SOC Analisti Mülakat Soruları ve Cevapları: Teknik ve Operasyonel Hazırlık Rehberi
SOC Analisti Mülakatlarına Hazırlık Süreci
Güvenlik Operasyon Merkezi (SOC) analistliği, Veritabanı Geliştirici Mülakat Soruları ve Cevapları: Teknik Hazırlık Rehberi" data-seo-auto-link="true">Veritabanı Geliştirici Görev Tanımı: Sorumluluklar, Teknik Yetkinlikler ve Kariyer Rehberi" data-seo-auto-link="true">Kariyer Rehberi" data-seo-auto-link="true">siber güvenlik dünyasının ön cephesidir. Bir SOC analisti adayı olarak mülakata girdiğinizde, sadece teorik bilginiz değil, aynı zamanda stres altında nasıl karar verdiğiniz ve karmaşık log verilerini nasıl anlamlandırdığınız test edilir. Mülakatçılar, sizin "avcı" (hunter) zihniyetine sahip olup olmadığınızı anlamaya çalışırlar.
Teknik mülakatlar çoğunlukla temel ağ bilgisi, işletim sistemleri, saldırı vektörleri ve güvenlik araçlarının kullanımı üzerine yoğunlaşır. Ancak teknik yetkinlik kadar, bu bilgileri bir olay müdahale (incident response) sürecine nasıl entegre ettiğiniz kritiktir. Hazırlık aşamasında, önce güçlü bir Cv oluştur adımını tamamlamalı ve yetkinliklerinizi net bir şekilde ortaya koymalısınız.
Temel Siber Güvenlik ve Ağ Soruları
Her SOC mülakatının başlangıcı, temel kavramların ne kadar iyi oturtulduğunu ölçen sorulardır. Bu sorular basit görünse de, verdiğiniz cevapların derinliği sizin uzmanlık seviyenizi belirler.
TCP/IP Üçlü El Sıkışma (Three-Way Handshake) Nedir?
Bu soru, ağ trafiğini analiz edebilme yeteneğinizi ölçer. İdeal bir cevap şu şekilde olmalıdır: TCP bağlantısı kurulurken istemci ve sunucu arasında üç aşamalı bir akış işler. İlk olarak istemci, sunucuya bir SYN (Synchronize) paketi gönderir. Sunucu bu isteği alır ve karşılık olarak SYN-ACK (Synchronize-Acknowledgment) paketi gönderir. Son olarak istemci, ACK paketini göndererek bağlantıyı onaylar ve veri iletimi başlar.
OSI Modeli ve Güvenlik İlişkisi
OSI modelinin katmanlarını saymak yetmez; hangi katmanda hangi saldırıların gerçekleştiğini açıklamanız beklenir. Örneğin, Katman 2'de ARP spoofing, Katman 3'te IP spoofing, Katman 4'te TCP SYN flood ve Katman 7'de HTTP tabanlı SQL Injection veya XSS saldırılarının gerçekleştiğini belirtmek, konuya hakimiyetinizi gösterir.
DNS ve HTTP/HTTPS Protokolleri Arasındaki Farklar
DNS'in alan adlarını IP adreslerine çeviren bir rehber olduğu, HTTP'nin ise web sayfalarının transferi için kullanıldığı açıklanmalıdır. HTTPS'in farkı ise SSL/TLS protokolü ile verilerin şifrelenerek taşınmasıdır. Bir SOC analisti için DNS kayıtlarını (A, MX, CNAME, TXT) analiz edebilmek, phishing saldırılarını tespit etmek adına hayati önem taşır.
Saldırı Vektörleri ve Tehdit Analizi
Mülakatın bu aşamasında, güncel tehdit ortamına ne kadar hakim olduğunuz sorgulanır. Sadece tanım yapmak yerine, bu saldırıların loglarda nasıl göründüğünü anlatmanız sizi diğer adayların önüne geçirir.
Phishing (Oltalama) Saldırıları Nasıl Tespit Edilir?
Phishing tespiti için şu adımların izlendiğini anlatmalısınız:
- E-posta başlıklarının (header) incelenmesi: Gönderen adresi ile gerçek kaynak IP'sinin uyuşup uyuşmadığına bakılır.
