← Blog'a Dön

Uç Nokta Güvenliği 101: EDR, MITRE ATT&CK ve Tehdit Müdahalesi

30 Aralık 2025
#SiberGüvenlik#SiberSavunma#EDR#EndpointSecurity#Antivirüs#MITREATTACK#Wazuh#CrowdStrike#EndpointDetection#IncidentResponse
👁 0🤍 0
Uç Nokta Güvenliği 101: EDR, MITRE ATT&CK ve Tehdit Müdahalesi

EDR Nedir? Antivirüsün Ötesinde: Uç Noktalarınızı Davranışlarla Koruma Rehberi

Giriş: "Antivirüs Neden Artık Yeterli Değil?"

Günümüzde bir fidye yazılımı saldırısı düşünün: Zararlı yazılım, daha önce hiç görülmemiş bir teknikle sisteme sızıyor ve geleneksel antivirüs yazılımı onu "bilinen bir tehdit" olarak tanımıyor. Sonuç? Kritik verileriniz şifreleniyor ve kurumunuz faaliyetlerini durdurmak zorunda kalıyor. Bu senaryo maalesef giderek daha sık yaşanıyor.

Geleneksel antivirüs çözümleri, zararlı yazılımların parmak izlerine (imzalarına) dayalı çalışır. Ancak günümüzün sofistike saldırıları (hedefe yönelik APT'ler, dosyasız malware, zero-day açıklıklar) bu yaklaşımı kolayca atlatabiliyor. İşte tam bu noktada EDR (Endpoint Detection and Response) devreye giriyor.

Bu yazıda öğrenecekleriniz:

  • EDR'ın temel mantığı ve antivirüsten farkları
  • EDR sistemlerinin nasıl çalıştığı
  • MITRE ATT&CK ve davranışsal analizin önemi
  • Popüler EDR çözümleri
  • Bir güvenlik olayında EDR ile müdahale süreci

EDR'ı Anlamak - Temel Kavramlar

EDR'ın Tanımı

EDR (Uç Nokta Tespit ve Yanıt), kurumunuzdaki uç noktaları (dizüstü bilgisayarlar, sunucular, mobil cihazlar) sürekli izleyen, şüpheli aktiviteleri tespit eden ve bu tehditlere hızlıca müdahale etmenizi sağlayan bir siber güvenlik çözümüdür.

Antivirüs ile EDR Arasındaki Temel Fark

Bu ayrımı basit bir analojiyle açıklayalım:

  • Antivirüs → "Kimlik Kontrolü": Birinin kapıdan girerken kimliğine bakar. Eğer listede kötü biri varsa (bilinen zararlı imza) içeri almaz. Ama sahte kimlikle (imzası değiştirilmiş malware) geleni fark edemez.

  • EDR → "Davranış Gözlemi": İçeri giren herkesin ne yaptığını izler. Biri normalde ofiste dolaşmak yerine, CEO'nun odasına girip çekmeceleri karıştırmaya başlarsa (şüpheli davranış) anında alarm verir.

Teknik karşılaştırma:

ÖzellikAntivirüsEDR
Temel Yaklaşımİmza Tabanlı (Signature-based)Davranış Tabanlı (Behavior-based)
Zero-day TehditlerGenellikle Tespit EdemezTespit Edebilir
Dosyasız SaldırılarZayıfGüçlü
OdağıÖnleme (Prevention)Tespit ve Yanıt (Detection & Response)

EDR Tam Olarak Nasıl Çalışır? (Teknik Detaylar Basitçe)

1. Sürekli İzleme ve Veri Toplama

EDR ajanları, uç noktalardan sürekli olarak çok çeşitli telemetri verileri toplar:

# EDR'ın izlediği veri türlerine örnekler
veri_kaynaklari = {
    "proses_aktivitesi": "Yeni proses başlatma, proses ağacı",
    "ag_baglantilari": "IP adresleri, portlar, DNS sorguları",
    "dosya_sistemi": "Dosya oluşturma, değiştirme, silme",
    "kayit_defteri": "Windows kayıt defteri değişiklikleri",
    "bellek_aktivitesi": "Şüpheli bellek işlemleri"
}

2. Davranışsal Analiz ve MITRE ATT&CK Çerçevesi

MITRE ATT&CK, siber saldırganların gerçek dünyada kullandığı taktik ve tekniklerin kapsamlı bir kütüphanesidir. EDR'lar topladıkları verileri bu çerçevedeki tekniklerle karşılaştırarak analiz yapar.

Örnek Senaryo:

  • Normal Davranış: Kullanıcı Word belgesi açar.
  • Şüpheli Davranış: Word belgesi bir PowerShell komut dosyası başlatır (ATT&CK Tekniği: T1059.001 - Command and Scripting Interpreter: PowerShell).
  • EDR Tepkisi: Bu anomaliyi tespit eder ve alarm üretir.

