EDR vs XDR farkları
Siber güvenlikte en büyük problem artık “zararlı dosya var mı?” sorusu değil. Asıl mesele, saldırının nereden başladığını, nasıl yayıldığını ve hangi sistemlere dokunduğunu anlayabilmek. EDR ve XDR tam olarak bu noktada devreye giriyor ama bakış açıları farklı.
EDR ne yapar?
EDR, yani Endpoint Detection and Response, adından da anlaşılacağı gibi uç noktalara odaklanır.
Uç nokta dediğimiz şey; kullanıcı bilgisayarı, sunucu, laptop gibi doğrudan işletim sistemi çalıştıran cihazlardır.
EDR bu cihazın içinde olup biteni izler:
Hangi proses çalıştı ?
Hangi dosya indirildi ?
Hangi registry anahtarı değişti ?
Hangi kullanıcı hangi komutu çalıştırdı ?
Şüpheli bir davranış görürse alarm üretir. Gerekirse süreci durdurur, dosyayı karantinaya alır ya da cihazı ağdan izole eder.
Yani EDR mikro seviyede çalışır. Tek bir makinenin içinde derin görünürlük sağlar.
XDR neyi farklı yapar?
XDR (Extended Detection and Response) ise olaylara tek cihaz üzerinden bakmaz. Daha geniş bir perspektifi vardır.
Arkadaşlar saldırılar artık genelde şöyle ilerliyor
- Phishing e-postası gelir
- Kullanıcı linke tıklar
- Zararlı yazılım indirir
- Saldırgan kimlik bilgilerini çalar
- Ağ içinde hareket eder
EDR bu zincirin sadece “zararlı yazılım çalıştı” kısmını güçlü şekilde yakalar.
XDR ise zincirin tamamını görmeye çalışır.
Şuralardan veri toplar:
Uç noktalar (kullanıcı bilgisayarı, sunucu, laptop gibi doğrudan işletim sistemi çalıştıran cihazlar
Ağ trafiği
E-posta güvenliği
Firewall logları
Kimlik doğrulama sistemleri
Bulut servisleri
Sonra bu verileri birleştirir.
Tek tek bakıldığında önemsiz görünen olayları bağlam (Bir güvenlik olayını veya isteğini (örneğin giriş denemesi) değerlendirirken sadece şifreye değil; zaman, konum, cihaz türü ve kullanıcı davranışı gibi destekleyici verilere bakarak "evet/hayır" kararını dinamik hale getiren akıllı yaklaşımdır) içinde değerlendirir. İşte asıl fark burada ortaya çıkar
En Kritik Fark: Bağlam ve Korelasyon
Korelasyon'un ne olduğuna bir önceki konumuzda değinmiştik
EDR size “bu cihazda şüpheli bir powershell komutu çalıştı” der.
XDR ise şunu diyebilir:
“Bu kullanıcıya 10 dakika önce phishing mail geldi. Aynı kullanıcı VPN ile farklı bir ülkeden giriş yaptı. Ardından bu cihazda şüpheli komut çalıştı. Sonrasında domain controller’a bağlantı denemesi oldu.”
Yani parçaları birleştirir.
Bu da güvenlik ekibinin saldırıyı daha hızlı anlamasını sağlar.
Operasyonel Açıdan Fark
EDR genelde SOC ekiplerinin cihaz bazlı inceleme yapmasını gerektirir. Analist makineye girer, loglara bakar, süreci analiz eder.
XDR ise daha merkezi bir görünüm sunar. Olayı tek panelde zincir halinde gösterir. Bu da müdahale süresini ciddi şekilde kısaltır.
Özellikle büyük kurumlarda alarm yorgunluğu ciddi bir problemdir. XDR, farklı sistemlerden gelen yüzlerce alarmı tek bir olay altında toplayabilir.
Hangisi Tercih Edilmeli?
Şimdi bu iş tamamen yapının büyüklüğüne ve karmaşıklığına bağlı.
Küçük ölçekli, merkezi yapılarda güçlü bir EDR çoğu zaman yeterlidir.
Bulut kullanan, hibrit çalışan, çok katmanlı güvenlik mimarisi olan kurumsal yapılarda XDR daha mantıklıdır.
Aslında XDR çoğu zaman EDR’yi içinde barındırır. Yani EDR’siz XDR olmaz. Ama her EDR, XDR değildir.
Şimdi ise kısa bir özet geçelim
EDR derinlik sağlar.
XDR genişlik sağlar.
EDR cihazı inceler.
XDR saldırıyı inceler.
EDR lokal görünürlük sunar.
XDR bütünsel görünürlük sunar.
