Filtreler

2025 - 20264
Filtreleri Sıfırla

Ayarlar

Konu: Incident management ×

Arama Sonuçları

Listeleniyor 1 - 4 / 4
  • Küçük Resim
    Yayın
    A context-aware, AI-driven load balancing framework for incident escalation in SOCs
    (Institute of Electrical and Electronics Engineers Inc., 2025-08-12) Abuaziz, Ahmed; Çeliktaş, Barış
    SOCs face growing challenges in incident management due to increasing alert volumes and the complexity of cyberattacks. Traditional rule-based escalation models often fail to account for the workload of the analyst, the severity of the incident, and the organizational context. This paper proposes a context-aware, AI-driven load balancing framework for intelligent analyst assignment and incident escalation. Our framework leverages large language models (LLMs) with retrievalaugmented generation (RAG) to evaluate incident relevance and historical assignments. A reinforcement learning (RL)-based scheduler continuously optimizes incident-to-analyst assignments based on operational outcomes, enabling the system to adapt to evolving threat landscapes and organizational structures. Planned simulations in realistic SOC environments will compare the model with traditional rule-based models using metrics such as Mean Time to Resolution (MTTR), workload distribution, and escalation accuracy. This work highlights the potential of AIdriven approaches to improve SOC performance and enhance incident response effectiveness.
  • Küçük Resim
    Yayın
    Analyst-aware incident assignment in security operations centers: a multi-factor prioritization and optimization framework
    (Uğur Şen, 2025-07-15) Kılınçdemir, Eyüp Can; Çeliktaş, Barış
    In this paper, we propose a comprehensive and scalable framework for incident assignment and prioritization in Security Operations Centers (SOCs). The proposed model aims to optimize SOC workflows by addressing key operational challenges such as analyst fatigue, alert overload, and inconsistent incident handling. Our framework evaluates each incident using a multi-factor scoring model that incorporates incident severity, service-level agreement (SLA) urgency, incident type, asset criticality, threat intelligence indicators, frequency of repetition, and a correlation score derived from historical incident data. We formalize this evaluation through a set of mathematical functions that compute a dynamic incident score and derive incident complexity. In parallel, analyst profiles are quantified using Analyst Load Factor (ALF) and Experience Match Factor (EMF), two novel metrics that account for both workload distribution and expertise alignment. The incident–analyst matching process is expressed as a constrained optimization problem, where the final assignment score is computed by balancing incident priority with analyst suitability. This formulation enables automated, real-time assignment of incidents to the most appropriate analysts, while ensuring both operational fairness and triage precision. The model is validated using algorithmic pseudocode, scoring tables, and a simplified case study, which illustrates the realworld applicability and decision logic of the framework in large-scale SOC environments. To validate the framework under real-world conditions, an empirical case study was conducted using 10 attack scenarios from the CICIDS2017 benchmark dataset. Overall, our contributions lie in the formalization of a dual-factor analyst scoring scheme and the integration of contextual incident features into an adaptive, rule-based assignment framework. To further strengthen operational value, future work will explore adaptive weighting mechanisms and integration with real-time SIEM pipelines. Additionally, feedback loops and supervised learning models will be incorporated to continuously refine analyst-incident matching and prioritization.
  • Küçük Resim
    Yayın
    Güvenlik operasyonu merkezlerinde olayların önceliklendirilmesi ve analist atamasına yönelik çok kriterli bir karar destek çerçevesi
    (Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, 2025-07-01) Kılınçdemir, Eyüp Can; Çeliktaş, Barış; Işık Üniversitesi, Lisansüstü Eğitim Enstitüsü, Siber Güvenlik Yüksek Lisans Programı; Işık University, School of Graduate Studies, Master’s Program in Cybersecurity
