Next EDR Expert

15 Aralık 2025

Next EDR Expert

KATA ve Kaspersky EDR Expert

Günümüz siber tehdit manzarasında, geleneksel "imza tabanlı" koruma yöntemleri artık yeterli değil. Saldırganlar "Living off the Land" (LotL) tekniklerini kullanarak, yasal sistem araçlarını (PowerShell, WMI vb.) kötü amaçlı kullanıyor ve tespit edilmeden ağlarda aylarca kalabiliyor. İşte bu noktada, ağ katmanını inceleyen Kaspersky Anti Targeted Attack (KATA) platformu ile uç noktada derinlemesine analiz yapan Kaspersky EDR Expert'in entegrasyonu devreye giriyor.

1. KATA Platformu: Ağın Röntgenini Çekmek

KATA, temel olarak bir "erken uyarı sistemi" gibi çalışır. Ağ trafiğini (SPAN/Mirror port üzerinden), web ve e-posta trafiğini analiz ederek anormallikleri tespit eder.

  • Çok Katmanlı Sensör Mimarisi: KATA, sadece dosyaları taramaz; ağ sensörleri aracılığıyla trafikteki şüpheli hareketleri (Lateral Movement, C&C iletişimi) izler.

  • Gelişmiş Sandbox (Kum Havuzu): Şüpheli nesneler, izole edilmiş sanal bir ortamda çalıştırılır. KATA Sandbox, kaçınma tekniklerini (anti-evasion) atlatabilen gelişmiş bir yapıya sahiptir.

  • Tehdit İstihbaratı (KSN): Kaspersky Security Network'ten gelen global verilerle yerel veriler anlık olarak karşılaştırılır.

2. EDR Expert: Uç Noktada Tam Görünürlük

Ağ trafiği size "bir şeylerin olduğunu" söyler, ancak EDR (Endpoint Detection and Response) size "tam olarak ne olduğunu" gösterir. Kaspersky EDR Expert, EDR Optimum sürümüne göre çok daha derin bir telemetri ve müdahale yeteneği sunar.

  • Derinlemesine Telemetri: Dosya oluşturma, kayıt defteri (registry) değişiklikleri, ağ bağlantıları ve işlem (process) aktiviteleri sürekli kaydedilir.

  • IoC (Indicator of Compromise) Taraması: Kendi yazdığınız veya dış kaynaklardan aldığınız IoC'leri tüm uç noktalarda geriye dönük tarayabilirsiniz.

  • YARA Kuralları: Özel tehdit avcılığı (Threat Hunting) senaryoları için karmaşık YARA kuralları ile bellek ve disk taraması yapabilirsiniz.

3. Güçlü Sinerji: KATA ve EDR Entegrasyonu

Bu iki ürünün birleşimi, siber güvenlik uzmanlarına olayın tam hikayesini (Kill Chain) sunar.

Kök Neden Analizi (Root Cause Analysis - RCA) Bir alarm oluştuğunda, analist şu soruların cevabını görsel bir grafik üzerinde saniyeler içinde bulabilir:

  1. Bu zararlı yazılım hangi kullanıcı tarafından indirildi?

  2. Hangi işlem (process) bu dosyayı çalıştırdı? (Örn: outlook.exe -> chrome.exe -> malware.exe)

  3. Zararlı yazılım çalıştıktan sonra hangi IP adresine bağlandı?

  4. Kayıt defterine hangi kalıcılık (persistence) anahtarını ekledi?

MITRE ATT&CK Eşleşmesi KATA ve EDR Expert, tespit edilen aktiviteleri otomatik olarak MITRE ATT&CK matrisine eşler. Bu, analistin saldırganın hangi aşamada olduğunu (Initial Access, Execution, Exfiltration vb.) anlamasını kolaylaştırır.

4. Teknik Avantajlar ve Müdahale Yetenekleri

Bir SOC analisti için en önemli faktör "Müdahale Süresi"dir (MTTR). KATA ve EDR Expert entegrasyonu şu aksiyonları merkezi konsoldan almanızı sağlar:

  • Dosya Karantinası ve Silme: Zararlıyı ağdaki tüm makinelerden temizleme.

  • İşlem Sonlandırma (Kill Process): Bellekte çalışan zararlı sürecin durdurulması.

  • Host İzolasyonu: Enfekte olan makinenin ağ bağlantısının (yönetim sunucusu hariç) tamamen kesilmesi.

  • Prevention (Önleme) Kuralı Oluşturma: Tespit edilen bir dosyanın çalışmasının hash tabanlı olarak tüm organizasyonda yasaklanması.

Kaspersky Anti Targeted Attack Platformu ve EDR Expert, kurumlar için "olsa iyi olur" seviyesinden "zorunluluk" seviyesine geçmiş bir kombinasyondur. Ağ katmanındaki görünürlüğü uç noktadaki detaylı analizle birleştirmek, karmaşık saldırıları (APT) durdurmanın tek geçerli yoludur.

yazar: Asrın Haktan Şahin