EDR Neden Yetmedi?
Endpoint Detection and Response (EDR), uç noktalarda (Laptop, Sunucu) mükemmel bir görünürlük sağlar. Ancak modern saldırılar sadece uç noktada başlamaz veya bitmez. Bir Phishing maili ile başlayan, ağ içinde yayılan (Network), bulut veritabanına erişen (Cloud) ve veriyi dışarı sızdıran bir saldırı zincirini düşünün. EDR sadece "uç noktadaki" kısmı görür. Ağdaki hareketi veya mail kutusundaki zararlıyı göremez. İşte XDR (Extended Detection and Response) bu kör noktaları birleştirmek için doğmuştur.
XDR Mimarisi ve Korelasyon
XDR, farklı güvenlik telemetrilerini tek bir veri gölünde (Data Lake) toplar ve yapay zeka ile ilişkilendirir.
Veri Kaynakları
- Endpoint: Process, dosya, USB hareketleri.
- Network (NDR): Anormal trafik, port taramalar.
- Email Security: Zararlı ekler, phishing linkleri.
- Identity: Başarısız oturum denemeleri, şüpheli konumlar.
- Cloud: AWS/Azure üzerindeki yapılandırma hataları ve erişimler.
Korelasyon Örneği
XDR şu senaryoyu tek bir olay (Incident) olarak sunar:
1. "Ahmet" kullanıcısına şüpheli mail geldi. (Email)
2. Ahmet eki açtı, Powershell çalıştı. (Endpoint)
3. Cihaz C&C sunucusuyla haberleşti. (Network)
4. Ahmet'in hesabı ile veritabanına girildi. (Identity)
XDR vs SIEM
En sık sorulan sorulardan biri: "SIEM varken XDR'a gerek var mı?"
| Özellik | SIEM | XDR |
|---|---|---|
| Odak | Log Yönetimi & Analiz | Tespit & Müdahale |
| Veri Kaynağı | Her şey (Yazıcı, Kapı geçiş vb.) | Güvenlik odaklı (Endpoint, Net, Cloud) |
| Otomasyon | SOAR gerektirir | Dahili (Native) gelir |
Operasyonel Gereklilik
XDR, güvenlik ekiplerinin üzerindeki "Alarm Yorgunluğunu" (Alert Fatigue) azaltmak için tasarlanmıştır. Binlerce anlamsız log yerine, bağlamı (Context) olan az sayıda ve nitelikli olay (Incident) üretir. Bu da müdahale süresini (MTTR) dakikalara indirir.