EDR vs Antivirus: Modern Şirket Hangi Korumayı Seçmeli?
Antivirus imza tabanlı, EDR davranış analizi yapar. Polymorphic malware, fileless attack, LotL, MFA bypass ile AV atlatılır. EDR ATT&CK eşleşmesi + otomatik yanıt. 2026'da KOBİ için bile EDR/XDR temel. Defender, CrowdStrike, SentinelOne pazar liderleri. KAOS yerli AI farklı katman.
EDR vs Antivirus: Modern Şirket Hangi Korumayı Seçmeli?
TL;DR: Klasik antivirus imza tabanlı çalışır, bilinen zararlı yazılımın hash'ini eşleştirir ve karantinaya alır. EDR (Endpoint Detection and Response) davranış analizi yapar; fileless saldırı, polymorphic malware ve "yaşayan binary" (Living off the Land) tekniklerini telemetri üzerinden yakalar. 2026 itibarıyla KOBİ ölçeğinde bile artık tek başına antivirus yetmez, EDR veya XDR temel bir gereksinim olarak kabul ediliyor. Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne ve Cybereason pazar liderleri arasında. KAOS yerli AI motoru, pentest ve savunma akışlarını birleştiren farklı bir alternatif sunuyor.
Bu yazı, Türkiye Siber Tehdit Manzarası 2026 ana içeriğinin uç nokta savunması bölümünü destekler. Antivirus ile EDR arasındaki teknik farkı, hangi şirket boyutunun hangi ürünü seçmesi gerektiğini, sertleştirme adımlarını ve KVKK boyutunu pratik bir şekilde anlatır.
Antivirus ne yapar?
Geleneksel antivirus, üç ana mekanizmayla çalışır. Birincisi imza tabanlı tarama: bilinen zararlı yazılımların hash veya byte örüntülerini bir veri tabanında tutar, taranan dosyaları bu örüntülerle karşılaştırır. İkincisi sezgisel (heuristic) analiz: kuşkulu davranışları (örneğin makro içeren bir Office belgesinin PowerShell çağırması gibi) basit kurallarla yakalar. Üçüncüsü gerçek zamanlı (real-time) tarama: dosya açıldığında, indirildiğinde veya çalıştırıldığında anında devreye girer.
Antivirus, 30 yıl öncesinin teknolojisi olarak hâlâ değerlidir. Bilinen tehditler için ucuz ve etkilidir. Ancak modern saldırgan, antivirus'ün bakmadığı yerlerde çalışmayı öğrendi.
Modern saldırı neden AV'yi atlatıyor?
Polymorphic malware
Aynı zararlı yazılım, her dağıtımda farklı hash üretir. İçindeki şifreleme rutini her örnekte ayrı bir anahtar kullanır. İmza veri tabanı bu varyantı tanımaz, dosya temiz gibi görünür.
Fileless attack
Saldırgan diske hiçbir şey yazmaz. PowerShell komutu doğrudan bellekte çalışır, WMI tetikleyicileri olay alır, registry içine kod gizler. Antivirus dosya bekler, dosya gelmez, alarm çalmaz.
Living off the Land (LotL)
Saldırgan sistemde zaten var olan, imzalı, "iyi" binary'leri kullanır. PowerShell, certutil, mshta, rundll32, bitsadmin, regsvr32 gibi araçlar Windows ile birlikte gelir ve antivirus bunları engellemez. MITRE ATT&CK altında T1218 "Signed Binary Proxy Execution" tekniği bu kategoridir. Detaylar için MITRE ATT&CK referans alınmalıdır.
LSASS dumping
mimikatz ve benzeri araçlar, Windows LSASS sürecinden parola özetlerini ve Kerberos biletlerini sızdırır. Antivirus'lerin önemli kısmı dosya imzasını yakalar ama bellekten dump alma davranışını doğrudan engellemez; bu yalnızca davranışsal telemetri ile tespit edilir.
MFA bypass ve token theft
OAuth oturum çerezinin çalınması, adversary-in-the-middle kitleri ve cihaz kaydı oyunları antivirus'ün kapsamına girmez. Kimlik düzleminde olur, dosya düzleminde değil.
EDR ne yapar?
EDR, uç noktada sürekli telemetri toplar. Süreç ağaçları, dosya/registry/network çağrıları, komut satırı argümanları, modül yükleme, yetki yükseltme denemeleri merkezde toplanır. Bu telemetri MITRE ATT&CK matrisi ile eşleştirilir; bir TTP zinciri tetiklendiğinde otomatik yanıt başlatılır: süreci öldür, dosyayı sil, hostu ağdan izole et, kullanıcı oturumunu sonlandır, kanıt için forensik snapshot al.
