EDR, XDR ve MDR Farkı: Uç Nokta Güvenliğinde Doğru Çözümü Seçme Rehberi
EDR, XDR ve MDR aynı şey değildir. Uç nokta tespiti, genişletilmiş korelasyon ve yönetilen hizmet arasındaki farkı, hangi kurumun hangisine ihtiyacı olduğunu, satın alırken sorulacak soruları MITRE ATT&CK ve NIST referanslarıyla derinlemesine anlattık.
EDR, XDR ve MDR Farkı: Uç Nokta Güvenliğinde Doğru Çözümü Seçme Rehberi
Hızlı cevap: Üç kavram birbirine benzer ama farklı sorunları çözer. EDR (Endpoint Detection and Response) tek tek cihazları (bilgisayar, sunucu) sürekli izleyip şüpheli davranışı tespit eder ve müdahale imkanı verir. XDR (Extended Detection and Response) bu görünürlüğü uç noktanın ötesine; e-posta, kimlik, ağ ve buluta genişletip dağınık sinyalleri tek bir korelasyonda birleştirir. MDR (Managed Detection and Response) ise bir teknoloji değil, hizmettir: EDR/XDR araçlarını 7/24 uzman bir ekibin sizin yerinize izlemesi ve müdahale etmesidir. İç güvenlik ekibiniz yoksa doğru başlangıç çoğunlukla MDR'dir. Kurumunuza uygun modeli birlikte belirleyelim: +90 536 662 38 09.
Neden klasik antivirüs artık tek başına yetmiyor?
Geleneksel antivirüs, bilinen zararlıların "imzasını" tanıyarak çalışır: elinde bir kara liste vardır, eşleşeni engeller. Oysa modern saldırılar imzasız ilerler. Üç tipik örnek:
- Dosyasız (fileless) saldırılar: Diске hiç zararlı dosya yazmadan, işletim sisteminin meşru araçlarını (PowerShell, WMI) kötüye kullanır. Antivirüs tarayacak bir dosya bulamaz.
- Çalınmış kimlikle giriş: Saldırgan, geçerli bir parolayla "meşru kullanıcı" gibi oturum açar. Ortada zararlı yazılım yoktur, sadece kötü niyetli bir davranış vardır.
- Polimorfik fidye yazılımı: Her kurbanda şekil değiştirir, böylece imzası sürekli değişir ve kara listeye takılmaz.
MITRE ATT&CK çerçevesi, saldırganların kullandığı bu davranışsal teknikleri (TTP) sistematik biçimde kataloglar. EDR ve XDR'ın varlık nedeni tam olarak budur: imza değil, davranış yakalamak. Klasik antivirüsle EDR'ın ayrıntılı farkını EDR ile antivirüs karşılaştırması yazımızda ele aldık.
Üçünün net karşılaştırması
| Kriter | EDR | XDR | MDR |
|---|---|---|---|
| Ne kapsar | Uç noktalar (PC, sunucu) | Uç nokta + e-posta + kimlik + ağ + bulut | EDR/XDR'ın insan eliyle işletilmesi |
| Türü | Teknoloji | Teknoloji | Hizmet |
| Kim işletir | İç güvenlik ekibi | İç güvenlik ekibi | Dış uzman ekip (7/24) |
| Temel değer | Uç noktada tespit ve yanıt | Kaynaklar arası korelasyon | Uzmanlık + sürekli izleme |
| İdeal kurum | Kendi SOC'u olan | Çok kaynaklı, olgun ekip | İç ekibi olmayan / az olan |
EDR ne yapar? (somut bir senaryo)
EDR, her uç noktada bir ajan çalıştırır ve süreç oluşturma, dosya değişimi, kayıt defteri (registry) düzenleme, ağ bağlantısı gibi olayları sürekli kaydeder. Şu davranış zincirini düşünün: bir kullanıcı e-postadaki Word belgesini açar → belge bir makro çalıştırır → makro PowerShell'i başlatır → PowerShell uzaktan bir dosya indirip çalıştırır. Tek tek her adım masum görünebilir; ama bu zincir klasik bir saldırı kalıbıdır. EDR bu zinciri tespit eder, alarm üretir ve analiste somut müdahale araçları sunar: cihazı ağdan izole et, zararlı süreci sonlandır, dosyayı karantinaya al. Yani EDR sadece "tespit" değil, "yanıt" da içerir; adındaki "R" (Response) buradan gelir.