- URL analizi: Linklerin yönlendirdiği gerçek adreslerin kontrol edilmesi ve şüpheli domainlerin (typosquatting) aranması.
- Eklerin analizi: .exe, .vbs, .scr gibi tehlikeli uzantıların veya makro içeren Office belgelerinin tespiti.
- SPF, DKIM ve DMARC kayıtlarının doğrulanması.
Brute Force ve Dictionary Attack Farkı Nedir?
Brute Force, tüm olası karakter kombinasyonlarının denenmesidir ve çok zaman alır. Dictionary Attack ise önceden hazırlanmış, yaygın kullanılan şifrelerin bulunduğu bir liste üzerinden deneme yapılmasıdır. SOC ekranında bu saldırılar, kısa sürede gelen çok sayıda "Failed Login" (Başarısız Giriş) logları ile kendini belli eder.
SQL Injection (SQLi) Nedir ve Nasıl Önlenir?
Kullanıcı giriş alanlarına kötü niyetli SQL komutları girilerek veritabanından yetkisiz veri çekilmesi veya verilerin değiştirilmesi işlemidir. Önlemek için:
- Prepared Statements (Parametreli Sorgular) kullanılmalıdır.
- Girdi doğrulama (Input Validation) süreçleri işletilmelidir.
- En az yetki prensibi (Principle of Least Privilege) ile veritabanı kullanıcı yetkileri kısıtlanmalıdır.
SIEM ve Log Yönetimi Soruları
SIEM (Security Information and Event Management), bir SOC analistinin ana çalışma alanıdır. Bu bölümde araç kullanım yeteneğiniz ve korelasyon mantığınız sorgulanır.
SIEM Nedir ve Neden Kullanılır?
SIEM, farklı kaynaklardan (firewall, IDS/IPS, sunucu, uç nokta) gelen logların tek bir merkezde toplanması, normalize edilmesi ve gerçek zamanlı olarak analiz edilmesidir. Temel amacı, tek başına anlam ifade etmeyen ancak birleştiğinde bir saldırı belirtisi olan olayları (korelasyon) tespit etmektir.
False Positive ve True Positive Kavramları
Bu kavramlar SOC operasyonlarının kalbidir.
- True Positive: Bir güvenlik alarmının gerçekten bir saldırı veya politika ihlali olmasıdır.
- False Positive: Meşru bir aktivitenin, güvenlik aracı tarafından yanlışlıkla saldırı olarak işaretlenmesidir (Örn: Bir sistem yöneticisinin rutin bakım çalışmasının saldırı olarak algılanması).
Log Analizi Yaparken Hangi Adımları İzlersiniz?
Sistematik bir yaklaşım sergilemek önemlidir:
- Alarmın kaynağını ve tetikleyici kuralı belirlemek.
- İlgili zaman dilimindeki diğer logları (cross-correlation) incelemek.
- Kaynak ve hedef IP adreslerini tehdit istihbaratı (Threat Intelligence) araçlarıyla kontrol etmek.
- Kullanıcı davranışlarını (User Behavior Analytics) analiz etmek.
- Olayın etkisini belirleyip raporlamak.
Olay Müdahale (Incident Response) ve Senaryolar
Teknik bilgiyi pratiğe dökme aşamasıdır. Mülakatçı size bir senaryo verir ve "Ne yaparsınız?" diye sorar.
Senaryo: Bir kullanıcının bilgisayarında şüpheli bir trafik tespit ettiniz. İzleyeceğiniz yol nedir?
Bu soruya cevap verirken NIST veya SANS olay müdahale çerçevelerini referans almanız profesyonel bir izlenim bırakır:
- Hazırlık: Gerekli araçların hazır olması.
- Tespit ve Analiz: Trafiğin hangi porta gittiği, hangi sürecin (process) bu trafiği oluşturduğu belirlenir.
- Kısıtlama (Containment): Enfekte olan cihazın ağdan izole edilmesi (VLAN değişikliği veya port kapatma) sağlanarak saldırının yayılması (lateral movement) önlenir.
