Security orchestration, automation, and response (SOAR) technology helps coordinate, execute, and automate tasks between various people and tools.

Key capabilities of SOAR

Orchestration:Playbooks, workflowsLogically organized plan of actionControlling and activating the security product stack from a central location.Security automation:Automated scriptsExtensible product integrationsMachine execution of playbook tasks.Response:Case managementAnalysis and reporting collaboration

Breaking down silos: SOAR increases team collaboration and enables security analysts to automate actions across tools throughout their security stack.Centralization: Providing security teams with a centralized console for managing and coordinating all company security areas.Improved SOC decision-making: SOAR dashboards can help security operations teams make better decisions by providing visibility into threats. Handling more notifications in less time: SOARs can help manage alerts by centralizing security data, enhancing events, and automating replies. As a result, SOCs can handle more alerts.

SIEM: SIEM tools gather and aggregate data from internal security tools, centralizing logs and flagging anomalies. SOAR: SOAR systems emerged to enhance SIEMs by adding orchestration, automation, and incident response capabilities that standard SIEMs often lack. They focus on automating repetitive tasks, improving incident management, and coordinating security tools.XDR (extended detection and response): a newer, more powerful solution for end-to-end security event management. It is mainly used for addressing issues at internal endpoints. When preparing for an automatic response, XDR uses data captured by SIEM.Large organizations often use all three tools, but vendors increasingly combine their features. Some SIEMs now include response capabilities.XDRs are incorporating SIEM-like data logging.Vendors such as Microsoft Sentinel and ManageEngine Log360 offer SIEM and SOAR capabilities.

Siber güvenlik Threat Detection and Response (TDR)YÜKSELT

SOAR'ın Gerçek Dünya İş Akışı Örnekleriyle 10 Kullanım Alanı

Adil Hafa

ile

Sena Sezer

güncellendi Mar 25, 2026

Bakınız etik normlar

Genel SOAR kullanım senaryoları pratikte nadiren geçerliliğini korur; doğru otomasyon tamamen ortamınıza, uyarı hacimlerinize ve SOC'nizin yapısına bağlıdır. Aşağıdaki kullanım senaryoları belirli senaryolara göre uyarlanmıştır ve adım adım iş akışı açıklamalarını içerir.

Aşağıdaki iş akışları geleneksel SOAR modelini yansıtmaktadır; ajan tabanlı platformlar bu durumların çoğunu önceden tanımlanmış adımlar olmadan yürütmektedir.

1. Kimlik avı saldırılarının tespiti ve bunlara karşı önlem alınması

Sorun: Analistler, büyük ölçüde yanlış pozitiflerin yüksek hacmi ve önceliklendirme işlemlerinin tekrarlayan doğası nedeniyle, kimlik avı uyarılarını manuel olarak ele alırken darboğazlarla karşılaşıyor. Yapay zeka tarafından oluşturulan kimlik avı saldırıları 2024 ve 2025 yılları arasında %703 oranında arttı; bu da otomatik önceliklendirmeyi çoğu SOC için verimlilik artışından ziyade bir zorunluluk haline getirdi. ¹

SOAR nasıl yardımcı olur:

Önceliklendirme aşaması: SOAR, kimlik avı uyarılarını alır ve bunları ciddiyetine, kaynağına ve risk seviyesine göre otomatik olarak sıralar.
Gösterge çıkarma ve doğrulama: Kimlik avı dosyasından temel göstergeler (URL'ler, IP adresleri, dosya özetleri) çıkarılır.
Kötü amaçlı olup olmadığı: Kötü amaçlı bir etkinlik tespit edilirse, işlem planı bir yanıt tetikler: göndereni engeller, uç noktaları izole eder veya kötü amaçlı dosyayı siler. Herhangi bir açık gösterge bulunmazsa, sistem yanlış pozitifleri elemek için uyarıyı daha da doğrular.
Yanlış pozitif analizi: Zararlı dosya, kötü amaçlı yazılımın nasıl davrandığını analiz etmek için bir sanal ortamda çalıştırılır. Gönderenin alan adı, güvenilir alan adlarıyla benzerlik açısından kontrol edilir.

