Modern siber saldırılar giderek daha karmaşık hale geliyor. Geleneksel antivirüs çözümleri, imza tabanlı koruma ile bilinen tehditleri engelleyebilirken, zero-day saldırıları, fileless malware ve APT (Advanced Persistent Threat) gruplarının taktiklerine karşı yetersiz kalıyor. Microsoft Defender for Endpoint, Endpoint Detection and Response (EDR) yetenekleri ile bu gelişmiş tehditlere karşı kapsamlı koruma sağlar.
Microsoft Defender for Endpoint Nedir?
Microsoft Defender for Endpoint (MDE), bulut tabanlı bir endpoint güvenlik platformudur. Sadece antivirüs koruması değil, aynı zamanda tehdit tespiti, araştırma, otomatik yanıt ve zafiyet yönetimi gibi kapsamlı güvenlik yetenekleri sunar.
Tehdit Tespiti
Davranış analizi, makine öğrenimi ve tehdit istihbaratı ile gelişmiş tehditleri tespit edin
Tehdit Araştırma
Advanced Hunting ile KQL sorguları kullanarak derinlemesine tehdit analizi yapın
Otomatik Yanıt
Automated Investigation & Response (AIR) ile tehditlere otomatik müdahale edin
Zafiyet Yönetimi
Security Exposure Management ile saldırı yollarını görselleştirin ve zafiyetleri proaktif yönetin
Microsoft Defender XDR: Birleşik Güvenlik Platformu
2026 itibarıyla, Microsoft Defender for Endpoint artık Microsoft Defender XDR (Extended Detection and Response) platformunun merkezi bir parçasıdır. Tüm güvenlik çözümleri tek bir portal altında birleşti: security.microsoft.com
Unified Agent Mimarisi
Microsoft, tüm Defender ürünlerini tek bir "Unified Agent" (birleşik ajan) altında topladı. Bu, endpoint'lerde tek bir ajan ile şu yetenekleri sağlar:
Endpoint Protection
Next-gen AV, EDR, ASR kuralları
Identity Protection
Defender for Identity entegrasyonu
Cloud Apps Security
SaaS uygulama koruması
Office 365 Protection
E-posta ve işbirliği araçları güvenliği
XDR'ın Gücü
Unified Agent sayesinde, bir e-posta phishing saldırısından başlayan tehdit zincirini, endpoint'te yürütülen kötü amaçlı kod, kimlik hırsızlığı ve bulut uygulamalarına yetkisiz erişime kadar tek bir konsoldan takip edebilirsiniz. Bu, MTTD (Mean Time to Detect) ve MTTR (Mean Time to Respond) sürelerini dramatik şekilde azaltır.
Tehdit Tespit Yöntemleri
MDE, çok katmanlı tespit mekanizmaları kullanarak bilinen ve bilinmeyen tehditleri tanımlar. Her yöntem, farklı saldırı vektörlerine karşı koruma sağlar.
Behavioral Analytics
Anormal davranış kalıplarını tespit eder
Tespit Edilen Tehditler:
- Olağandışı süreç oluşturma
- Beklenmeyen ağ bağlantıları
- Kimlik bilgisi hırsızlığı girişimleri
Machine Learning
Milyonlarca veri noktasından öğrenen AI modelleri
Tespit Edilen Tehditler:
- Yeni malware varyantları
- Zero-day saldırıları
- Fileless malware
Threat Intelligence
Microsoft Intelligent Security Graph entegrasyonu
Tespit Edilen Tehditler:
- Bilinen IoC'ler
- APT grup taktikleri
- Küresel tehdit trendleri
Signature-based
Geleneksel antivirüs imza taraması
Tespit Edilen Tehditler:
- Bilinen malware aileleri
- Yaygın exploit'ler
- Kötü amaçlı scriptler
Çok Katmanlı Koruma
MDE, bu dört tespit yöntemini aynı anda kullanarak "defense in depth" (derinlemesine savunma) stratejisi uygular. Bir yöntem atlatılsa bile, diğer katmanlar tehdidi yakalayabilir.
Deceptive Capabilities: Saldırganları Tuzağa Düşürün
2026'da MDE'ye eklenen Deceptive Capabilities (Aldatıcı Yetenekler), saldırganları sahte varlıklarla tuzağa düşürerek erken tespit sağlar. Bu özellik, "Honeytoken" ve "Honeypot" konseptlerini endpoint seviyesine taşır.
