Her gün yüzlerce yeni güvenlik açığı (CVE) yayınlanıyor. Ancak hangi açıklar gerçekten kritik? Hangileri aktif olarak sömürülüyor? Hangi cihazlar en riskli? Microsoft Defender Vulnerability Management (eski adıyla Threat and Vulnerability Management - TVM), bu soruları yanıtlayan ve güvenlik açığı yönetimini otomatikleştiren bir platformdur. 2025 itibarıyla Exposure Management şemsiyesi altında yeniden yapılandırılan bu özellik, artık sadece uç noktaları değil, bulut kaynaklarını ve kimlik risklerini de tek bir yerden yönetmenizi sağlıyor.
2025-2026 Önemli Değişiklikler
- Yeni Portal Konumu: Artık
security.microsoft.com > Exposure management > Vulnerability managementyolundan erişiliyor - Unified Recommendations: Defender for Endpoint, Defender for Cloud ve Identity önerileri tek bir katalogda birleştirildi
- Deprecated: Windows Authenticated Scan özelliği 18 Aralık 2025'te kaldırıldı; artık tamamen agent-based tarama kullanılıyor
- Yeni: "Software components" sayfası (eski adı "Vulnerable components") Şubat 2026'da yeniden adlandırıldı
TVM Nedir ve Nasıl Çalışır?
Microsoft Defender Vulnerability Management, MDE sensörü üzerinden çalışan, aracı tabanlı (agent-based) bir güvenlik açığı yönetim platformudur. Geleneksel zafiyet tarayıcılarından (Nessus, Qualys) farklı olarak, ağ taraması yapmaz; bunun yerine her cihaza yüklü MDE aracısı üzerinden sürekli veri toplar.
Sürekli Keşif
Tüm uç noktalarda yüklü yazılımları, açık portları ve yapılandırmaları gerçek zamanlı olarak tarar ve envanter oluşturur.
Risk Önceliklendirme
CVE skorlarını, tehdit istihbaratını ve varlık kritikliğini birleştirerek gerçek riski hesaplar ve önceliklendirir.
Güvenlik Önerileri
Her güvenlik açığı için somut düzeltme adımları, etki analizi ve alternatif çözümler sunar.
İlerleme Takibi
Düzeltme süreçlerini izler, SLA uyumunu ölçer ve yönetim raporları oluşturur.
Geleneksel Tarayıcı vs. TVM
Geleneksel Tarayıcı
- Haftalık/aylık tarama
- Ağ tabanlı, port taraması
- Statik raporlar
- Yüksek false positive
TVM (Agent-Based)
- Sürekli (continuous) tarama
- Agent-based, doğrudan cihaz verisi
- Gerçek zamanlı dashboard
- Düşük false positive
Exposure Management: Birleşik Görünüm
2024-2025 döneminde Microsoft, TVM'yi daha geniş bir platform olan Security Exposure Management içine entegre etti. Bu değişiklik, sadece uç nokta güvenlik açıklarını değil, bulut yanlış yapılandırmalarını, kimlik risklerini ve saldırı yollarını (attack paths) tek bir yerden görmenizi sağlıyor.
Exposure Management Metrikleri
Exposure Score
Hedef: < 4000-1000 arası bir skor ile organizasyonunuzun genel güvenlik açığı durumunu gösterir
Configuration Score
Hedef: > 80%Güvenlik yapılandırmalarının (ASR, Firewall, vb.) ne kadar iyi uygulandığını ölçer
Critical Assets
Hedef: 100%Yüksek değerli varlıkların (domain controller, veritabanı sunucuları) korunma durumu
Attack Path Analysis
Exposure Management'ın en güçlü özelliklerinden biri, saldırganların hangi yolları kullanarak kritik varlıklarınıza ulaşabileceğini görselleştirmesidir. Örneğin: "Yama yapılmamış kullanıcı bilgisayarı → Credential theft → Domain Admin hesabı → Domain Controller" gibi bir saldırı zincirini otomatik tespit eder ve hangi düzeltmenin bu zinciri kıracağını önerir.
Unified Recommendations Catalog
2025 itibarıyla, güvenlik önerileri artık dört ana kategoride birleştirildi. Bu, farklı ekiplerin (endpoint, cloud, identity) aynı platformdan çalışmasını sağlıyor.
