EDR Nedir?

Uç nokta algılama ve yanıt (EDR), uç nokta tehditlerini izlemenizi ve azaltmanızı sağlar. EDR araç oluşturma yetenekleri tipik olarak uç nokta veri toplama, olay algılama, uyarı özellikleri ve yanıt eylemlerini kapsar. Bu makalede, EDR’nin ne olduğunu, EDR çözümlerinin ne tür tehditleri algılayabileceğini ve EDR araçlarını değerlendirirken nelere dikkat edilmesi gerektiğini öğreneceksiniz.

EDR Nedir?

Uç nokta algılama ve yanıt (Endpoint Detection And Response), ağ çevrenizi izlemek ve korumak için kullanabileceğiniz bir dizi araç ve uygulamadır. EDR çözümleri, uç nokta trafiğinizin gerçek zamanlı takibini ve yönetimini sağlamak için tasarlanmıştır.

EDR çözümleri, ağ olaylarını değerlendirir, şüpheli etkinliği belirler, güvenlik ekiplerini etkinliğe karşı uyarır ve tehditlere karşı otomatik önlemler alır. Endpoint Detection And Response çözümlerinin dört temel yeteneği şunlardır:

  • Veri toplama: Çözümler, olayların korelasyonuna ve analizine izin vermek için olay verilerini otomatik veya manuel olarak toplamalıdır.
  • Olay Tespiti: Çözümler, bilinen imzalara dayanmak yerine davranışsal göstergelere dayalı olarak şüpheli faaliyetleri tespit edebilmelidir.
  • Uyarı özellikleri: Çözümler, güvenlik ekiplerini şüpheli olaylara karşı uyarmalı ve bu olayla ilgili bilgileri müdahale edenlere sağlamalıdır.
  • Müdahale eylemleri: Çözümler, şüpheli davranışı yalıtabilmeli ve trafiğin ağ üzerinde devam etmesini engellemelidir.

Neden EDR kullanmalısınız?

EDR güvenliği, uç nokta koruma platformlarını desteklemek içindir. EPP(Endpoint Protection Platform), tehditlere karşı birinci seviye savunma sağlayacak şekilde tasarlanmıştır. Bu araçlar, yalnızca pasif koruma için izleme, antivirüs ve güvenlik duvarı özelliklerini içerir. Bu çözümleri Endpoint Detection And Response ile tamamlayarak aktif koruma elde eder ve katmanlı savunmalar oluşturursunuz.

EDR çözümleri, geleneksel araçların sağlayamadığı ölçeklenebilirlik sağlar. Birçok geleneksel araç, özellikle antivirüs, ağınıza bağlı her cihaza bir aracının yüklenmesini gerektirir. Bu araçlar daha sonra ana cihazdaki herhangi bir kötü amaçlı yazılımın tespit edilmesini sağlamaktan sorumludur.

Ancak modern ağlarda, güvenlik ekibinizin yönetmediği cihazlar genellikle dinamik olarak bağlanabilir ve bağlantıyı kesebilir. Bu cihazlar güvenliğinizin kontrolünde olmadığı için geleneksel araçlarla cihazların güvenliğini sağlayamazsınız. Buna karşılık, EDR, çevrenizle arayüz oluşturduğu noktada herhangi bir cihazdan gelen trafiği izleyebilir. Bu, bir cihaz güvenli olmasa bile ağınızı korumanızı sağlar.

EDR Ne Tür Tehditleri Tespit Ediyor?

EDR çözümleri, tehditleri tespit etmek için davranış analiz motorları içerir. Bu motorlar, olayları onaylanmış etkinliğin yerleşik temelleriyle karşılaştırır ve uyumlu olmayanları belirler. Bu, güvenlik ekiplerinin geleneksel güvenlik araçlarını atlayanlar da dahil olmak üzere çok çeşitli tehditleri algılamasını sağlar. Önlenmesine yardımcı olabileceği en kritik tehdit türlerinden bazıları şunlardır:

1- Çok aşamalı saldırılar

EDR, tek başına görüntülendiğinde şüpheli görünmeyebilecek olayları tanımlamanıza olanak tanıyan veri toplama ve korelasyon kullanır. Bu olaylar ilişkilendirildiğinde, desen, zamana veya bir dizi uç noktaya yayılmış çoklu saldırı eylemlerini ortaya çıkarabilir. Örneğin, bir uç noktada birden çok oturum açma girişimi ve ardından başka bir uç noktada aynı IP’den başarılı bir oturum açma gerçekleşmesi gibi.