- Yok Etme (Eradication): Zararlı yazılımın temizlenmesi veya sistemin güvenli bir yedekten geri yüklenmesi.
- Kurtarma (Recovery): Sistemin normale döndürülmesi ve izlenmeye devam edilmesi.
- Ders Çıkarma (Lessons Learned): Olayın nasıl gerçekleştiğinin raporlanması ve benzer olayların önlenmesi için önlemler alınması.
Senaryo: Şirket yöneticisinin hesabından alışılmadık saatlerde ve farklı bir ülkeden giriş yapıldığını gördünüz. Yaklaşımınız ne olur?
Hızlı aksiyon ve iletişim ön planda olmalıdır. Önce hesabın gerçekten yönetici tarafından mı kullanıldığı yoksa ele mi geçirildiği teyit edilmelidir. Eğer şüpheli durum kesinleşirse, hesap hemen askıya alınmalı, tüm aktif oturumlar sonlandırılmalı ve şifre sıfırlama işlemi başlatılmalıdır. Ardından, bu hesabın sistemde neler yaptığı (hangi dosyalara erişti, hangi yetkileri kullandı) detaylıca incelenmelidir.
Siber Güvenlikte Kariyer ve Gelişim Stratejileri
Mülakatın son aşamasında, öğrenme azminiz ve vizyonunuz ölçülür. Siber güvenlik sürekli değişen bir alan olduğu için "nasıl öğrendiğiniz" çok önemlidir.
Güncel Tehditleri Nasıl Takip Ediyorsunuz?
Burada spesifik kaynaklar vermelisiniz. Sadece "internet üzerinden" demek yerine şunları ekleyin:
- BleepingComputer, The Hacker News gibi haber siteleri.
- MITRE ATT&CK framework'ü üzerinden saldırgan tekniklerini incelemek.
- Twitter'da (X) güvenlik araştırmacılarını takip etmek.
- CVE (Common Vulnerabilities and Exposures) listelerini düzenli kontrol etmek.
Sertifikasyonların Önemi
CompTIA Security+, CEH, CySA+ veya Cisco CyberOps gibi sertifikaların temel bilgi setini oluşturduğunu, ancak gerçek deneyimin laboratuvar çalışmaları (TryHackMe, HackTheBox) ve gerçek dünya log analizi ile kazanıldığını belirtmek dengeli bir yaklaşımdır.
SOC Analisti Adayları İçin CV Hazırlama İpuçları
Mülakata çağrılmanın ilk adımı, dikkat çekici ve teknik olarak doyurucu bir özgeçmişe sahip olmaktır. Birçok aday, sahip olduğu yetkinlikleri doğru ifade edemediği için elenmektedir.
Teknik Yetkinliklerin Sunumu
CV'nizde sadece "SIEM biliyorum" yazmak yerine, "Splunk üzerinde X adet korelasyon kuralı yazdım ve False Positive oranını %20 azalttım" gibi ölçülebilir başarılar ekleyin. Kullandığınız araçları (Wireshark, Nessus, CrowdStrike, ELK Stack vb.) kategorize ederek belirtin.
Doğru Formatın Seçimi
Güvenlik sektöründe sadelik ve netlik önemlidir. Karmaşık grafikler yerine, ATS (Aday Takip Sistemi) uyumlu, temiz bir Cv şablon kullanmanız, başvurunuzun insan kaynakları filtrelerini daha kolay geçmesini sağlar. Bilgiler kronolojik ve kolay taranabilir olmalıdır.
Kişisel Projeler ve Laboratuvarlar
Eğer profesyonel deneyiminiz azsa, evde kurduğunuz laboratuvarlardan bahsedin. Örneğin: "VirtualBox üzerinde Ubuntu ve Windows Server kurarak basit bir SIEM (Wazuh/ELK) yapısı oluşturdum ve kendi sistemime yaptığım saldırıların loglarını analiz ettim." Bu ifade, sizin sadece teorik bilgiye sahip olmadığınızı, aynı zamanda uygulama tutkunuz olduğunu kanıtlar.
