlerce girdiyle geldiğinde doğru güvenlik açıklarına öncelik vermekte zorlanır.
SOAR güvenlik açığı yönetimine nasıl yardımcı olur:
- Güvenlik açığı verilerinin toplanması: SOAR, harici araçlardan ve CVE veritabanlarından güvenlik açığı verilerini çeker.
- Zenginleştir: SOAR, etkilenen uç noktalar, varlık kritikliği ve etkilenen iş birimleri hakkında ayrıntılar ekler.
- Güvenlik açığı bağlamını ekle: SOAR, istismar geçmişi ve bilinen aktif tehdit bağlamını olay verilerine ekler.
- Riskleri hesapla: SOAR, CVE önem derecesini sistem bağlamıyla birleştirerek her güvenlik açığı için genel riski hesaplar.
Düzeltme:
- Yüksek riskli öğeler: analist incelemesi ve manuel yama koordinasyonu
- Bilinen, düşük riskli bulgular: mevcut olduğunda otomatik düzeltme (uç nokta yönetimi aracılığıyla yama dağıtımı, API aracılığıyla yapılandırma değişikliği)
Zenginleştirme adımı, faydalı güvenlik açığı yönetimini gürültüden ayıran şeydir. İzole bir geliştirme sunucusundaki CVSS 9.8 güvenlik açığı, internete bakan bir kimlik doğrulama sistemindeki CVSS 7.0'dan daha az acildir. SOAR, bu ayrımı her girdide analist kararına bırakmak yerine otomatik olarak ortaya çıkarabilir.
6. Yeni hesapların sağlanmasının otomatikleştirilmesi
Manuel kullanıcı sağlama hataya açıktır. Erişim atamalarındaki hatalar aşırı sağlamaya (en az ayrıcalık ihlali) veya eksik sağlamaya (yeni işe alınanın çalışmasını engelleme) yol açar.
SOAR nasıl yardımcı olur:
- Bilet ayrıntılarını al: Sağlama talebini ITSM platformundan alır.
- Dizin hizmetinde bir kullanıcı oluştur: Active Directory'ye veya eşdeğerine bağlanır.
- Kullanıcıyı rolüne göre gerekli araçlara ekle: E-posta, İK platformları ve role özgü diğer araçlara erişim atar. İşe alım e-postası gönder: Oturum açma kimlik bilgilerini ve kurulum talimatlarını gönderir.
- Gerekli yazılımı uç noktaya dağıt: Uç nokta yönetim araçları aracılığıyla yazılım dağıtımını başlatır.
- Paydaşları bilgilendir: İşe alım tamamlandığında İK, BT ve yöneticileri uyarır.
7. Olay yaşam döngüsü vaka yönetimi
Sorun: Güvenlik ürünleri silolu olduğu, süreçler standartlaştırılmadığı ve ekipler arası devir teslimler ortalama yanıt süresini yavaşlattığı için olay yaşam döngüsü boyunca süreklilik bozulur.
SOAR nasıl yardımcı olur:
- Veri kaynaklarından uyarıları al: SOAR, SIEM'lerden, güvenlik duvarlarından ve diğer kaynaklardan sürekli olarak uyarı çeker.
- Playbook'u tetikle: Bir uyarı aldığında, SOAR o olay türü için uygun playbook'u tetikler.
- Olayları analistlere ata: SOAR, zenginleştirilmiş olayları iliştirilmiş bağlamla yönlendirir.
- IOC'leri tehdit istihbaratıyla çıkar ve kontrol et: Dosya hash'leri, IP adresleri ve alan adları otomatik olarak kontrol edilir.
- Kötü amaçlı etkinliği kontrol et: SOAR, etkinliğin kötü amaçlı olup olmadığını belirler ve IP'yi engelleme veya dosyayı izole etme gibi işlemleri yapar.
LLM entegrasyon güncellemesi: Bir MSSP, büyük dil modellerini SOAR iş akışlarına entegre ettikten sonra düşük önemli olayların otomatik çözümünde %60 artış belgeledi. Analistler, tehdit özetleri için platformu doğal dilde sorguladı ve kodlama yapmadan playbook'ları gerçek zamanlı olarak ayarladı.7
8. Güvenlik duvarı politika değişiklik taleplerinin otomatikleştirilmesi
Sorun: Güvenlik duvarı değişiklik taleplerini manuel olarak yönetmek yavaş, tutarsız ve denetlenmesi zordur. Ekipler her hafta büyük hacimli talepler, çakışan kurallar ve onaylara sınırlı görünürlükle uğraşır.
SOAR güvenlik duvarı politika değişiklik taleplerini otomatikleştirmeye nasıl yardımcı olur:
SOAR, entegre playbook'lar aracılığıyla onayları, doğrulamaları ve politika dağıtımlarını otomatikleştirerek güvenlik duvarı değişiklik sürecini kolaylaştırır.
