Güvenlik operasyonu merkezlerinde olayların önceliklendirilmesi ve analist atamasına yönelik çok kriterli bir karar destek çerçevesi

Basit Öğe Kaydı
dc.authorid0009-0005-1151-7480
dc.contributor.advisorÇeliktaş, Barışen_US
dc.contributor.authorKılınçdemir, Eyüp Canen_US
dc.contributor.otherIşık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programıen_US
dc.contributor.otherIşık University, School of Graduate Studies, Master’s Program in Cybersecurityen_US
dc.date.accessioned2025-08-08T10:28:11Z
dc.date.available2025-08-08T10:28:11Z
dc.date.issued2025-07-01
dc.departmentIşık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programıen_US
dc.departmentIşık University, School of Graduate Studies, Master’s Program in Cybersecurityen_US
dc.descriptionText in Turkish ; Abstract: Turkish and Englishen_US
dc.descriptionIncludes bibliographical references (leaves 61-62)en_US
dc.descriptionxv, 63 leavesen_US
dc.description.abstractBu çalışmada, Güvenlik Operasyon Merkezleri (SOC) için olay atama ve önceliklendirme süreçlerine yönelik kapsamlı ve ölçeklenebilir bir çerçeve önerilmektedir. Önerilen model; analist iş yoğunluğu, alarm yoğunluğu ve tutarsız olay yönetimi gibi temel operasyonel zorlukları ele alarak SOC iş akışlarını optimize etmeyi amaçlamaktadır. Geliştirilen çerçeve, her bir olayı; şiddet seviyesi, SLA aciliyeti, olay türü, varlık kritiklik düzeyi, tehdit istihbaratı göstergeleri, tekrar sıklığı ve geçmiş olay verilerine dayalı korelasyon puanı gibi çok sayıda faktörü içeren çok kriterli bir puanlama modeli ile değerlendirmektedir. Bu değerlendirme süreci, dinamik olay puanlarını hesaplayan ve olayın karmaşıklık düzeyini belirleyen matematiksel fonksiyonlar aracılığıyla biçimsel hale getirilmiştir. Eşzamanlı olarak, analist profilleri; iş yükü dağılımını ve uzmanlık uyumunu dikkate alan iki yenilikçi metrik olan Analist Yük Faktörü (ALF) ve Deneyim Uyumluluk Faktörü (EMF) kullanılarak nicelleştirilmiştir. Olay–analist eşleştirme süreci, olay önceliği ile analist uygunluğunu dengeleyen kısıtlı bir optimizasyon problemi olarak tanımlanmıştır. Bu formülasyon; olayların en uygun analistlere, gerçek zamanlı ve otomatik olarak atanmasını sağlarken; operasyonel değerin korunmasını ve triyaj hassasiyetinin sürdürülmesini mümkün kılar. Model, algoritmik yalancı kodlar, puanlama tabloları ve büyük ölçekli SOC ortamlarında modelin karar mantığını ve pratik uygulanabilirliğini gösteren örnek bir vaka çalışması ile doğrulanmıştır. Gerçek dünya koşullarında çerçevenin geçerliliğini değerlendirmek amacıyla, CICIDS2017 benchmark veri setinden seçilen 10 saldırı senaryosu kullanılarak ampirik bir vaka çalışması gerçekleştirilmiştir. Genel olarak, bu çalışmanın katkısı; ikili faktöre dayalı bir analist puanlama şemasının biçimselleştirilmesi ve bağlamsal olay özelliklerinin uyarlanabilir ve kural tabanlı bir yapı çerçevesiyle bütünleştirilmesidir. Operasyonel değeri daha da artırmak amacıyla, gelecekte yapılacak çalışmalarda dinamik ağırlıklandırma mekanizmaları ile gerçek zamanlı SIEM veri akışlarıyla entegrasyon sağlanması planlanmaktadır. Ayrıca, analist geri bildirim döngülerinin ve denetimli öğrenme modellerinin sisteme entegre edilmesiyle olay-atama ve önceliklendirme süreçlerinin sürekli olarak iyileştirilmesi hedeflenmektedir.en_US
