EDR/XDR Teknolojileri ve Yönetimi Nedir?
Mart 25, 2026
Siber Güvenlik
Günümüz saldırıları, tek bir log kaynağında veya tek bir güvenlik ürününde “net” iz bırakmadan ilerleyebilir. Fileless davranışlar, kimlik tabanlı saldırılar, bulut API kötüye kullanımı ve tedarik zinciri etkileri; savunma tarafında çok kaynaklı görünürlüğü zorunlu kılar. EDR (Endpoint Detection and Response) ve XDR (Extended Detection and Response) bu ihtiyaca yanıt verir: uç nokta ve diğer güvenlik telemetrilerini birleştirip olayları daha erken tespit etmeyi ve daha hızlı yanıt vermeyi amaçlar.
EDR/XDR kavramları çoğu zaman pazarlama diliyle karışır. Bu nedenle doğru beklenti kurmak önemlidir: EDR, uç noktadaki (Windows/macOS/Linux) süreç, dosya, kayıt defteri ve ağ davranışını toplayıp tespit/yanıt yeteneği sunar. XDR ise bu görünürlüğü e-posta, kimlik, ağ, bulut ve SaaS sinyalleriyle genişleterek daha kapsamlı korelasyon ve otomasyon hedefler. Bu makale, EDR/XDR teknolojilerinin çalışma mantığını, yönetim pratiklerini ve kurumsal başarı için gerekli adımları savunma odaklı olarak ele alır.
EDR ve XDR Nedir?
EDR, uç noktalardan detaylı telemetri toplayan, şüpheli davranışları tespit eden ve olay müdahalesi için yanıt aksiyonları sağlayan bir güvenlik yaklaşımıdır. EDR’ın değeri, “ne çalıştı, nereden başladı, neye dokundu” gibi sorulara süreç ağacı ve davranışsal sinyallerle yanıt verebilmesidir. Klasik antivirüs çoğunlukla imza tabanlıyken, EDR davranış ve bağlam odaklıdır.
XDR, EDR’ın telemetrisini diğer alanlara genişleterek ‘tek noktadan görünürlük ve korelasyon’ hedefler. Örneğin bir phishing e-postası → kullanıcı oturumu → endpoint’te süreç başlatma → bulut üzerinde anormal API çağrısı zinciri, XDR yaklaşımında tek bir olay olarak ilişkilendirilebilir. Bu sayede saldırı zinciri parçalı alarmlar yerine daha anlamlı “incident”’lara dönüşür.
Mimari: Telemetri, Tespit ve Yanıt Katmanları
EDR/XDR’ı yapısal olarak üç katmanda düşünmek açıklayıcı olur:
1) Sensör/Agent ve Telemetri:
Uç noktada agent, süreç oluşturma, komut satırı, modül yüklemeleri, dosya/registry değişiklikleri, network bağlantıları gibi olayları toplar. XDR tarafında buna e-posta, IAM, bulut audit logları, proxy/DNS, firewall ve SaaS sinyalleri eklenir. Telemetri ne kadar kaliteli ve tutarlıysa, tespit kalitesi o kadar artar.
2) Analitik ve Korelasyon:
Toplanan veriler, kurallar (signature/heuristic), davranış modelleri, anomali tespiti ve ilişkilendirme ile “alarm” ve “incident” üretir. Burada asıl hedef, yanlış pozitifleri azaltıp aksiyonlanabilir sinyal üretmektir. XDR, korelasyonla “tek kaynaktaki zayıf sinyali” birleştirip güçlü kanıt oluşturabilir.
3) Yanıt (Response) ve Otomasyon:
EDR seviyesinde süreç öldürme, karantina, dosya silme, cihaz izolasyonu gibi aksiyonlar; XDR seviyesinde ise hesap kilitleme, e-posta geri alma, firewall kuralı ekleme veya SOAR üzerinden playbook tetikleme gibi geniş yanıtlar mümkün olabilir. Yanıt yeteneğinin değeri, hızlı ve kontrollü uygulanabilmesindedir.
Yaygın Kullanım Senaryoları
EDR/XDR’ın pratikte en çok değer ürettiği senaryolar şunlardır:
- Filelessvebellek içi saldırılar: Diskte iz bırakmayan süreç anormallikleri, şüpheli bellek davranışları.