ABD CISA, uç nokta savunmasına bu tip telemetri-merkezli yaklaşımı resmî olarak öneriyor. CISA Defender for Endpoint Best Practices belgesi konfigürasyon kontrol listesini ayrıntılandırır.
EDR vs XDR vs MDR
Üç akronim sık karıştırılır.
EDR sadece endpoint odaklıdır: laptop, sunucu, sanal makina.
XDR (Extended Detection and Response) endpointe ek olarak ağ, e-posta, kimlik (Azure AD/Entra ID), bulut iş yükü, OT/IoT ve SaaS telemetrisini tek bir korelasyon motorunda birleştirir. Bir kullanıcının Türkiye dışından login olması, ardından e-postada inbox rule kurması ve laptopunda PowerShell çalıştırması üç ayrı sinyal değil, tek bir olay olarak işlenir.
MDR (Managed Detection and Response) bir teknoloji değil bir servis modelidir: 24/7 insan SOC operasyonu, alarmı triage eden, müşteri adına müdahale yapan dış ekip.
MITRE ATT&CK çerçevesi
ATT&CK, gerçek saldırılardan derlenmiş 14 taktik ve 200'ü aşkın tekniğin yaşayan bir kataloğudur. Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact ve Resource Development başlıkları altında saldırı adımları sınıflandırılır.
EDR ürünleri, her TTP için detection coverage (tespit kapsamı) açısından kıyaslanır. MITRE Engenuity ATT&CK Evaluations bağımsız test sonuçları yayımlar; satın alma kararında pazarlama broşürü yerine bu sonuçlara bakmak gerekir.
Hangi şirket için hangisi?
Çok küçük işletme (10 kişi altı)
Windows 11 Pro üzerinde Microsoft Defender Antivirus + Microsoft 365 Business Basic ile başlanabilir. Tam EDR olmadan da SmartScreen, Controlled Folder Access ve cloud-delivered protection açık tutulursa temel zemin kurulur. 1-2 yıl içinde Business Premium'a geçiş planlanmalı.
KOBİ (10-100 kişi)
Microsoft 365 Business Premium, Defender for Endpoint Plan 1'i lisansa dahil eder ve maliyet açısından en ekonomik EDR girişidir. Detaylar Microsoft Defender for Endpoint belgelerinden takip edilebilir. Alternatif olarak CrowdStrike Falcon Go SKU'su veya SentinelOne Singularity Control da bu ölçeğe hitap eder. EDR bu segmentte artık opsiyonel değil temel.
Orta ölçek (100-500 kişi)
Defender for Endpoint Plan 2 (otomatik soruşturma, threat & vulnerability management, gelişmiş hunting dahil), CrowdStrike Falcon Pro veya SentinelOne Complete tipik tercihtir. Bu seviyede iç güvenlik ekibi yetmez, MDR servisiyle birlikte alınır.
Büyük ölçek (500+ kişi)
XDR platformu zorunluluk olur: Microsoft Defender XDR, CrowdStrike Falcon Insight XDR, Palo Alto Cortex XDR. SIEM (Sentinel, Splunk, QRadar) entegrasyonu, 24/7 SOC, vaka yönetim sistemi ve incident response retainer'ı tabloyu tamamlar.
Pazar liderleri
Gartner Magic Quadrant metodolojisi, Endpoint Protection Platforms kategorisinde sağlayıcıları "completeness of vision" ve "ability to execute" eksenlerinde dört bölgeye yerleştirir. Son yıllarda Leaders bölgesinde tutarlı şekilde görünen oyuncular Microsoft, CrowdStrike, SentinelOne, Palo Alto Networks ve Trend Micro oldu. Spesifik konumlar yıldan yıla değişir; satın alma kararı için güncel raporun erişilen sürümüne bakılmalı, eski yorumlara güvenilmemelidir.
Her üründe güçlü ve zayıf taraflar vardır: Microsoft entegrasyon ve fiyat avantajı, CrowdStrike olgun hunting, SentinelOne agent performansı, Palo Alto ağ entegrasyonu, Trend Micro Asya pazarındaki deneyim. Tek doğru cevap yoktur; envantere ve operasyon kapasitesine göre tercih yapılır.