    Bu çalışmada, Güvenlik Operasyon Merkezleri (SOC) için olay atama ve önceliklendirme süreçlerine yönelik kapsamlı ve ölçeklenebilir bir çerçeve önerilmektedir. Önerilen model; analist iş yoğunluğu, alarm yoğunluğu ve tutarsız olay yönetimi gibi temel operasyonel zorlukları ele alarak SOC iş akışlarını optimize etmeyi amaçlamaktadır. Geliştirilen çerçeve, her bir olayı; şiddet seviyesi, SLA aciliyeti, olay türü, varlık kritiklik düzeyi, tehdit istihbaratı göstergeleri, tekrar sıklığı ve geçmiş olay verilerine dayalı korelasyon puanı gibi çok sayıda faktörü içeren çok kriterli bir puanlama modeli ile değerlendirmektedir. Bu değerlendirme süreci, dinamik olay puanlarını hesaplayan ve olayın karmaşıklık düzeyini belirleyen matematiksel fonksiyonlar aracılığıyla biçimsel hale getirilmiştir. Eşzamanlı olarak, analist profilleri; iş yükü dağılımını ve uzmanlık uyumunu dikkate alan iki yenilikçi metrik olan Analist Yük Faktörü (ALF) ve Deneyim Uyumluluk Faktörü (EMF) kullanılarak nicelleştirilmiştir. Olay–analist eşleştirme süreci, olay önceliği ile analist uygunluğunu dengeleyen kısıtlı bir optimizasyon problemi olarak tanımlanmıştır. Bu formülasyon; olayların en uygun analistlere, gerçek zamanlı ve otomatik olarak atanmasını sağlarken; operasyonel değerin korunmasını ve triyaj hassasiyetinin sürdürülmesini mümkün kılar. Model, algoritmik yalancı kodlar, puanlama tabloları ve büyük ölçekli SOC ortamlarında modelin karar mantığını ve pratik uygulanabilirliğini gösteren örnek bir vaka çalışması ile doğrulanmıştır. Gerçek dünya koşullarında çerçevenin geçerliliğini değerlendirmek amacıyla, CICIDS2017 benchmark veri setinden seçilen 10 saldırı senaryosu kullanılarak ampirik bir vaka çalışması gerçekleştirilmiştir. Genel olarak, bu çalışmanın katkısı; ikili faktöre dayalı bir analist puanlama şemasının biçimselleştirilmesi ve bağlamsal olay özelliklerinin uyarlanabilir ve kural tabanlı bir yapı çerçevesiyle bütünleştirilmesidir. Operasyonel değeri daha da artırmak amacıyla, gelecekte yapılacak çalışmalarda dinamik ağırlıklandırma mekanizmaları ile gerçek zamanlı SIEM veri akışlarıyla entegrasyon sağlanması planlanmaktadır. Ayrıca, analist geri bildirim döngülerinin ve denetimli öğrenme modellerinin sisteme entegre edilmesiyle olay-atama ve önceliklendirme süreçlerinin sürekli olarak iyileştirilmesi hedeflenmektedir.
  • Küçük Resim
    Yayın
    A multi-criteria evaluation of cybersecurity incident management frameworks: integrating AHP, CMMI and SWOT
    (Karyay Karadeniz Yayımcılık Ve Organizasyon Ticaret Limited Şirketi, 2026-01-15) Ağar, Hasan Çağlar; Çeliktaş, Barış
    With the growing complexity and frequency of cybersecurity incidents, the selection of an appropriate incident management framework has emerged as a strategic imperative and a nontrivial decision-making problem for organizations operating across diverse sectors. This study presents a multi-dimensional evaluation of four globally recognized frameworks and standards—ISO 27035, NIST 800-61, ITIL v4, and PCI DSS—to determine their effectiveness across 10 rigorously selected key performance parameters. The initial stage of the study involved the identification of 20 preliminary parameters through expert input and literature synthesis. These were then evaluated by 70 cybersecurity professionals using a hybrid decision-making model combining Likert scale scoring, standard deviation filtering, CV score, Z-score normalization and the Analytic Hierarchy Process (AHP) for pairwise comparisons. The top 10 key parameters were derived based on calculated priority weights. To assess each framework, we applied the Capability Maturity Model Integration (CMMI) and visualized results via radar charts and heatmaps, offering comparative insights into operational maturity. Additionally, SWOT analysis was conducted to examine strategic positioning and identify opportunities for improvement. The outcomes not only provide a practical benchmarking guide for practitioners but also introduce a replicable, evidence-based methodology for academic and industry adoption. This work offers a novel and structured lens to evaluate incident management maturity, addressing the pressing need for strategic alignment, automation integration, and adaptive resilience in cybersecurity operations.