Endpoint Telemetry
Siber güvenlik dünyasında tehditler artık yalnızca imzalarla yakalanamıyor. Geleneksel antivirüs sistemleri, yalnızca bilinen zararlı dosyaları tespit edebildiği için görünmeyen tehditler (zero-day saldırılar, living-off-the-land teknikleri, dosyasız zararlılar) sıklıkla gözden kaçıyor.
Bu nedenle güvenlik ekipleri artık sadece “zararlıyı durdurmak” değil, davranışı anlamak istiyor. İşte burada endpoint telemetry (uç nokta telemetrisi) devreye giriyor.
Endpoint Telemetry
Endpoint telemetry, uç noktadaki (bilgisayar, sunucu, sanal makine, mobil cihaz vb.) tüm etkinliklerin ham olay verisi olarak toplanmasıdır.
Bu veriler: işlem başlatma, dosya erişimi, ağ bağlantısı, kayıt defteri değişikliği, komut yürütme, kullanıcı oturumu, modül yükleme gibi her türlü sistem davranışını kapsar.
Bu veriler daha sonra bir EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) veya SOC platformu tarafından analiz edilir. Amaç, uç noktada gerçekleşen her hareketin görünür olmasını sağlamaktır.
Toplanan Telemetri Verilerine Örnekler
Bir endpoint telemetry akışında toplanan başlıca veri türleri şunlardır:
Veri Türü - Açıklama
Process Creation - Yeni başlatılan işlemler, komut satırı parametreleri, ebeveyn süreç bilgisi
File Events - Dosya oluşturma, değiştirme, silme işlemleri
Registry Changes - Windows kayıt defteri değişiklikleri
Network Connections - Giden/gelen bağlantılar, portlar, IP adresleri
Module Loads - DLL veya dinamik kütüphane yüklemeleri
User Activity - Oturum açma/kapama, kullanıcı ayrıcalıkları
Script Execution - PowerShell, WMI veya Python scriptlerinin yürütülmesi
Bu olaylar tek başına anlam ifade etmeyebilir; ancak korelasyon yapıldığında saldırı hikayesini oluştururlar.
Neden Bu Kadar Önemli Hale Geldi?
1. Davranışsal Tespit
Artık saldırılar, imza tabanlı yöntemlerle değil davranışsal analiz ile tespit ediliyor.
Örneğin bir kullanıcı powershell.exe çalıştırdıktan hemen sonra curl ile dışarıya veri gönderiyorsa, bu davranış güvenlik sistemini tetikler. Bunu anlamak yalnızca telemetriyle mümkündür.
2. Olay Müdahale (Incident Response)
Bir güvenlik olayı yaşandığında, telemetri verileri olayın nasıl gerçekleştiğini adım adım geriye dönük olarak analiz etmeye imkân tanır.
Hangi dosya indirildi, hangi komut çalıştırıldı, hangi kullanıcı yetkilendirildi?
Bu soruların cevabı ancak uç nokta telemetrisiyle bulunabilir.
3. Tehdit Avcılığı (Threat Hunting)
Tehdit avcıları, telemetri verileri üzerinde proaktif aramalar yaparak “henüz tespit edilmemiş” anormallikleri bulabilir.
Örneğin: “Son 24 saatte PowerShell üzerinden base64 kodlu komut çalıştıran cihazlar”.
4. XDR ve Korrelation
XDR çözümleri yalnızca endpoint değil; ağ, e-posta, bulut gibi diğer katmanlardan gelen telemetriyi de birleştirir.
Bu sayede olaylar tekil bir görünümde birleştirilir — örneğin:
“E-postadan gelen zararlı dosya → kullanıcının açması → aynı cihazdan dışarı veri sızması”.
Günümüzde modern SOC’lar, bu farklı telemetri kaynaklarını merkezi korelasyon motorlarında birleştirerek olayları daha net görselleştiriyor.
Telemetri Toplamanın Zorlukları
1. Veri hacmi çok büyüktür. Günlük milyonlarca olay üretilir.
2. Depolama ve arama maliyeti yüksektir. Özellikle uzun saklama süresi isteniyorsa.
3. Gizlilik riski vardır. Kullanıcı aktiviteleri çok detaylı izlendiği için KVKK ve GDPR kurallarına uygun yapılandırma gerekir.
4. Agent optimizasyonu önemlidir — aksi halde CPU ve disk I/O yükü artabilir.
Telemetri ve Yapay Zeka
Yeni nesil güvenlik sistemleri, toplanan telemetri verilerini ML (Machine Learning) algoritmalarıyla işler.
Amaç, “normal” davranış modelini öğrenip, anormal aktiviteleri otomatik olarak ayırt etmektir.
Bu, saldırıların erken aşamada tespit edilmesini sağlar.
Endpoint telemetry, günümüzün siber savunma stratejisinde “gözle görülmeyeni görünür kılan” en kritik bileşenlerden biridir.
Bir kurumun EDR veya XDR yatırımı, toplanan telemetri verisinin kalitesiyle doğrudan ilişkilidir.
yazar: Asrın Haktan Şahin