Sahte Dosyalar
Kritik görünen ancak içi boş dosyalar oluşturur (örn: "passwords.xlsx", "credentials.txt")
Sahte Hesaplar
Active Directory'de yüksek yetkili gibi görünen ancak hiçbir gerçek erişimi olmayan hesaplar
Sahte Servisler
Ağda kritik servisler gibi görünen ancak gerçekte izleme amaçlı çalışan honeypot'lar
Sahte Kimlik Bilgileri
Registry veya bellek içinde bırakılan sahte API anahtarları ve token'lar
Advanced Hunting ile Entegrasyon
Deceptive Capabilities, Advanced Hunting ile mükemmel uyum sağlar. Sahte varlıklara yapılan erişim denemeleri, KQL sorguları ile analiz edilerek saldırganın taktiklerini (MITRE ATT&CK) haritalandırabilirsiniz.
Örnek: Bir saldırgan sahte "admin_backup.txt" dosyasını açtığında, hangi süreçlerin bu dosyaya eriştiğini, hangi ağ bağlantılarının kurulduğunu ve hangi diğer dosyaların değiştirildiğini KQL ile sorgulayarak tam saldırı zincirini görebilirsiniz.
Advanced Hunting ile Tehdit Araştırma
Advanced Hunting, 30 güne kadar olan endpoint verilerini KQL (Kusto Query Language) ile sorgulayarak proaktif tehdit avı yapmanızı sağlar. Güvenlik analistleri, özel sorgular yazarak gizli tehditleri ortaya çıkarabilir.
Proaktif Tehdit Avı İpuçları
- MITRE ATT&CK framework'ünü referans alarak sorgular oluşturun
- Sık kullandığınız sorguları "Shared queries" olarak kaydedin
- Tespit edilen anomalileri Custom Detection Rules'a dönüştürün
- Haftalık düzenli tehdit avı oturumları planlayın
Automated Investigation & Response (AIR)
AIR, tehditlere otomatik olarak yanıt vererek güvenlik ekiplerinin iş yükünü azaltır. Bir uyarı tetiklendiğinde, AI destekli soruşturma süreci başlar ve gerekli düzeltme eylemlerini önerir veya otomatik olarak uygular.
AIR İş Akışı
Tetikleme
Bir uyarı veya manuel başlatma ile soruşturma başlar
Veri Toplama
İlgili cihaz, kullanıcı ve ağ verileri toplanır
Analiz
AI algoritmaları tehdidi değerlendirir ve sınıflandırır
Karar
Otomatik veya manuel onay ile yanıt eylemi belirlenir
Yanıt
Dosya karantinası, cihaz izolasyonu gibi eylemler gerçekleştirilir
Otomatik Yanıt Eylemleri
- Zararlı dosyaları karantinaya alma
- Kötü amaçlı süreçleri sonlandırma
- Cihazı ağdan izole etme
- Kullanıcı hesabını devre dışı bırakma
- Registry anahtarlarını düzeltme
Otomasyon Seviyeleri
- Full (Level 5): Tüm eylemler otomatik uygulanır
- Semi (Level 3): Kritik eylemler onay gerektirir
- No automation (Level 1): Sadece öneriler sunulur
Level 5 - Full Automation Yapılandırması
2026'da önerilen en iyi uygulama, olgun güvenlik ekipleri için Level 5 (Full Automation) modunu kullanmaktır. Bu mod, tehditlere milisaniyeler içinde yanıt vererek saldırı zincirini kırar.
Yapılandırma: Settings > Endpoints > Advanced features > Automated investigation > "Full - remediate threats automatically" seçeneğini etkinleştirin. Kritik sunucular için özel cihaz grupları oluşturarak bu gruplarda Semi-automated mod kullanabilirsiniz.
Security Exposure Management: Yeni Nesil Zafiyet Yönetimi
2025 sonu itibarıyla, Microsoft Defender for Endpoint'in zafiyet yönetimi modülü Security Exposure Management adı altında yeniden yapılandırıldı. Artık sadece CVE'leri listelemekle kalmıyor, aynı zamanda saldırı yollarını (attack paths) görselleştirerek hangi zafiyetlerin gerçek risk oluşturduğunu gösteriyor.