2- Dosyasız Kötü Amaçlı Yazılım Ve Sıfırıncı Gün Tehditleri

Dosyasız kötü amaçlı yazılım ve sıfırıncı gün tehditleri, algılama için kullanılabilecek bir imzası olmayan iki tür saldırıdır. Dosyasız kötü amaçlı yazılım, bellekte ve sistem süreçlerinde çalışarak dosya taramalarıyla tespit edilme şansını ortadan kaldırır. Sıfırıncı gün tehditleri, keşif gününde veya yakınında güvenlik açıklarından yararlanan saldırılardır. Bu saldırıların henüz tespit araçlarına sağlanabilecek yerleşik bir imzası yoktur.

EDR, imza eksikliğine rağmen bu saldırıları tespit edebilir. Bunun nedeni, imza ve davranışa dayalı algılamayı birleştirmesidir. EDR’nin süreçlerin ağ etkinliği tarafından ne zaman tetiklendiğini değerlendirmesini ve beklenmeyen süreçleri işaretlemesini sağlar.

3- Güvenliği İhlal Edilmiş Kimlik Bilgileri

Çoğu saldırıda, güvenliği ihlal edilmiş veya içeriden tehditler gibi kimlik bilgileri kötüye kullanılır. Kimlik bilgileri sistem tarafından başarıyla doğrulanabildiğinden, bu saldırılar geleneksel araçlar tarafından algılanmaz.

EDR, kimlik bilgilerini kullanım ve konum bilgileriyle ilişkilendirerek bu saldırıları algılar. Örneğin, beklenenden farklı bir ülke veya şehirden bir kimlik bilgisi kullanılıyorsa, oturum açma engellenir veya, beklenenden daha fazla miktarda veriye erişmek ve dışa aktarmak için kimlik bilgileri kullanılırsa, alarm oluşturur.

Uç Nokta Tespiti ve Yanıtı: Nelere Bakmalı?

Bir EDR çözümü ararken, aramanız gereken birkaç özellik ve işlevsellik vardır. Bunlar, çözümünüzün ihtiyacınız olan korumayı sağlayabildiğinden emin olmanıza yardımcı olabilir. Ek olarak, herhangi bir özellik eksikse, diğer araçları entegre etmek gibi sistemlerinizin güvenliğini sağlamak için ek adımlar atmanız gerekebilir.

  • EDR, mevcut araçlarla iyi bir şekilde bütünleşmelidir. Buna, kullandığınız tüm EPP’ler veya sistem bilgileri ve olay yönetimi (SIEM) çözümleri dahildir.
  • Ağınız genelinde çalışmalıdır. Bu, sahip olduğunuz tüm bulut veya hibrit kaynakları içerir. Şirket içi ve uzak kaynaklar için ayrı çözümler kullanıyorsanız EDR’nin etkinliğini kaybedersiniz.
  • Gelişmiş davranışsal izleme motorlarının yanı sıra aktif olarak güncellenen imza veritabanlarını içeren çözümler arayın. Çözümler, en yüksek korumayı sağlamak için çeşitli kaynaklardan tehdit istihbaratı almalıdır.
  • Çözümler, kullanıcıların ayarları değiştirmesine veya izlemeyi atlamasına izin vermemelidir. Ağınızın korunmaya devam etmesini sağlamak için çözümlerin tüm denetimi yönetici hesapları aracılığıyla gerçekleştirilmelidir.
  • Güçlü desteğe sahip, sık sık ve otomatik olarak güncellenen çözümler arayın. Ömrünün sonuna yaklaşan ya da kendi yamanızı yapmanız gereken bir sistem istemezsiniz.

Gerekli olmasa da, tehdit avlama yeteneklerini destekleyen bir çözüm aramayı da düşünebilirsiniz. Tehdit avcılığı, güvenlik uzmanlarının, güvenlik önlemlerini atlayan tehditlerin kanıtı için proaktif olarak ağları ve sistemleri araştırmasıdır.

EDR çözümleri, olay verilerini ve analizlerini hazır ve görünür hale getirerek bu çabaları destekleyebilir. İdeal olarak, çözüm içindeki analizleri hassaslaştırabilmeniz veya diğer araçlarla analiz için verileri dışa aktarabilmeniz gerekir.

Özetle

EDR güvenliği, uç nokta trafiğinin görünürlüğünü ve yönetim kontrollerini genişletmenizi sağlar. Uç nokta tehditlerine hızlı yanıt vermek için çoğu EDR aracı dört temel özellik sunar: veri toplama, olay algılama, uyarı özellikleri ve yanıt eylemleri.

Farklı EDR çözümleri bu yetenekleri farklı şekilde kullanır. EDR araçlarını değerlendirirken, size çok aşamalı saldırılara, dosyasız kötü amaçlı yazılımlara ve sıfırıncı gün güvenlik açıklarına ve güvenliği ihlal edilmiş kimlik bilgilerine karşı koruma sağlayan özelliklerin sunulduğundan emin olun. Ayrıca, kullanıyorsanız bu aracın SIEM gibi mevcut güvenlik araçlarıyla sorunsuz bir şekilde bütünleşebildiğinden emin olmalısınız.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »