Kavram Karmaşasını Çözmek
Siber güvenlik pazarı kısaltmalarla (Acronyms) doludur. Kurumlar genellikle "SIEM aldık, EDR'a gerek var mı?" veya "XDR, SIEM'in yerini mi alacak?" sorularını sorarlar. Bu teknolojilerin her biri savunma stratejisinin farklı bir katmanını oluşturur ve çoğu zaman birbirlerini tamamlarlar, ikame etmezler.
Teknik Karşılaştırma Matrisi
| Özellik | EDR | XDR | SIEM |
|---|---|---|---|
| Kapsam | Sadece Uç Nokta (PC/Sunucu) | Uç Nokta + Ağ + Bulut + Mail | TÜM Log Kaynakları |
| Birincil Amaç | Process ve davranış analizi | Güvenlik olaylarını ilişkilendirme | Log saklama (Compliance) ve Analiz |
| Müdahale | Otomatik (İzolasyon vb.) | Otomatik (Çapraz platform) | Genelde Pasif (Alarm üretir) |
1. EDR (Endpoint Detection & Response)
Mikroskop gibidir. Sadece bilgisayarın içine bakar ama çok detaylı bakar. Process injection, registry değişiklikleri gibi ince detayları yakalar.
2. SIEM (Security Information & Event Management)
Geniş bir kütüphane gibidir. Kapı geçiş sisteminden, yazıcıya, güvenlik duvarından veritabanına kadar her yerden log toplar. Asıl gücü Regülasyon Uyumluluğu (Log Retention) ve farklı kaynaklardan gelen logları birleştirmektir. Ancak tespit yeteneği, yazılan kurallara (Correlation Rules) bağlıdır.
3. XDR (Extended Detection & Response)
EDR'ın yeteneklerinin ağ ve bulut katmanına genişletilmiş halidir. SIEM'in karmaşıklığı olmadan "Güvenlik Odaklı" korelasyon yapar.
Doğru Strateji Nedir?
Modern bir SOC mimarisinde EDR/XDR "ön cephe" askeridir ve tehdidi durdurur. SIEM ise "karargah"tır; tüm kayıtları tutar, raporlar ve büyük resmi (Big Picture) görmenizi sağlar. Birbirlerinin alternatifi değil, tamamlayıcısıdırlar.