- Kimlik tabanlı saldırılar: MFA bypass, şüpheli oturumlar, token kötüye kullanımı; endpoint sinyaliyle korelasyon.
- Phishing sonrası zincir: E-posta tıklaması → endpoint süreç → C2 trafiği → veri dışa çıkarma.
- Latral movement: Uç noktadan sunucuya yönetim protokolleri, olağan dışı erişim yayılımı.
- Ransomware erken uyarı: Hızlı dosya değişimi, şüpheli şifreleme davranışı, yedekleme hedeflerine erişim denemeleri.
- Bulut olayları: Bulut audit loglarıyla endpoint anormalliklerinin ilişkilendirilmesi.
Bu senaryolar, EDR/XDR’ın neden ‘incident’ odaklı çalışması gerektiğini gösterir. Tekil alarm çoktur; değer, saldırı zincirini tek olay olarak görebilmektir.
Yönetim ve Operasyon: Neden Zor?
EDR/XDR ürünleri kurulunca “kendiliğinden güvenlik” oluşmaz. Yönetim zorlayıcıdır çünkü:
- Gürültü:Varsayılan kurallar yüksek alarm üretebilir; tuning gerekir.
- Kapsam: Agent kurulamayan cihazlar, eski işletim sistemleri ve OT/IoT cihazları kör nokta yaratır.
- Veri hacmi: Telemetri büyük veri üretir; saklama maliyeti ve performans planlanmalıdır.
- Yetki ve süreç: Yanıt aksiyonları yanlış uygulanırsa iş kesintisi yaratabilir; değişiklik yönetimi gerekir.
- İnsan ve beceri: Triage, hunting, rule writing ve incident response yetkinliği şarttır.
Bu nedenle EDR/XDR başarısı, teknoloji + süreç + insan üçlüsünün birlikte çalışmasına bağlıdır.
Başarı için Yönetim Prensipleri
Kurumsal ölçekte EDR/XDR yönetimi için uygulanabilir prensipler:
- Kapsamahedefi koy: Kritik sunucu ve kullanıcı cihazlarında agent kapsama oranını ölç; kör noktaları planla.
- Baseline ve tuning: İlk 2–4 haftayı alarm sınıflandırma ve kural ayarı için ayır; ‘gürültü’ azalt.
- Use-case odaklı kural seti: En olası 10–15 saldırı senaryosu için tespit ve playbook üret.
- Rol ve sorumluluk: SOC triage, IR, IT operasyon ve kimlik ekibinin görev sınırları net olsun.
- Yanıtı kademeli uygula: Otomatik izolasyon gibi ağır aksiyonları önce gözlem/yarı otomatik başlat; güven artınca otomasyonu genişlet.
- Entegrasyon: SIEM/SOAR, ticketing, IAM ve e-posta güvenliğiyle bağlantı kur; incident yönetimini standardize et.
- Ölç ve raporla: MTTR, false positive oranı, kapsama, incident başına harcanan süre ve “yakalanan senaryo” metriklerini düzenli izle.
Bu prensipler, EDR/XDR’ı bir ürün değil, yaşayan bir güvenlik programı hâline getirir.
Sınırlamalar ve Dikkat Edilmesi Gerekenler
EDR/XDR güçlü olsa da sınırlamaları vardır:
- Tamgörünürlükyoktur: Agent dışı sistemler ve şifreli trafik kör nokta olabilir.
- Yanlış pozitif/negatif riski: Tuning yapılmazsa ekip yorulur; aşırı tuning yapılırsa kaçırma artar.
- Ürün bağımlılığı: Telemetri formatı ve kural dili, uzun vadeli bağımlılık yaratabilir.
- Gizlilik ve uyum: Uç noktadan toplanan veriler kişisel veri içerebilir; KVKK/GDPR uyumu gerektirir.
- Saldırgan uyumu: İleri tehditler EDR’dan kaçınma veya devre dışı bırakma denemeleri yapabilir; defense-in-depth şarttır.
Bu nedenle EDR/XDR, tek başına ‘mutlak koruma’ değil; çok katmanlı savunmanın güçlü bir parçasıdır.
Tags :
EDR,OlayMüdahalesi,XDR
Share This :