Yerli EDR seçenekleri
Türkiye pazarında bazı yerli ürünler ön plana çıkıyor. ASELSAN içinde geliştirilen savunma sınıfı uç nokta çözümleri, Logsign'ın SIEM/SOAR ekosistemiyle entegre çalışan paketi, ULAK ve diğer kamu odaklı oyuncular örnek verilebilir. Bu segment özellikle kamu, savunma ve kritik altyapı için anlamlı.
KAOS, bu listede farklı bir kategoride durur. Klasik bir EDR ajanından öte, pentest ve savunma akışlarını tek bir agentic AI motorunda birleştirir; saldırı yüzeyini kendi tarayıp bulduğu zafiyetleri otomatik doğrular, sonra savunma tarafında EDR/XDR telemetrisiyle korelasyon kurar. EDR'in yerine değil, EDR'in üstüne çalışacak şekilde tasarlanmıştır.
EDR sertleştirme adımları
Lisans almak, ürünü çalıştırmaya yetmez. Sertleştirme listesi:
- Tamper Protection açık olmalı; saldırgan kuruluyu kapatamasın.
- Cloud-delivered protection açık; yeni tehdit bilgisi gerçek zamanlı gelsin.
- Network protection açık; bilinen kötü amaçlı IP/domain'ler engellensin.
- ASR (Attack Surface Reduction) kuralları Block modunda; Office makro abuse, çocuk süreç oluşturma, USB icra gibi yaygın vektörler kapatılsın.
- Controlled Folder Access açık; ransomware şifreleme denemelerini engellesin.
- Web filtering etkin; phishing URL'leri tarayıcıya ulaşmadan kessin.
- Audit mode'dan Block mode'a geçiş planı tarihli olsun; "şimdilik audit'te kalsın" tuzağına düşülmesin.
Fidye yazılım korumasında EDR rolü
Fidye yazılımı bir anda olmaz; saatler hatta günler boyu süren bir zincirin sonudur. EDR bu zinciri erken yakalar: anormal lateral movement (SMB tarama, RDP brute), credential dumping (LSASS erişimi), volume shadow copy silme (vssadmin delete shadows), toplu dosya yazma davranışı. Bu sinyallerden biri tetiklendiğinde host izole edilir ve şifreleme aşamasına geçilmeden olay kapanır.
Yine de kapsül her zaman geçmez. Eğer şifreleme başladıysa süreç teknik değil acil müdahale olur. Fidye yazılım ilk 24 saat yazısı operasyonel adımları sıralar; EDR alarmı geldiği anda bu prosedüre geçilmesi gerekir.
EDR'in yetersiz kaldığı yerler
EDR her şeyi çözmez. Dört önemli sınır vardır.
Birincisi, gerçekten yeni 0-day saldırılarda davranışsal imza henüz şekillenmemiş olabilir. İkincisi, yetkili bir kullanıcının kasıtlı kötü niyetli eylemi (insider threat) çoğu zaman normal görünür. Üçüncüsü, bulut servisi tarafında olan olaylar (yanlış yapılandırılmış S3 bucket, açık API anahtarı) endpointe değmez; CSPM ve CWPP araçları gerekir. Dördüncüsü, kimlik tabanlı saldırılarda (token replay, OAuth phishing) IAM, conditional access ve ITDR çözümleri devreye girmelidir.
EDR + MFA + Backup üçlüsü
Üç kontrolün eş zamanlı olarak işlemesi, bir KOBİ'nin minimum güvenlik tabanını oluşturur. EDR uç noktada davranışı görür, MFA kimlik düzleminde token oyunlarını zorlaştırır, immutable backup ise en kötü senaryoda iş sürekliliğini garanti eder. Birini eksik bırakırsanız diğerlerinin değeri düşer; saldırgan zayıf halkadan girer.
Maliyet
EDR fiyatlandırması genelde endpoint başına aylık abonelik modelidir. Plan, lisansa hangi modüllerin (vulnerability management, threat intelligence, MDR servisi) dahil olduğuna göre değişir. Tüketici antivirus'lerinden net biçimde pahalıdır. KOBİ ölçeğinde bütçe yönetilebilir, enterprise tier'da yıllık altı haneli rakamlara çıkar. Resmî fiyat listeleri için doğrudan sağlayıcı satış ekibiyle veya yetkili Türkiye distribütörüyle görüşmek gerekir; ikinci el yorumlardan fiyat türetmek yanıltıcı olur.
KVKK ve gizlilik
EDR telemetrisi kişisel veri içerebilir: kullanıcı adı, çalıştırılan uygulama, ziyaret edilen URL, açılan dosya yolları, hatta zaman zaman dosya içeriği. KVKK madde 4 dürüstlük ilkesi ve madde 5 amaç sınırlama gereği bu işleme açık, anlaşılır biçimde duyurulmalı.