Zafiyet Keşfi
Tüm endpoint'lerde otomatik zafiyet taraması
- Yazılım zafiyetleri
- Yanlış yapılandırmalar
- Eksik güncellemeler
Risk Skorlama
CVSS ve Microsoft Threat Score ile önceliklendirme
- Kritik: 9.0-10.0
- Yüksek: 7.0-8.9
- Orta: 4.0-6.9
Düzeltme Önerileri
Otomatik düzeltme planları ve KB makaleleri
- Patch yönetimi
- Yapılandırma değişiklikleri
- Uygulama güncellemeleri
Sürekli İzleme
Gerçek zamanlı zafiyet durumu takibi
- Exposure Score
- Secure Score
- Compliance durumu
Attack Path Visualization (Saldırı Yolu Görselleştirme)
Security Exposure Management'ın en güçlü özelliği, bir saldırganın ağınızda nasıl ilerleyebileceğini görsel olarak göstermesidir. Örneğin:
Örnek Saldırı Yolu:
Başlangıç: Kullanıcı workstation'ında CVE-2024-XXXX zafiyeti (CVSS 7.8)
Lateral Movement: SMB üzerinden file server'a erişim (yanlış yapılandırılmış izinler)
Privilege Escalation: Domain Controller'da eski Windows Server 2016 (patch eksikliği)
Hedef: Domain Admin yetkisi ele geçirme
Bu görselleştirme sayesinde, sadece CVSS skoruna bakmak yerine, gerçek iş etkisi olan zafiyetleri önceliklendirirsiniz. Yukarıdaki örnekte, workstation'daki 7.8 CVSS skorlu zafiyet, Domain Controller'a giden bir saldırı yolunun parçası olduğu için kritik öncelik kazanır.
Exposure Score
Organizasyonunuzun mevcut zafiyet durumunu 0-1000 arasında skorlar. Yüksek skor, daha fazla risk anlamına gelir.
Secure Score
Güvenlik yapılandırmalarınızın ne kadar iyi olduğunu ölçer. Yüksek skor, daha iyi güvenlik duruşu anlamına gelir.
Exposure Management En İyi Uygulamaları
- Haftalık "Attack Path Review" toplantıları düzenleyin
- Kritik varlıklara (DC, DB sunucuları) giden saldırı yollarını 48 saat içinde kapatın
- Düzeltme görevlerini Intune veya SCCM ile otomatikleştirin
- Exposure Score trendlerini aylık olarak yönetime raporlayın
Çoklu Platform Desteği
Microsoft Defender for Endpoint, sadece Windows değil, Linux, macOS, iOS ve Android platformlarında da kapsamlı koruma sağlar. 2026 itibarıyla tüm platformlar için Unified Agent kullanılmaktadır.
Windows
- Desteklenen: Windows 10/11, Server 2016/2019/2022/2025
- Özellikler: Full EDR, ASR kuralları, TVM, Deceptive Capabilities
- Yeni: Windows Server 2025 için gelişmiş container güvenliği
Linux
- Desteklenen: RHEL, Ubuntu, SLES, Debian, CentOS
- Özellikler: EDR, Real-time protection, Custom indicators
- Yeni: eBPF desteği ile kernel-level tehdit tespiti
macOS
- Desteklenen: macOS 11 (Big Sur) ve üzeri
- Özellikler: EDR, Real-time protection, Network protection
- Kısıt: ASR kuralları ve bazı AIR özellikleri sınırlı
iOS & Android
- Desteklenen: iOS 15+, Android 8.0+
- Özellikler: Phishing protection, Jailbreak/root detection
- Yeni: Network Protection - Kötü amaçlı Wi-Fi ve VPN tespiti
Linux eBPF Desteği
2025 sonunda eklenen eBPF (extended Berkeley Packet Filter) desteği, Linux sistemlerde kernel seviyesinde tehdit tespiti sağlar. Bu, rootkit'ler ve kernel-mode malware'lere karşı koruma için kritik öneme sahiptir. eBPF, sistem performansını etkilemeden gerçek zamanlı izleme yapar ve container ortamlarında (Docker, Kubernetes) mükemmel çalışır.