Devices - Vulnerabilities
Uç noktalardaki yazılım güvenlik açıkları (CVE)
Örnek Öneriler
- Microsoft Edge 120.0.2210.91 → 121.0.2277.4 güncellemesi
- Adobe Acrobat Reader CVE-2024-20767 yaması
- Windows 11 22H2 Cumulative Update KB5034123
Devices - Misconfigurations
Güvenlik yapılandırma hataları ve eksiklikleri
Örnek Öneriler
- BitLocker şifreleme etkin değil
- Windows Firewall kapalı
- ASR kuralları yapılandırılmamış
Cloud
Azure, AWS, GCP kaynaklarındaki güvenlik sorunları
Örnek Öneriler
- Azure VM'de JIT erişim etkin değil
- S3 bucket public erişime açık
- NSG kuralları çok geniş
Identity
Kimlik tabanlı riskler ve zayıf noktalar
Örnek Öneriler
- MFA etkin olmayan yönetici hesapları
- Süresi dolmayan parolalar
- Aşırı yetkili servis hesapları
Düzeltme Süresi: Adım Adım
TVM, sadece güvenlik açıklarını listelemekle kalmaz; düzeltme sürecini de yönetir. İşte tipik bir düzeltme akışı:
Öneri Seçimi
Exposure Management > Recommendations sayfasından yüksek öncelikli bir öneri seçin.
Etki Analizi
Kaç cihazın etkilendiğini, risk skorunu ve düzeltme süresini inceleyin.
Düzeltme Planı
Remediation sekmesinden düzeltme talebi oluşturun veya mevcut bir talebe ekleyin.
Uygulama
Intune, SCCM veya manuel yöntemlerle güncelleme/yapılandırma değişikliğini uygulayın.
Doğrulama
TVM otomatik olarak cihazları yeniden tarar ve düzeltmenin başarılı olduğunu doğrular.
Intune Entegrasyonu
TVM, Microsoft Intune ile doğrudan entegre çalışır. Bir güvenlik açığı için düzeltme talebi oluşturduğunuzda, Intune otomatik olarak ilgili cihazlara güncelleme politikası dağıtabilir. Bu, manuel müdahaleyi minimuma indirir.
Örnek Senaryo
- 1.TVM, 150 cihazda Adobe Acrobat Reader CVE-2024-20767 tespit eder
- 2.Analist, "Create remediation request" butonuna tıklar
- 3.Intune, otomatik olarak Adobe Reader 24.001.20643 güncellemesini dağıtır
- 4.TVM, 24 saat içinde cihazları yeniden tarar ve düzeltmeyi doğrular
Advanced Hunting ile TVM Analizi
TVM verilerini Advanced Hunting üzerinden KQL sorguları ile derinlemesine analiz edebilirsiniz.
// CVSS skoru 9.0 ve üzeri olan, aktif exploit'i bilinen CVE'ler
DeviceTvmSoftwareVulnerabilities
| where CvssScore >= 9.0
| where IsExploitAvailable == true
| summarize
EtkilenenCihaz = dcount(DeviceName),
IlkGorulenTarih = min(FirstSeenTimestamp)
by CveId, VulnerabilitySeverityLevel
| sort by EtkilenenCihaz desc
| take 20// Organizasyonda en yaygın kullanılan yazılımlar ve sürümleri
DeviceTvmSoftwareInventory
| summarize
CihazSayisi = dcount(DeviceName),
Surum = make_set(SoftwareVersion)
by SoftwareName, SoftwareVendor
| where CihazSayisi > 10
| sort by CihazSayisi desc
| take 50// Son 30 günde düzeltilen güvenlik açıkları
DeviceTvmSoftwareVulnerabilitiesTimeline
| where Timestamp > ago(30d)
| where EventType == "VulnerabilityRemediated"
| summarize
DuzeltilenCVE = dcount(CveId),
EtkilenenCihaz = dcount(DeviceName)
by bin(Timestamp, 1d)
| render timechart// Domain Controller ve veritabanı sunucularındaki güvenlik açıkları
let CriticalDevices = DeviceInfo
| where DeviceType in ("DomainController", "Server")
| where DeviceName contains "SQL" or DeviceName contains "DC"
| distinct DeviceName;
DeviceTvmSoftwareVulnerabilities
| where DeviceName in (CriticalDevices)
| where CvssScore >= 7.0
| project
DeviceName,
CveId,
CvssScore,
SoftwareName,
SoftwareVersion,
RecommendedSecurityUpdate
| sort by CvssScore descSık Sorulan Sorular
Özet ve Sonraki Adımlar
Microsoft Defender Vulnerability Management (TVM), modern güvenlik açığı yönetiminin temel taşıdır. 2025-2026 güncellemeleriyle Exposure Management platformuna entegre edilen TVM, artık sadece uç noktaları değil, bulut ve kimlik risklerini de tek bir yerden yönetmenizi sağlıyor. Başarılı bir TVM dağıtımı için: MDE sensörünün tüm cihazlarda aktif olduğundan emin olun, Exposure Score'u düzenli izleyin, kritik varlıklar için özel etiketler oluşturun ve Intune entegrasyonunu kullanarak düzeltme süreçlerini otomatikleştirin.