- Bir güvenlik duvarı politika değişiklik talebi: Bir ITSM platformundan başlatılır, örneğin ServiceNow
- SOAR playbook'unu tetikle
- Uç noktaların rolleri ve adresleri mevcut mu?
- EVET: Mevcut uç nokta grubuna IP adresini ekle
- DEĞİLSE: “Yeni politika” playbook'unu çağır: SOAR, özel bir kural oluşturmak için ayrı bir playbook çalıştırır.
- Güvenlik duvarı yönetim sistemini kullanarak yapılandırmayı uygula
- ITSM biletini kapat.
9. SSL sertifika süre sonu takibi
Sorun: Süresi dolmuş sertifikalar tarayıcı güvenlik uyarılarını tetikler, ziyaretçi güvenini azaltır ve trafik kaybına yol açabilir. Büyük ortamlarda manuel sertifika takibi güvenilir değildir.
SOAR nasıl yardımcı olur:
- Sertifika durumunu kontrol et: SOAR, tüm alan adlarındaki SSL sertifikalarını izler ve süresi dolmak üzere olanları işaretler.
- Uyar ve yükselt: SOAR, harekete geçmek için yeterli ön süreyle sorumlu ekibi bilgilendirir.
- Mümkünse yenilemeyi otomatikleştir: API erişimi olan platformlar için SOAR, yenileme iş akışını doğrudan tetikleyebilir.
- Günlüğe kaydet ve kapat: SOAR, yapılan işlemi kaydeder ve bileti kapatır.
10. Tehdit İstihbaratı Yönetimi
Sorun: Tehdit istihbaratı verileri farklı formatlarda birden çok beslemeden gelir. Manuel alım, yineleme giderme ve aktif olaylarla çapraz referanslama zaman alıcı ve tutarsızdır.
SOAR nasıl yardımcı olur:
- Tehdit istihbaratı beslemelerini al: SOAR, birden çok kaynaktan göstergeleri (IP'ler, alan adları, dosya hash'leri, CVE'ler) otomatik olarak çeker.
- Yineleme gider ve normalleştir: SOAR yinelemeleri kaldırır ve verileri tutarlı bir formata dönüştürür.
- Aktif olaylarla ilişkilendir: SOAR, gelen istihbaratı açık vakalar ve canlı uyarılarla karşılaştırır.
- Olayları zenginleştir: İlgili göstergeler otomatik olarak açık biletlere ve analist kuyruklarına eklenir.
- Engelleme araçlarına dağıt: Yüksek güvenilirlikli IOC'ler güvenlik duvarlarına, EDR'lere ve e-posta filtrelerine iletilir.
Sektör bağlamı: SOAR'dan ajan tabanlı SOC'a geçiş
Yukarıdaki 10 kullanım örneği, geleneksel SOAR'un ne yaptığını tanımlar. Pazarın 2026'daki yönü anlaşılmaya değerdir, çünkü yeni dağıtımlar giderek artan şekilde geleneksel SOAR değildir.
Değişen ne
Geleneksel SOAR, mühendislerin sistemin işleyeceği her senaryo için playbook'lar yazmasını gerektirir. Statik playbook'lar, tipik bir kurumsal dağıtımda uyarı türlerinin yaklaşık %30-40'ını kapsar. Yeni saldırı teknikleri, çok aşamalı kampanyalar ve mevcut kalıplarla eşleşmeyen uyarılar hala insan analistler gerektirir.8
Ajan tabanlı SOAR platformları, statik playbook modelini uyarılar üzerinden akıl yürüten yapay zeka ajanlarıyla değiştirir. “Eğer bu koşul, o zaman şu adımlar” yerine, ajan tabanlı bir sistem “bulduklarıma dayanarak, bir sonraki adımda neye bakmalıyım?” diye sorar; bu, deneyimli bir analistin kullandığı mantığın aynısıdır. Bu, mevcut playbook'u olmayan uyarı türlerinin yine de otomatik olarak araştırılabileceği anlamına gelir.9
2025-2026'daki kilit platform hamleleri
- Palo Alto Cortex AgentiX: Ekim 2025'te Cortex XSOAR'ın doğrudan ardılı olarak duyuruldu. 1,2 milyar gerçek dünya playbook yürütmesi üzerinde eğitildi. MTTR'de %98'e varan azalma ve %75 daha az manuel iş iddia ediyor. 1.000'den fazla önceden oluşturulmuş entegrasyon ve yerel MCP desteği sunar. XSOAR için profesyonel hizmetler SKU'ları 1 Şubat 2026'da son satışa girdi.10
- CrowdStrike Charlotte Agentic SOAR: Falcon Fusion SOAR ve Charlotte AI üzerine inşa edildi. Güvenlik ekiplerinin kod yazmadan özel yapay zeka ajanları oluşturmasını sağlayan ilk kodsuz güvenlik ajanı geliştirme platformu olan AgentWorks'ü tanıtıyor. Analistler niyet ve koruma bariyerlerini belirlerken, ajanlar gerçek zamanlı olarak iş birliği yapar, akıl yürütür ve harekete geçer.11