Video: Gerçek hayattan örnek: kimlik avı taktik kılavuzu demosu

Kaynak: Palo Alto Networks ²

Gerçek dünya örneği: Zensar'ın Siber Güvenlik Ekibi, kodsuz kılavuzlar, 200'den fazla entegrasyon ve e-posta tehdit istihbaratı kullanarak kimlik avı saldırılarını sınıflandırmak ve olaylara müdahale etmek için SOAR'ı kullanıyor. CrowdStrike'ın Charlotte Agentic SOAR'ı artık önceden yazılmış kılavuzlara ihtiyaç duymadan gerçek zamanlı olarak kimlik avı soruşturmalarını yürütüyor ve incelenen uyarılar üzerinde %98'lik bir karar doğruluğu iddiasında bulunuyor. ³

SOAR araçları, doğru uç nokta verilerine ve eyleme geçirilebilir cihaz kontrolüne dayanır. Uç nokta yönetim yazılımının otomatik güvenlik yanıtını nasıl güçlendirdiğini öğrenin.

2. Uç nokta tespiti ve yanıtı (EDR)

Sorun: EDR araçları şüpheli uç nokta etkinliğini tespit etmeye yardımcı olsa da, genellikle çok sayıda uyarı üretirler ve bunların çoğu yanlış pozitif olabilir.

SOAR nasıl yardımcı olur:

Uç nokta verilerinin alınması: SOAR, gerçek zamanlı etkinliği izlemek için EDR araçlarından (antivirüs, EDR ajanları) veri çeker.

SIEM kontrolü: Dosyaların daha önce SIEM'de tanımlanıp tanımlanmadığını kontrol eder. Analistlere bildirim: Potansiyel bir tehdit tespit edilirse, SOAR analistleri bağlam ve önem derecesiyle birlikte uyarır.

Otomatik yanıt ve uç nokta temizliği: Yanlış pozitif olarak doğrulandığında, SOAR uç noktayı temizler ve şüpheli dosyaları otomatik olarak kaldırır.

3. IP adresi konumlarından şüpheli kullanıcı girişlerini tespit etme

Sorun: Şüpheli oturum açma işlemlerini büyük ölçekte yakalamak zordur çünkü kullanıcı davranışı değişkendir, kuruluşların takip etmesi gereken birden fazla bulut ortamı vardır ve manuel izleme yavaştır.

SOAR nasıl yardımcı olur:

Davranışsal anormalliği tespit etme: SOAR, olağandışı etkinlikleri belirlemek için SIEM'lerden veya kimlik doğrulama sistemlerinden oturum açma verilerini toplar.
Kullanıcı bilgilerini zenginleştirin: SOAR, davranışın meşru olup olmadığını değerlendirmek için geçmiş oturum açma geçmişini, rolünü ve izinlerini alır.
IP istihbaratını zenginleştirin: SOAR, bilinen kötü amaçlı kaynakları belirlemek için IP adreslerini tehdit istihbaratı veritabanlarıyla karşılaştırır.
Tehdit durumunu belirleme: SOAR, kullanıcı davranışına ve IP verilerine dayanarak oturum açma işleminin kötü amaçlı olup olmadığına karar verir.

Video: SOAR ile IP adresi araştırması

Kaynak: Palo Alto Networks ⁴

Otomatik yanıt:

— Tehdit yok: SOAR olayı otomatik olarak kapatıyor.

— Tespit edilen tehdit: SOAR, kötü amaçlı IP adresini engelledi ve hesabı kilitledi.

4. Sıfır gün tehditlerine karşı müdahale

Sorun: Sıfır gün saldırıları, bir düzeltme yayınlanmadan önce daha önce bilinmeyen güvenlik açıklarından yararlanır. Antivirüs araçları bunları tespit edemez, bu nedenle geleneksel savunmaları atlarlar. Statik playbook'ların da burada ciddi bir sınırı vardır; önceden yazılmış hiçbir kural bilinmeyen bir güvenlik açığını öngöremez.