Mülakat Öncesi Son Kontroller ve Tavsiyeler
Mülakat günü geldiğinde, teknik bilginiz kadar tavrınız da değerlendirilir. Bilmediğiniz bir soruyla karşılaştığınızda "bilmiyorum" demek yerine, "bu konuya hakim değilim ancak şu mantıkla yaklaşarak cevabı bulmaya çalışırdım" diyerek problem çözme yeteneğinizi sergileyin.
Bunun yanı sıra, mülakat öncesinde kendi geçmişinizi analiz edin. Hangi projelerde yer aldınız, hangi zorluklarla karşılaştınız ve bunları nasıl çözdünüz? Kendi deneyimleriniz üzerinde bir Cv analiz süreci yürütmek, mülakatta gelebilecek "Bize zorlandığınız bir anı anlatın" gibi davranışsal sorulara hazırlıklı olmanızı sağlar.
Mülakat Sırasında Dikkat Edilmesi Gerekenler
- Net Olun: Cevaplarınızı dolandırmadan, doğrudan ve teknik terimleri yerinde kullanarak verin.
- Soru Sorun: Mülakat sonunda "Kullandığınız teknoloji yığını (tech stack) nedir?" veya "Ekibinizin olay müdahale süreci nasıl işliyor?" gibi sorular sormanız, işe olan ilginizi gösterir.
- Dürüstlük: Bilmediğiniz bir araç hakkında "biliyorum" demek, teknik mülakatta derinlemesine soru sorulduğunda sizi zor durumda bırakabilir. Öğrenmeye açık olduğunuzu vurgulayın.
SOC Analistliğinde Uzmanlaşma Yolları
SOC Analistliği genellikle bir başlangıç noktasıdır (L1 Analist). Kariyer yolculuğunuzda hangi yöne evrileceğinizi planlamak, mülakatta vizyoner olduğunuzu gösterir.
L1'den L3'e Geçiş
L1 analistler genellikle alarmları izler ve ilk triyajı yapar. L2 analistler daha derinlemesine analiz yapar ve olay müdahalesini yönetir. L3 analistler ise tehdit avcılığı (Threat Hunting) yapar ve karmaşık saldırı senaryolarını çözer. Bu gelişimi sağlamak için sürekli olarak yeni saldırı tekniklerini öğrenmek ve otomasyon (Python, PowerShell) becerilerini iyileştirmek şarttır.
Siber Güvenlikte Uzmanlaşma Alanları
SOC deneyiminden sonra şu alanlara yönelmek mümkündür:
- Incident Response (IR): Olay müdahale uzmanlığı.
- Digital Forensics (DFIR): Dijital adli bilişim.
- Threat Intelligence: Tehdit istihbaratı analistliği.
- Security Engineering: Güvenlik mimarisi ve araç geliştirme.
Özet ve Son Hazırlık Listesi
SOC Analisti mülakatı, teknik bilgi, analitik düşünme ve stres yönetiminin birleşimidir. Başarılı olmak için şu listeyi tamamladığınızdan emin olun:
- TCP/IP, DNS, HTTP ve OSI katmanlarına tam hakimiyet sağladım mı?
- En yaygın 10 saldırı türünü ve bunların loglardaki izlerini açıklayabiliyor muyum?
- SIEM mantığını ve False Positive/True Positive ayrımını netleştirdim mi?
- NIST veya SANS olay müdahale adımlarını bir senaryoya uygulayabiliyor muyum?
- Profesyonel ve teknik detayları içeren, modern bir Cv oluştur işlemini tamamladım mı?
- Kullandığım Cv şablon sade, okunabilir ve ATS uyumlu mu?
- Kendi yetkinliklerimi ve eksiklerimi belirlemek için detaylı bir Cv analiz yaptım mı?
Siber güvenlik, bitmeyen bir öğrenme sürecidir. Mülakat sonucundan bağımsız olarak, her görüşmeyi eksiklerinizi görmek ve kendinizi iyileştirmek için bir fırsat olarak değerlendirin.
ATS uyumlu CV'ni dakikalar içinde hazırla.
Ücretsiz Başla