- Google Security Operations Agentic Automation: Yapay zeka ajanlarını (Gemini tarafından desteklenen) doğrudan playbook'lara yerleştirir. Belirleyici otomasyon adımlarını, planlanmamış değişkenleri işleyen yapay zeka ajanlarıyla birleştirir. Google Cloud altyapısına taşınan Google Security Operations örnekleri için kullanılabilir.12
- Trend Micro Vision One Agentic SOAR: Kuruluşları, statik playbook'lardan bağlamsal anlayışa ve olaylardan sürekli öğrenmeye dayalı olarak gerçek zamanlı kararlar veren dinamik, otonom bir sisteme taşır.13
Bugün SOAR değerlendiren ekipler için pratik çıkarım: eğer yeni bir SOC otomasyon yığını kuruyorsanız, playbook yazarlığı modeli piyasanın ayrıldığı yerdir, yöneldiği yer değil. Bu, geleneksel SOAR'un hiçbir değeri olmadığı anlamına gelmez — yukarıdaki 10 örnek gibi iyi anlaşılmış kullanım örnekleri için olgun playbook'lar etkili olmaya devam eder — ancak playbook'ları sürdürmek için sürekli mühendislik kadrosu gerektiren yeni dağıtımların gerekçesi daha zor hale gelir.
SSS'ler
Güvenlik orkestrasyonu, otomasyonu ve yanıtı (SOAR) teknolojisi, çeşitli insanlar ve araçlar arasındaki görevleri koordine etmeye, yürütmeye ve otomatikleştirmeye yardımcı olur.
Orkestrasyon:
Playbook'lar, iş akışları
Mantıksal olarak düzenlenmiş eylem planı
Güvenlik ürün yığınını merkezi bir konumdan kontrol etme ve etkinleştirme.
Güvenlik otomasyonu:
Otomatik komut dosyaları
Genişletilebilir ürün entegrasyonları
Playbook görevlerinin makine tarafından yürütülmesi.
Yanıt:
Vaka yönetimi
Analiz ve raporlama iş birliği
Siloları yıkma: SOAR, ekip iş birliğini artırır ve güvenlik analistlerinin güvenlik yığınlarındaki araçlar arasında eylemleri otomatikleştirmesini sağlar.
Merkezileştirme: Güvenlik ekiplerine tüm şirket güvenlik alanlarını yönetmek ve koordine etmek için merkezi bir konsol sağlama.
Gelişmiş SOC karar verme: SOAR panoları, tehditlere görünürlük sağlayarak güvenlik operasyon ekiplerinin daha iyi kararlar almasına yardımcı olabilir.
Daha az zamanda daha fazla bildirim işleme: SOAR'lar, güvenlik verilerini merkezileştirerek, olayları zenginleştirerek ve yanıtları otomatikleştirerek uyarıları yönetmeye yardımcı olabilir. Sonuç olarak, SOC'ler daha fazla uyarıyı işleyebilir.
SIEM: SIEM araçları, dahili güvenlik araçlarından veri toplar ve toplar, günlükleri merkezileştirir ve anormallikleri işaretler.
SOAR: SOAR sistemleri, standart SIEM'lerin sıklıkla yoksun olduğu orkestrasyon, otomasyon ve olay yanıtı yetenekleri ekleyerek SIEM'leri geliştirmek için ortaya çıkmıştır. Tekrarlayan görevleri otomatikleştirmeye, olay yönetimini iyileştirmeye ve güvenlik araçlarını koordine etmeye odaklanırlar.
XDR (genişletilmiş tespit ve yanıt): uçtan uca güvenlik olay yönetimi için daha yeni, daha güçlü bir çözümdür. Esas olarak dahili uç noktalardaki sorunları ele almak için kullanılır. Otomatik bir yanıta hazırlanırken XDR, SIEM tarafından yakalanan verileri kullanır.
Büyük kuruluşlar genellikle üç aracı da kullanır, ancak satıcılar giderek daha fazla özelliklerini birleştirir.
Bazı SIEM'ler artık yanıt yetenekleri içerir.
XDR'ler SIEM benzeri veri günlüğü içermeye başlar.
Microsoft Sentinel ve ManageEngine Log360 gibi satıcılar SIEM ve SOAR yetenekleri sunar.
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{hafa2026,
author = {Hafa, Adil and Sezer, Sena},
title = {{10 SOAR Kullanım Örneği ve Gerçek Dünya İş Akışı Örnekleri}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/soar-use-cases}},
note = {AIMultiple. Erişim tarihi: 24 Haziran 2026}
}








Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.