SOAR nasıl yardımcı olur:

IOC'leri ve dosyaları toplayın: Uyarıdan dosya özetlerini, kötü amaçlı URL'leri ve IP adreslerini çekin.

Göstergeleri çıkarın ve kontrol edin:

Uç nokta günlüklerinde zararlı karma değerleri arayın: Tanımlanan karma değerlerin yürütüldüğüne veya indirildiğine dair kanıt bulmak için EDR günlüklerini analiz edin.
Güvenlik duvarı günlüklerinde tehlikeye atılmış sunucuları sorgulayın: Bilinen kötü amaçlı IP adreslerine giden veya bu adreslerden gelen trafiği veya şüpheli yatay hareketleri arayın.
Önceki olaylarla bağlantı kurun: Geçmiş olaylardaki benzer taktik, teknik ve prosedürleri belirlemek için mevcut kayıtları çapraz referanslayın.
Block virüs bulaşmış uç noktalar: Güvenlik duvarları, web ağ geçitleri ve e-posta filtreleri genelinde engelleme kuralları uygulayın.
Oyun planını kapatın: Güncellenmiş kuralları veya IOC'leri EDR platformuna geri gönderin.

Ajan tabanlı yapay zeka, sıfır gün açığını doğrudan ele alıyor. Göstergeleri önceden yazılmış kurallarla eşleştirmek yerine, yeni davranışlar üzerinden akıl yürütüyor ve bu da onu daha önce ortamda hiç görünmemiş tehdit türleri için daha uygun hale getiriyor. ⁵

5. Güvenlik açığı yönetimi

Sorun: Manuel güvenlik açığı testi zaman alıcıdır, yanlış pozitif sonuçlar üretir ve genellikle yönetilmeyen varlıklara ilişkin görünürlükten yoksundur.

Güvenlik açıklarıyla ilgili zorlu veri toplama
Güvenlik açıklarıyla ilgili yanlış pozitif sonuçlar.
Ağ görünürlüğünün yetersizliği (örneğin, yönetilmeyen varlıklar)

SOAR, güvenlik açığı yönetiminde nasıl yardımcı olur:

Güvenlik açığı verilerinin toplanması: SOAR, güvenlik açığı verilerini harici araçlardan ve CVE veritabanlarından çeker.
Zenginleştirme: SOAR, etkilenen uç noktalar, varlık kritikliği ve etkilenen iş birimleri hakkında ayrıntılar ekler.
Güvenlik açığı bağlamı ekle: SOAR, olay verilerine istismar geçmişini ve bilinen aktif tehdit bağlamını ekler.
Riskleri hesaplayın: SOAR, her bir güvenlik açığı için genel riski hesaplamak üzere CVE ciddiyetini sistem bağlamıyla birleştirir.

İyileştirme:
— Yüksek riskli kalemler için analist değerlendirmesi
— Bilinen, düşük riskli bulgular için otomatik düzeltme

6. Yeni hesapların oluşturulmasının otomatikleştirilmesi

Sorun: Manuel kullanıcı yetkilendirmesi hataya açıktır. Erişim atamalarındaki hatalar, aşırı yetkilendirmeye (en az ayrıcalık ilkesini ihlal etme) veya yetersiz yetkilendirmeye (yeni çalışanın çalışmasını engelleme) yol açar.

SOAR nasıl yardımcı olur:

Bilet ayrıntılarını al: ITSM platformundan tedarik talebini alır.
Dizin hizmetinde kullanıcı oluşturma: Active Directory veya eşdeğerine bağlanır.
Kullanıcıyı role göre gerekli araçlara ekle: E-posta, İK platformları ve diğer role özgü araçlara erişim atar. Kullanıcıya yönelik başlangıç e-postası gönder: Giriş kimlik bilgilerini ve kurulum talimatlarını gönderir.
Uç noktaya gerekli yazılımı dağıt: Uç nokta yönetim araçları aracılığıyla yazılım dağıtımını başlatır.
Paydaşları bilgilendir: Yeni işe alım süreci tamamlandığında İK, BT ve yöneticileri uyarır.