Pratikte yapılması gerekenler: aydınlatma metnine "uç nokta güvenlik telemetrisi" satırı eklenmeli, çalışan rıza/onam süreci güncellenmeli, veri envanteri ve VERBİS kaydı güncelliği kontrol edilmeli. Yurt dışı bulut tabanlı EDR kullanılıyorsa veri aktarımı için KVKK'nın yurt dışına aktarım kuralları (md. 9) çalıştırılmalı.
SSS
Defender ücretsizdir, paralı EDR'a neden ihtiyacım var?
Windows Defender Antivirus ücretsiz gelir ve iyi bir AV motorudur. Ancak gerçek EDR yetkinliği (telemetri, hunting, otomatik soruşturma) Microsoft 365 E5 veya Defender for Endpoint Plan 2 lisansıyla açılır. Ücretsiz katman AV katmanıdır, EDR değildir.
Antivirus + EDR ikisi birlikte koşturulabilir mi?
Modern EDR ürünleri zaten içlerinde AV motoru taşır. Aynı makinada iki farklı AV çakışır, sistem yavaşlar ve algılama yarış koşullarına girer. EDR'a geçtiğinizde eski AV'yi kaldırın.
EDR sistemi yavaşlatır mı?
Olgun ürünlerde ek yük genellikle hissedilmez. Performans sorunu çıkarsa exclusion listeleri (build sunucusu, veri tabanı dosyaları) doğru yapılandırılmalı; bu istisnaları geniş tutmak güvenliği bozar, dar ve gerekçeli tutulmalıdır.
Bulut tabanlı EDR mı, on-prem mi?
Pazarın yönü açıkça bulut yönetimli. On-prem sadece izole ağlar (askeri, kritik OT) için anlamlıdır. Bulut yönetimi anlık imza güncellemesi, daha hızlı dağıtım ve düşük operasyon yükü sağlar.
Yerli EDR seçeneği var mı?
Evet. ASELSAN, Logsign ve birkaç oyuncu kamu/kritik altyapı pazarında konumlanıyor. KAOS ise EDR yerine onun üstüne çalışan bir agentic AI katmanı olarak farklı bir niş tutuyor.
Personel telefonunu EDR'a dahil etmek zorunda mıyım?
BYOD politikasına bağlı. Şirket verisine erişen telefonlar MDM/MTD kapsamına alınmalı; tam masaüstü EDR ajanı yerine mobil tehdit savunması ürünleri daha uygundur.
EDR alarmı geldiğinde ne yapmalı?
Önce alarmın gerçekliğini doğrulayın (false positive olabilir), ardından önceden hazırlanmış playbook'a geçin: host izole, kanıt topla, ilgili kullanıcıyla iletişim, üst yönetime bilgi, gerekirse dış IR ekibini ara. Hiçbir zaman alarmı kapatıp "sonra bakarım" demeyin.
EDR alıp kendi başıma yönetebilir miyim?
10 kişilik şirketse evet, sınırlı düzeyde. 100+ çalışan veya regüle sektör (finans, sağlık, kamu) ise hayır; mutlaka MDR servisi veya iç SOC ekibi gerekir.
DSET ile çalışmak
EDR ve XDR seçim süreci ürün listesi değil, mimari kararıdır. Hangi telemetrinin merkezde toplanacağı, hangi otomasyonun çalışacağı, MDR servisinin müdahale yetkisinin nereye kadar ulaşacağı kararları doğru kurulmazsa pahalı bir lisans, raflık bir konsola dönüşür.
DSET olarak çalıştığımız konular:
- EDR/XDR seçim danışmanlığı (Microsoft, CrowdStrike, SentinelOne, yerli alternatifler)
- KAOS yerli AI motoru ile pentest + savunma birleşik akışı
- ASR ve sertleştirme yapılandırma denetimi
- KVKK uyumlu telemetri politikası yazımı
- 24/7 izleme ve fidye yazılımı incident response retainer'ı
Bağlam için Türkiye Siber Tehdit Manzarası 2026 ana içeriğini ve fidye senaryosu için Fidye yazılım ilk 24 saat yazısını okuyun.
İletişim: Hacettepe Teknokent, Ankara · +90 536 662 38 09
Kaynaklar: MITRE ATT&CK, Gartner Magic Quadrant metodolojisi, CISA EDR best practices, Microsoft Defender for Endpoint, CrowdStrike Falcon, KVKK
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.