Offline Ortamlar
Kurumsal ortamlarda, özellikle askeri, finans ve kritik altyapı sektörlerinde, bazı cihazlar güvenlik nedeniyle internete doğrudan erişemez. MDE, bu tür ortamlar için özel yapılandırma seçenekleri sunar.
Proxy/Gateway Desteği
İnternete doğrudan erişimi olmayan cihazlar, kurumsal proxy veya gateway üzerinden MDE bulut hizmetlerine bağlanabilir.
Yapılandırma:
- Static proxy ayarları (HTTP/HTTPS)
- PAC (Proxy Auto-Configuration) dosyası desteği
- Authenticated proxy (NTLM/Kerberos)
- TLS inspection bypass (SSL pinning)
Offline Definition Updates
Tamamen izole ortamlar için antivirüs imza güncellemeleri manuel olarak dağıtılabilir.
Yöntemler:
- WSUS (Windows Server Update Services)
- SCCM/Intune ile paket dağıtımı
- Manuel VDM (Virus Definition Manager) indirme
- USB/Removable media ile güncelleme
Disconnected Mode (Bağlantısız Mod)
Tamamen hava boşluklu (air-gapped) ortamlar için sınırlı koruma modu.
Özellikler:
- Local signature-based scanning
- Behavioral monitoring (sınırlı)
- Cloud-based AI/ML koruması yok
- Advanced Hunting ve AIR kullanılamaz
Batch Telemetry Upload
Periyodik bağlantı kurabilen cihazlar için toplu veri gönderimi.
Kullanım Senaryoları:
- Günde 1-2 kez VPN bağlantısı kuran cihazlar
- Saha çalışanlarının laptop'ları
- Uydu bağlantılı uzak lokasyonlar
- Bant genişliği kısıtlı ortamlar
Kurumsal Proxy Yapılandırma Örneği
Büyük ölçekli kurumsal ortamlarda, tüm endpoint trafiği merkezi bir proxy üzerinden geçer. MDE için gerekli URL'lerin beyaz listeye eklenmesi kritik öneme sahiptir.
# MDE için proxy ayarları Set-MpPreference -ProxyServer "http://proxy.contoso.com:8080" Set-MpPreference -ProxyBypass "localhost;127.0.0.1;*.contoso.com" # Authenticated proxy için Set-MpPreference -ProxyPacUrl "http://proxy.contoso.com/proxy.pac" # Proxy ayarlarını doğrulama Get-MpPreference | Select-Object ProxyServer, ProxyBypass, ProxyPacUrl # MDE bağlantı testi Test-NetConnection -ComputerName "winatp-gw-cus.microsoft.com" -Port 443
Beyaz Listeye Eklenecek URL'ler:
- *.blob.core.windows.net (Telemetri ve güncellemeler)
- *.microsoft.com (Bulut hizmetleri)
- winatp-gw-*.microsoft.com (EDR gateway)
- *.security.microsoft.com (Portal erişimi)
Kritik Uyarı: Air-Gapped Ortamlarda Sınırlamalar
Tamamen izole ortamlarda MDE'nin en güçlü özellikleri (bulut tabanlı AI/ML, Advanced Hunting, AIR, Deceptive Capabilities) kullanılamaz. Bu ortamlar için:
- Günlük imza güncellemelerini manuel olarak dağıtın
- Local event log'ları düzenli olarak SIEM'e aktarın
- Ek güvenlik katmanları (IDS/IPS, Network Segmentation) ekleyin
- Periyodik güvenlik denetimleri ve penetrasyon testleri yapın
Microsoft Defender XDR Ekosistemi
MDE, Microsoft Defender XDR ekosisteminin merkezi bir parçası olarak diğer güvenlik çözümleri ile entegre çalışır. Unified Agent sayesinde, tüm bu entegrasyonlar tek bir ajan üzerinden gerçekleşir.
