SIEM ve SOAR Farkı

16 Mart 2026

SIEM ve SOAR Farkı

1. SIEM (Security Information and Event Management)

SIEM, ağın "gözü ve kulağıdır." Temel amacı, farklı kaynaklardan (FortiGate, Kaspersky, Windows Logları, Switchler) gelen devasa veri yığınını toplamak ve analiz etmektir.

  • Görevi: Veri toplama, normalleştirme, korelasyon (ilişkilendirme) ve raporlama.

  • Çalışma Mantığı: "Eğer A sisteminde başarısız giriş varsa ve B sisteminde yetki artırımı görüldüyse, bana alarm gönder."

  • Çıktısı: Bir güvenlik alarmı veya olay kaydı.

2. SOAR (Security Orchestration, Automation, and Response)

SOAR, ağın "eli ve koludur." SIEM'den veya diğer güvenlik araçlarından gelen alarmları alıp, insan müdahalesine gerek kalmadan (veya çok az müdahale ile) otomatik tepki verir.

  • Görevi: İş akışı yönetimi (Playbooks), otomasyon ve farklı güvenlik ürünlerini birbiriyle konuşturma (Orchestration).

  • Çalışma Mantığı: "SIEM'den gelen 'Şüpheli IP' alarmını al, bu IP'yi VirusTotal'de sorgula, eğer skor kötüyse FortiGate üzerinde bu IP'yi otomatik engelle ve bana mail at."

  • Çıktısı: Tamamlanmış bir güvenlik süreci veya otomatik müdahale.

SIEM vs. SOAR:

Özellik: SIEM - SOAR
Ana Odak: Log yönetimi ve tehdit tespiti - Olay müdahalesi ve otomasyon.
Veri Kaynağı: Loglar, eventler ve flow verileri - Güvenlik alarmleri ve API entegrasyonları.
İnsan Faktörü: Analistin alarmı incelemesi gerekir - Analistin yükünü otomasyonla azaltır.
Yetenek: "Ne oldu?" sorusuna yanıt verir - "Şimdi ne yapmalıyız?" sorusunu çözer.

Hangi Çözüm, Ne Zaman Gereklidir?

Ne Zaman Sadece SIEM Yeterlidir?

  • Uyum (Compliance) Gerekliliği: 5651 sayılı kanun veya KVKK gibi yasal zorunluluklar nedeniyle log tutmanız gerekiyorsa.

  • Küçük/Orta Ölçekli Yapılar: Gelen alarmları manuel olarak inceleyecek vaktin varsa (ekip küçükse).

  • Görünürlük İhtiyacı: "Ağımda neler olup bitiyor, kim nereye erişiyor?" sorusuna yanıt arıyorsan.

Ne Zaman SOAR Gereklidir?

  • Alarm Yorgunluğu (Alert Fatigue): Günde yüzlerce alarm geliyor ve yetişemiyorsan.

  • Hız Kritikse: Bir saldırıyı durdurmak için gereken süre (MTTR) manuel müdahale için çok uzunsa.

  • Karmaşık Entegrasyonlar: Elinde çok fazla farklı marka güvenlik ürünü varsa ve hepsini tek bir "senaryo" (Playbook) üzerinden yönetmek istiyorsan.

Özetle: Eğer evin içine kamera takıyorsan bu SIEM'dir; hırsız girdiğinde otomatik olarak kapıları kilitleyip polisi arayan sistem ise SOAR'dır.

yazar: Asrın Haktan Şahin