dc.description.abstractIn this thesis, we propose a comprehensive and scalable framework for incident assignment and prioritization in Security Operations Centers (SOCs). The proposed model aims to optimize SOC workflows by addressing key operational challenges such as analyst fatigue, alert overload, and inconsistent incident handling. Our framework evaluates each incident using a multi-factor scoring model that incorporates severity level, service-level agreement (SLA) urgency, incident type, asset criticality, threat intelligence indicators, frequency of repetition, and a correlation score derived from historical incident data. We formalize this evaluation through a set of mathematical functions that compute a dynamic incident score and derive incident complexity. In parallel, analyst profiles are quantified using Analyst Load Factor (ALF) and Experience Match Factor (EMF), two novel metrics that account for both workload distribution and expertise alignment. The incident–analyst matching process is expressed as a constrained optimization problem, where the final assignment score is computed by balancing incident priority with analyst suitability. This formulation enables automated, real-time assignment of incidents to the most appropriate analysts, while ensuring both operational fairness and triage precision. The model is validated using algorithmic pseudocode, scoring tables, and a simplified case study, which illustrates the real-world applicability and decision logic of the framework in large-scale SOC environments. To validate the framework under real-world conditions, an empirical case study was conducted using 10 attack scenarios from the CICIDS2017 benchmark dataset. Overall, our contributions lie in the formalization of a dual-factor analyst scoring scheme and the integration of contextual incident features into an adaptive, rule-based assignment framework. To further strengthen operational value, future work will explore adaptive weighting mechanisms and integration with real-time SIEM pipelines. Additionally, feedback loops and supervised learning models will be incorporated to continuously refine analyst-incident matching and prioritization.en_US
dc.identifier.citationKılınçdemir, E. C. (2025). Güvenlik operasyonu merkezlerinde olayların önceliklendirilmesi ve analist atamasına yönelik çok kriterli bir karar destek çerçevesi. İstanbul: Işık Üniversitesi Lisansüstü Eğitim Enstitüsü.en_US
dc.identifier.urihttps://hdl.handle.net/11729/6598
dc.institutionauthorKılınçdemir, Eyüp Canen_US
dc.institutionauthorid0009-0005-1151-7480en_US
dc.language.isotren_US
dc.publisherIşık Üniversitesi, Lisansüstü Eğitim Enstitüsüen_US
dc.relation.publicationcategoryTezen_US
dc.rightsinfo:eu-repo/semantics/openAccess
dc.subjectOlay yönetimien_US
dc.subjectAnalist atamaen_US
dc.subjectSOC optimizasyonuen_US
dc.subjectOlay önceliklendirmeen_US
dc.subjectKorelasyon puanıen_US
dc.subjectIncident managementen_US
dc.subjectAnalyst assignmenten_US
dc.subjectSOC optimizationen_US
dc.subjectIncident prioritizationen_US
dc.subjectCorrelation scoreen_US
dc.titleGüvenlik operasyonu merkezlerinde olayların önceliklendirilmesi ve analist atamasına yönelik çok kriterli bir karar destek çerçevesien_US
dc.title.alternativeA multi-criteria decision support framework for incident prioritization and analyst assignment in security operations centersen_US
dc.typeMaster Thesisen_US
dspace.entity.typePublicationen_US

Dosyalar

Orijinal paket
Listeleniyor 1 - 1 / 1
Küçük Resim
İsim:
Guvenlik_operasyonu_merkezlerinde_olaylarin_onceliklendirilmesi_ve_analist_atamasina_yonelik_cok_kriterli_bir_karar_destek_cercevesi.pdf
Boyut:
1.28 MB
Biçim:
Adobe Portable Document Format
İndir
Lisans paketi
Listeleniyor 1 - 1 / 1
Küçük Resim Yok
İsim:
license.txt
Boyut:
1.17 KB
Biçim:
Item-specific license agreed upon to submission
Açıklama:
İndir

Koleksiyon

Lisansüstü Eğitim Enstitüsü Tez Koleksiyonu