XDR, EDR, NDR ve MDR: Kurumlar İçin Doğru Seçim Nedir?
Siber tehditlerin karmaşıklaştığı ve her geçen gün daha sofistike hale geldiği dijital dünyada, kurumlar için "doğru savunma katmanlarını seçmek" her zamankinden önemli hale geldi. EDR, XDR, NDR ve MDR gibi kavramlar genellikle birbirine karıştırılmakta ya da farklı ürünlerin pazarlamasında benzer anlamlarla sunulmaktadır. Bu makalede bu teknolojilerin temel farkları, ne işe yaradıkları ve hangi kurumlar için uygun oldukları ele alınacaktır.
1. EDR (Endpoint Detection and Response) Nedir?
Tanım: EDR, uç noktalarda (PC, sunucu, mobil cihaz) gerçek zamanlı tehdit tespiti, izleme ve tepki verme yeteneği sunar.
Temel Amaçlar:
-Davranış analizi ile tehdit tespiti
-Olay yanıtlama ve tehdit izole etme (karantina)
-Şüpheli etkinliklerin kaydı (telemetri)
Örnek Senaryo: Kaspersky EDR Optimum, bir kullanıcı cihazında şüpheli PowerShell çalışmasını tespit eder ve bu cihazı ağa erişimini keserek izole eder.
2. XDR (Extended Detection and Response) Nedir?
Tanım: XDR, sadece endpoint verisiyle sınırlı kalmayıp ağ, e-posta, bulut ve diğer kaynaklardan gelen verileri de analiz ederek tehdit tespiti ve korelasyon sağlar.
Temel Amaçlar:
-Farklı kaynaklardan veri toplama (endpoint, email, firewall, DNS)
-Tehditleri çapraz analiz etme ve tek ekrandan görüntüleme
-Otomatik olay yanıtı (SOAR öğeleri dahil)
Örnek Senaryo: XDR platformu, bir kullanıcının e-postasından gelen bir dosyanın zararlı olduğunu algılar, dosyanın kullanıldığı endpoint’deki davranışlarla ilişkilendirir ve firewall loglarıyla birlikte olaydaki tüm adımları tek senaryo altında sunar.
3. NDR (Network Detection and Response) Nedir?
Tanım: NDR, ağ trafiğini analiz ederek bilinen ve bilinmeyen tehditleri tespit etmeyi amaçlar. İç ağ tehditlerini yakalama konusunda etkilidir.
Temel Amaçlar:
-Doğrudan ağ trafiğini analiz etmek (packet inspection)
-Anormal davranışları tanımlamak (UEBA teknikleri)
-İçeriden gelen sızma veya lateral movement gibi tehditleri tespit etmek
Örnek Senaryo: FortiNDR, bir kullanıcının normalde erişmediği SMB paylaşımlarına erişmekte olduğunu fark eder ve bu hareketi bir lateral movement belirtisi olarak raporlar.
4. MDR (Managed Detection and Response) Nedir?
Tanım: MDR, kurumun içinde operasyonel kaynak veya uzmanlık eksikliği varsa, bu ihtiyacı dış bir ekip aracılığıyla karşılayan hizmet modelidir.
Temel Amaçlar:
-SOC hizmeti sunmak
-7/24 izleme ve olay yanıtlama
-Uzman desteği ile olay analizi
Örnek Senaryo: Kurumun kendi SOC ekibi yoktur. Kaspersky MDR hizmeti, gece saatlerinde gelen bir ransomware sürümünü tespit eder, etkilediği cihazları karantinaya alır ve kurumu bilgilendirir.
⚖️ Hangisini Seçmelisiniz?
a) Teknoloji
b) En Uygun Olduğu Durum
c) Gereksinimler
d) EDR
e) Uç nokta odaklı tehdit izleme isteyen, sınırlı ekipli kurumlar
f) Yeterli teknik bilgi ve analiz yeteneği gerekir
XDR
Farklı sistemlerden gelen logların entegre şekilde işlenmesini isteyen orta-büyük ölçekli kurumlar
SIEM, SOAR bilgisi, iyi korelasyon kuralları
NDR
Ağ trafiğini pasif izlemek isteyen, lateral hareketleri önlemeye odaklı kurumlar
SPAN port veya TAP, İyi İç Ağ Topolojisi Bilgisi
MDR
Kendi içinde SOC kuramayan ya da 7/24 izleme imkanı olmayan kurumlar
Hizmet alım bütçesi, EDR/XDR entegrasyonu
Kurumlar için "doğru teknolojiyi seçmek", sadece hangi ürün daha iyi sorusuna değil, kurumun iç kaynaklarına, bütçesine ve siber risk olgunluğuna da bağlıdır. Bu nedenle bazı kurumlar için EDR yeterli olurken, bazıları için tam entegre bir XDR veya dış hizmet modeli olan MDR daha uygundur.
Her durumda, bu teknolojilerin birlikte çalışması (XDR + MDR) savunma derinliği (defense in depth) ilkesi için ideal senaryodur.
yazar: Asrın Haktan Şahin