Defender for Office 365
E-posta tehditleri ile endpoint saldırıları arasındaki bağlantıyı görün
- Phishing e-postalarından başlayan saldırı zincirlerini takip edin
- Kötü amaçlı eklerin endpoint'te yürütülmesini engelleyin
Defender for Identity
Kimlik tabanlı saldırıları endpoint aktiviteleri ile ilişkilendirin
- Pass-the-hash ve pass-the-ticket saldırılarını tespit edin
- Lateral movement girişimlerini gerçek zamanlı engelleyin
Defender for Cloud Apps
SaaS uygulamalarındaki tehditleri endpoint güvenliği ile birleştirin
- Shadow IT kullanımını tespit edin ve kontrol edin
- Bulut uygulamalarına anormal erişimleri engelleyin
Microsoft Sentinel
SIEM entegrasyonu ile tüm güvenlik verilerini merkezi analiz edin
- MDE uyarılarını diğer log kaynaklarıyla ilişkilendirin
- Gelişmiş analitik ve makine öğrenimi uygulayın
XDR Incident Response Örneği
Unified Agent ve XDR entegrasyonu sayesinde, bir güvenlik olayı tüm katmanlarda otomatik olarak ilişkilendirilir:
Defender for Office 365
Kullanıcı bir phishing e-postasındaki kötü amaçlı linke tıklar
Defender for Endpoint
Endpoint'te kötü amaçlı PowerShell scripti çalıştırılır ve tespit edilir
Defender for Identity
Kullanıcı hesabından anormal kimlik doğrulama denemeleri tespit edilir
Defender for Cloud Apps
Ele geçirilen hesaptan OneDrive'a anormal veri indirme aktivitesi görülür
Otomatik Yanıt (AIR)
Tüm katmanlarda koordineli yanıt: Endpoint izolasyonu, hesap devre dışı, e-posta karantina, bulut erişimi engelleme
Bu tüm süreç, security.microsoft.com portalında tek bir "Incident" olarak görüntülenir ve tüm adımlar otomatik olarak ilişkilendirilir. Güvenlik analisti, farklı konsollara geçmeden tüm saldırı zincirini görebilir.
Lisans Gereksinimleri (Plan 1 vs Plan 2)
MDE, farklı lisans seviyeleri ile sunulur. İhtiyaçlarınıza göre uygun planı seçebilirsiniz. Aşağıdaki tablo, Plan 1 (E3) ve Plan 2 (E5) arasındaki farkları detaylı göstermektedir.
| Özellik | Plan 1 (E3) | Plan 2 (E5) |
|---|---|---|
| Next-generation Protection (Antivirüs) | ||
| Attack Surface Reduction (ASR) Kuralları | ||
| Cihaz Kontrolü ve Web Koruması | ||
| Temel Raporlama | ||
| EDR Yetenekleri (Tehdit Tespiti ve Yanıt) | ||
| Advanced Hunting (KQL Sorguları) | ||
| Automated Investigation & Response (AIR) | ||
| Security Exposure Management (TVM + Attack Paths) | Sınırlı | Tam |
| Çoklu Platform Desteği (Linux, macOS, Mobile) |
Plan 1 (E3)
Kimler için uygun: Temel endpoint koruması arayan, bütçe kısıtı olan veya küçük-orta ölçekli organizasyonlar
Plan 2 (E5)
Kimler için uygun: Gelişmiş tehdit tespiti, proaktif tehdit avı ve otomatik yanıt gerektiren kurumsal organizasyonlar
Lisans Seçim Rehberi
Eğer organizasyonunuz aşağıdaki sorulardan herhangi birine "evet" cevabı veriyorsa, Plan 2 (E5) lisansına ihtiyacınız var:
- Gelişmiş APT saldırılarına karşı korunmak istiyor musunuz?
- Proaktif tehdit avı (threat hunting) yapacak bir SOC ekibiniz var mı?
- Otomatik yanıt vermek istiyor musunuz?
- Zafiyet yönetimini saldırı yolları ile önceliklendirmek istiyor musunuz?
Özet ve Sonraki Adımlar
Microsoft Defender for Endpoint, 2026 itibarıyla modern endpoint güvenliğinin en kapsamlı çözümüdür. Unified Agent mimarisi, XDR entegrasyonu, Security Exposure Management, Deceptive Capabilities ve çoklu platform desteği ile organizasyonunuzu gelişmiş tehditlere karşı korur. Başarılı bir MDE dağıtımı için önce Plan 2 lisansını edinin, ardından Advanced Hunting ile tehdit avı yapmaya başlayın, AIR'ı Level 5 (Full Automation) olarak yapılandırın ve Security Exposure Management ile saldırı yollarını sürekli izleyin.