7. Olay yaşam döngüsü vaka yönetimi

Sorun: Güvenlik ürünlerinin birbirinden bağımsız olması, süreçlerin standartlaştırılmamış olması ve ekipler arasındaki geçişlerin ortalama müdahale süresini uzatması nedeniyle olay yaşam döngüsü boyunca süreklilik bozuluyor.

SOAR nasıl yardımcı olur:

Veri kaynaklarından uyarıları alın: SOAR, SIEM sistemlerinden, güvenlik duvarlarından ve diğer kaynaklardan sürekli olarak uyarıları çeker.
Tetikleme planı: Bir uyarı alındığında, SOAR ilgili olay türü için uygun tetikleme planını çalıştırır.
Olayları analistlere atayın: SOAR, zenginleştirilmiş olayları eklenmiş bağlamla birlikte yönlendirir.
Tehdit istihbaratı ile IOC'leri çıkarın ve kontrol edin: Dosya özetleri, IP adresleri ve alan adları otomatik olarak kontrol edilir.
Kötü amaçlı etkinlik kontrolü: SOAR, etkinliğin kötü amaçlı olup olmadığını belirler ve IP adresini engelleyerek veya dosyayı izole ederek işlem yapar.

LLM entegrasyonu güncellemesi: Bir MSSP, büyük dil modellerini SOAR iş akışlarına entegre ettikten sonra düşük önem dereceli olayların otomatik olarak çözülmesinde %60'lık bir artış kaydetti. Analistler, tehdit özetleri için platformu doğal dilde sorguladı ve kodlama yapmadan gerçek zamanlı olarak playbook'ları güncelledi. ⁶

8. Güvenlik duvarı politikası değişiklik isteklerinin otomatikleştirilmesi

Sorun: Güvenlik duvarı değişiklik taleplerini manuel olarak yönetmek yavaş, tutarsız ve denetlenmesi zor. Ekipler her hafta büyük miktarda taleple, çakışan kurallarla ve onaylara ilişkin sınırlı görünürlükle karşı karşıya kalıyor.

SOAR, güvenlik duvarı politikası değişiklik isteklerini otomatikleştirmeye nasıl yardımcı olur:

SOAR, entegre edilmiş kılavuzlar aracılığıyla onayları, doğrulamaları ve politika dağıtımlarını otomatikleştirerek güvenlik duvarı değişiklik sürecini kolaylaştırır.

Güvenlik duvarı politikası değişikliği isteği : Bir ITSM platformundan ( örneğin, ServiceNow) başlatılır.
Trigger SOAR oyun kitabı
Uç noktaların rolleri ve adresleri mevcut mu?
- EVET: IP adresini mevcut uç nokta grubuna ekle
- AKSİ TAKDİRDE: “Yeni politika” oynatma kitabını çağırın: SOAR, özel bir kural oluşturmak için ayrı bir oynatma kitabı çalıştırır.
Güvenlik duvarı yönetim sistemini kullanarak yapılandırmayı uygulayın.
ITSM biletini kapatın.

9. SSL sertifikasının geçerlilik süresinin takibi

Sorun: Süresi dolmuş sertifikalar tarayıcı güvenlik uyarılarını tetikler, ziyaretçi güvenini azaltır ve trafik kaybına yol açabilir. Büyük ortamlarda manuel sertifika takibi güvenilir değildir.

SOAR nasıl yardımcı olur:

Sertifika durumunu kontrol edin: SOAR, tüm alan adlarındaki SSL sertifikalarını izler ve süresi dolmak üzere olanları işaretler.
Uyarı ve bildirim: SOAR, sorumlu ekibi harekete geçmek için yeterli süre önceden bilgilendirir.
Mümkün olan yerlerde yenilemeyi otomatikleştirin: API erişimine sahip platformlar için SOAR, yenileme iş akışını doğrudan tetikleyebilir.
Kaydet ve kapat: SOAR, gerçekleştirilen işlemi kaydeder ve bileti kapatır.

10. Tehdit Yönetimi Intel

Sorun: Tehdit istihbaratı verileri, farklı formatlarda birden fazla kaynaktan geliyor. Manuel veri alımı, mükerrer kayıtların ayıklanması ve aktif olaylarla çapraz referanslama zaman alıcı ve tutarsızdır.