3. İşlem Ağacı (Process Tree) Analizi

EDR'lar, saldırıların nasıl yayıldığını anlamak için proses ilişkilerini analiz eder:

explorer.exe (Kullanıcı tarafından başlatıldı)
└── word.exe (Word belgesi açıldı)
    └── powershell.exe (Şüpheli! Word'den PowerShell başlatıldı)
        └── certutil.exe (Şüpheli! Legitimate tool misuse - İndirme işlemi)

Bu ağaç yapısı, saldırının kök nedenini ve yayılma yolunu anlamamızı sağlar.

4. İhlal Göstergeleri (IoC) ve Acı Piramidi (Pyramid of Pain)

IoC'ler (Indicators of Compromise) bir saldırının kanıtlarıdır:

  • Hash değerleri, IP adresleri, domain adları, dosya isimleri

Acı Piramidi ise saldırganların bu göstergeleri değiştirmesinin ne kadar zor olduğunu gösterir:

        TTP'ler (En Zor) - EDR'ın ASIL GÜCÜ
           Araçlar
        Ağ Varlıkları
      Host Varlıkları
Hash Değerleri (En Kolay)

EDR, piramidin en tepesindeki TTP'leri (Taktikler, Teknikler ve Prosedürler) izlediği için saldırgana en fazla "acı"yı verir. Saldırgan bir dosyanın hash'ini kolayca değiştirebilir ama temel saldırı metodolojisini değiştirmesi çok daha zordur.

EDR'ın Ekosistemi: Diğer Araçlar ve Popüler Çözümler

EDR ve SIEM İlişkisi

SIEM (Security Information and Event Management) farklı kaynaklardan gelen logları toplayıp merkezi olarak analiz eder. EDR ise uç noktalarda derinlemesine görünürlük sağlar. Bu iki teknoloji birbirini tamamlar:

SIEM: Geniş kapsam (Ağ, Firewall, Uygulama logları) + Korelasyon kuralları
EDR: Derinlemesine uç nokta görünürlüğü + Davranışsal analiz

Birlikte kullanıldıklarında, SIEM genel tehdit resmini görürken, EDR spesifik uç nokta detaylarını sağlar.

Popüler EDR Çözümleri

Ticari Çözümler:

  • CrowdStrike Falcon: Bulut tabanlı, lider pazar çözümü
  • Microsoft Defender for Endpoint: Windows ekosistemiyle derin entegrasyon
  • SentinelOne: Yapay zeka odaklı otonom koruma

Açık Kaynak Çözümler (Öğrenme İçin Mükemmel):

  • Wazuh: Hem EDR hem SIEM özellikleri içeren güçlü açık kaynak çözüm
  • Open EDR: Eğitim ve sertifikasyon fırsatları sunan açık kaynak alternatif

Wazuh kurulumuna basit bir örnek:

# Wazuh agent kurulumu (Linux)
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb
sudo WAZUH_MANAGER='wazuh-manager-ip' dpkg -i wazuh-agent.deb
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Bir Olay Anında EDR ile Müdahale

EDR'ın "Response" (Yanıt) kısmı, tespit kadar kritiktir. Bir güvenlik olayında tipik müdahale adımları:

1. Tespit (Detection)

EDR konsolunda anomali alarmı alınır. Örneğin: "Şüpheli PowerShell aktivitesi tespit edildi."

2. Containment (Yayılmayı Önleme)

  • Etkilenen uç nokta ağdan izole edilir
  • Şüpheli prosesler karantinaya alınır

3. Eradication (Kökünü Kazıma)

  • Zararlı dosyalar silinir
  • Kalıcılık mekanizmaları temizlenir (kayıt defteri, başlangıç programları)

4. Recovery (İyileştirme)

  • Sistem temiz yedekten geri yüklenir
  • Güvenlik kontrolleri güncellenir

Sonuç: Neden EDR Artık Bir Zorunluluk?

Geleneksel antivirüs çözümleri temel koruma için hala önemli olsa da, modern siber tehdit ortamında tek başına yeterli değildir. EDR çözümleri:

  • Davranışsal analizle bilinmeyen tehditleri tespit eder
  • Detaylı görünürlük sağlayarak saldırı zincirini anlamamızı sağlar
  • Hızlı müdahale yetenekleriyle zararı sınırlandırır

Kurumsal güvenlik için EDR artık bir "luxury" değil, temel bir zorunluluktur. Özellikle Wazuh gibi açık kaynak çözümler, bu teknolojiyi öğrenmek ve test etmek için mükemmel fırsatlar sunar.

Sizin EDR deneyimleriniz neler? Kurumunuzda hangi çözümleri kullanıyorsunuz? Açık kaynak EDR araçları hakkında sorularınız mı var? Yorumlarda paylaşın!

İlgili diğer yazılarımız: [SIEM Nedir?] [MITRE ATT&CK Çerçevesine Giriş]