XDR farkı: dağınık sinyalleri tek hikâyeye bağlamak
Tek başına EDR uç noktayı görür ama saldırının e-posta ile başlayıp kimlik üzerinden yayıldığını göremeyebilir. XDR, farklı kaynaklardan gelen sinyalleri tek bir olayda birleştirir: "şüpheli bir oltalama e-postası + o kullanıcının olağandışı saatte ve ülkeden oturumu + uç noktadaki şüpheli süreç" üç ayrı alarm olarak değil, tek bir saldırı hikâyesi olarak görünür. Bu korelasyon, analistin yüzlerce dağınık alarm arasında boğulmasını (alert fatigue) engeller ve gerçek olayı hızla ortaya çıkarır.
MDR: teknoloji değil, ekip
En güçlü EDR/XDR bile, onu 7/24 izleyecek bir uzman olmadan yarı boş kalır; çünkü alarm gece 03:00'te, hafta sonunda, bayramda da gelir. MDR tam burada devreye girer: aracı kurar, kurumunuza göre ince ayar yapar (tuning), sürekli izler, alarmı triyaj eder (gerçek mi, yanlış pozitif mi) ve gerçek bir olayda saniyeler içinde müdahale eder. İç güvenlik ekibi olmayan kurumlar için en pratik ve maliyet etkin yol budur. Detay için yönetilen SOC / MDR hizmeti yazımıza ve SOC seviyeleri yazımıza bakın.
Hangi kurum hangisini seçmeli?
- Olgun, kendi 7/24 SOC'u olan büyük kurum: XDR + güçlü iç ekip. Maksimum görünürlük ve kontrol.
- Güvenlik ekibi olan orta kurum: EDR ile başla, kaynaklar arası korelasyon ihtiyacı büyüdükçe XDR'a geç.
- İç güvenlik ekibi olmayan KOBİ / orta kurum: MDR ile başla. Teknolojiyi de uzman işletimini de tek pakette al; yatırımın değerini ilk günden gör.
Satın alırken sorulması gereken sorular
- Bu EDR önleme (NGAV) yeteneğini de içeriyor mu, yoksa ayrı antivirüse mi ihtiyacım olacak?
- Linux ve sunucu iş yüklerini de kapsıyor mu?
- Alarmları kim izleyecek; bu yük benim ekibimde mi, sizde mi?
- Yanlış pozitif oranı yönetilebilir mi; ince ayar (tuning) dahil mi?
- Olay anında ortalama müdahale süresi (MTTR) taahhüdü var mı?
Sıkça Sorulan Sorular
EDR antivirüsün yerini alır mı?
Modern EDR ürünleri genelde önleme (NGAV) yeteneğini de içerir, yani ayrı bir antivirüse gerek kalmaz; ama asıl değeri, önlemenin aşıldığı durumları yakalayan tespit ve yanıt katmanındadır.
MDR ile SOC aynı şey mi?
MDR, dışarıdan alınan ve tespit-yanıta odaklanmış bir SOC hizmetidir. Kurum içi tam kapsamlı SOC ile farkları ve seviyeleri SOC tier yazımızda anlattık.
Küçük bir şirketin XDR'a ihtiyacı var mı?
Genelde hayır. Küçük kurumlar için, MDR ile işletilen iyi bir EDR çok daha pratik ve maliyet etkindir. XDR, çok sayıda farklı güvenlik kaynağına sahip olgun kurumlarda anlam kazanır.
Kurumunuza uygun uç nokta güvenliği modelini birlikte kuralım: EDR/XDR çözümümüz veya +90 536 662 38 09.
Kaynaklar
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.