SOAR nasıl yardımcı olur:

Tehdit istihbaratı verilerini içe aktarın: SOAR, göstergeleri (IP adresleri, alan adları, dosya özetleri, CVE'ler) birden fazla kaynaktan otomatik olarak çeker.
Yinelenen kayıtları kaldırma ve normalleştirme: SOAR, yinelenen kayıtları kaldırır ve verileri tutarlı bir biçime dönüştürür.
Aktif olaylarla ilişkilendirme: SOAR, gelen istihbaratı açık vakalar ve canlı uyarılarla karşılaştırır.
Olayları zenginleştirin: İlgili göstergeler otomatik olarak açık biletlere ve analist kuyruklarına eklenir.
Engelleme araçlarına dağıt: Yüksek güvenilirlik düzeyine sahip IOC'ler güvenlik duvarlarına, EDR'lere ve e-posta filtrelerine gönderilir.

SSS'ler

Güvenlik orkestrasyonu, otomasyonu ve yanıtı (SOAR) teknolojisi, çeşitli kişiler ve araçlar arasındaki görevlerin koordinasyonunu, yürütülmesini ve otomatikleştirilmesini sağlar.

Orkestrasyon :

Oyun kılavuzları, iş akışları
Mantıksal olarak organize edilmiş eylem planı
Güvenlik ürünleri paketini merkezi bir konumdan kontrol etme ve etkinleştirme.

Güvenlik otomasyonu :

Otomatik komut dosyaları
Genişletilebilir ürün entegrasyonları
Playbook görevlerinin makine tarafından yürütülmesi.

Cevap :
Vaka yönetimi
Analiz ve raporlama işbirliği

Bölümler arası engelleri ortadan kaldırıyor: SOAR, ekip işbirliğini artırıyor ve güvenlik analistlerinin güvenlik yığınlarındaki araçlar arasında eylemleri otomatikleştirmelerini sağlıyor.

Merkezileştirme: Güvenlik ekiplerine, şirketin tüm güvenlik alanlarını yönetmek ve koordine etmek için merkezi bir konsol sağlamak.

Geliştirilmiş SOC karar alma süreçleri: SOAR panoları, tehditlere ilişkin görünürlük sağlayarak güvenlik operasyon ekiplerinin daha iyi kararlar almasına yardımcı olabilir.

Daha kısa sürede daha fazla bildirimi işleme: SOAR'lar, güvenlik verilerini merkezileştirerek, olayları geliştirerek ve yanıtları otomatikleştirerek uyarıların yönetilmesine yardımcı olabilir. Sonuç olarak, SOC'lar daha fazla uyarıyı işleyebilir.

SIEM : SIEM araçları, dahili güvenlik araçlarından veri toplar ve bir araya getirir, kayıtları merkezileştirir ve anormallikleri işaretler .

SOAR : SOAR sistemleri, standart SIEM'lerin genellikle eksik olduğu orkestrasyon, otomasyon ve olay müdahale yeteneklerini ekleyerek SIEM'leri geliştirmek amacıyla ortaya çıkmıştır. Tekrarlayan görevleri otomatikleştirmeye, olay yönetimini iyileştirmeye ve güvenlik araçlarını koordine etmeye odaklanırlar.

XDR (Genişletilmiş Algılama ve Yanıt) : Uçtan uca güvenlik olay yönetimi için daha yeni ve daha güçlü bir çözüm. Esas olarak dahili uç noktalardaki sorunları ele almak için kullanılır. Otomatik yanıt hazırlarken, XDR SIEM tarafından yakalanan verileri kullanır.

Büyük kuruluşlar genellikle bu üç aracı da kullanır , ancak satıcılar giderek bu araçların özelliklerini bir araya getiriyor.

Bazı SIEM sistemleri artık yanıt verme yeteneklerini de içeriyor.
XDR'ler, SIEM benzeri veri kaydı özelliğini bünyesine katıyor.
Microsoft Sentinel ve ManageEngine Log360 gibi satıcılar SIEM ve SOAR yetenekleri sunmaktadır.