OzzTech - EDR Nedir?

EDR Nedir?

EDR Nedir?

Uç nokta algılama ve yanıt (EDR), uç nokta tehditlerini izlemenizi ve azaltmanızı sağlar. EDR araç oluşturma yetenekleri tipik olarak uç nokta veri toplama, olay algılama, uyarı özellikleri ve yanıt eylemlerini kapsar. Bu makalede, EDR'nin ne olduğunu, EDR çözümlerinin ne tür tehditleri algılayabileceğini ve EDR araçlarını değerlendirirken nelere dikkat edilmesi gerektiğini öğreneceksiniz.

EDR Nedir?

Uç nokta algılama ve yanıt (Endpoint Detection And Response), ağ çevrenizi izlemek ve korumak için kullanabileceğiniz bir dizi araç ve uygulamadır. EDR çözümleri, uç nokta trafiğinizin gerçek zamanlı takibini ve yönetimini sağlamak için tasarlanmıştır.

EDR çözümleri, ağ olaylarını değerlendirir, şüpheli etkinliği belirler, güvenlik ekiplerini etkinliğe karşı uyarır ve tehditlere karşı otomatik önlemler alır. Endpoint Detection And Response çözümlerinin dört temel yeteneği şunlardır:

  • Veri toplama: Çözümler, olayların korelasyonuna ve analizine izin vermek için olay verilerini otomatik veya manuel olarak toplamalıdır.
  • Olay Tespiti: Çözümler, bilinen imzalara dayanmak yerine davranışsal göstergelere dayalı olarak şüpheli faaliyetleri tespit edebilmelidir.
  • Uyarı özellikleri: Çözümler, güvenlik ekiplerini şüpheli olaylara karşı uyarmalı ve bu olayla ilgili bilgileri müdahale edenlere sağlamalıdır.
  • Müdahale eylemleri: Çözümler, şüpheli davranışı yalıtabilmeli ve trafiğin ağ üzerinde devam etmesini engellemelidir.

Neden EDR kullanmalısınız?

EDR güvenliği, uç nokta koruma platformlarını desteklemek içindir. EPP(Endpoint Protection Platform), tehditlere karşı birinci seviye savunma sağlayacak şekilde tasarlanmıştır. Bu araçlar, yalnızca pasif koruma için izleme, antivirüs ve güvenlik duvarı özelliklerini içerir. Bu çözümleri Endpoint Detection And Response ile tamamlayarak aktif koruma elde eder ve katmanlı savunmalar oluşturursunuz.

EDR çözümleri, geleneksel araçların sağlayamadığı ölçeklenebilirlik sağlar. Birçok geleneksel araç, özellikle antivirüs, ağınıza bağlı her cihaza bir aracının yüklenmesini gerektirir. Bu araçlar daha sonra ana cihazdaki herhangi bir kötü amaçlı yazılımın tespit edilmesini sağlamaktan sorumludur.

Ancak modern ağlarda, güvenlik ekibinizin yönetmediği cihazlar genellikle dinamik olarak bağlanabilir ve bağlantıyı kesebilir. Bu cihazlar güvenliğinizin kontrolünde olmadığı için geleneksel araçlarla cihazların güvenliğini sağlayamazsınız. Buna karşılık, EDR, çevrenizle arayüz oluşturduğu noktada herhangi bir cihazdan gelen trafiği izleyebilir. Bu, bir cihaz güvenli olmasa bile ağınızı korumanızı sağlar.

EDR Ne Tür Tehditleri Tespit Ediyor?

EDR çözümleri, tehditleri tespit etmek için davranış analiz motorları içerir. Bu motorlar, olayları onaylanmış etkinliğin yerleşik temelleriyle karşılaştırır ve uyumlu olmayanları belirler. Bu, güvenlik ekiplerinin geleneksel güvenlik araçlarını atlayanlar da dahil olmak üzere çok çeşitli tehditleri algılamasını sağlar. Önlenmesine yardımcı olabileceği en kritik tehdit türlerinden bazıları şunlardır:

1- Çok aşamalı saldırılar

EDR, tek başına görüntülendiğinde şüpheli görünmeyebilecek olayları tanımlamanıza olanak tanıyan veri toplama ve korelasyon kullanır. Bu olaylar ilişkilendirildiğinde, desen, zamana veya bir dizi uç noktaya yayılmış çoklu saldırı eylemlerini ortaya çıkarabilir. Örneğin, bir uç noktada birden çok oturum açma girişimi ve ardından başka bir uç noktada aynı IP'den başarılı bir oturum açma gerçekleşmesi gibi.

2- Dosyasız Kötü Amaçlı Yazılım Ve Sıfırıncı Gün Tehditleri

Dosyasız kötü amaçlı yazılım ve sıfırıncı gün tehditleri, algılama için kullanılabilecek bir imzası olmayan iki tür saldırıdır. Dosyasız kötü amaçlı yazılım, bellekte ve sistem süreçlerinde çalışarak dosya taramalarıyla tespit edilme şansını ortadan kaldırır. Sıfırıncı gün tehditleri, keşif gününde veya yakınında güvenlik açıklarından yararlanan saldırılardır. Bu saldırıların henüz tespit araçlarına sağlanabilecek yerleşik bir imzası yoktur.

EDR, imza eksikliğine rağmen bu saldırıları tespit edebilir. Bunun nedeni, imza ve davranışa dayalı algılamayı birleştirmesidir. EDR'nin süreçlerin ağ etkinliği tarafından ne zaman tetiklendiğini değerlendirmesini ve beklenmeyen süreçleri işaretlemesini sağlar.

3- Güvenliği İhlal Edilmiş Kimlik Bilgileri

Çoğu saldırıda, güvenliği ihlal edilmiş veya içeriden tehditler gibi kimlik bilgileri kötüye kullanılır. Kimlik bilgileri sistem tarafından başarıyla doğrulanabildiğinden, bu saldırılar geleneksel araçlar tarafından algılanmaz.

EDR, kimlik bilgilerini kullanım ve konum bilgileriyle ilişkilendirerek bu saldırıları algılar. Örneğin, beklenenden farklı bir ülke veya şehirden bir kimlik bilgisi kullanılıyorsa, oturum açma engellenir veya, beklenenden daha fazla miktarda veriye erişmek ve dışa aktarmak için kimlik bilgileri kullanılırsa, alarm oluşturur.

Uç Nokta Tespiti ve Yanıtı: Nelere Bakmalı?

Bir EDR çözümü ararken, aramanız gereken birkaç özellik ve işlevsellik vardır. Bunlar, çözümünüzün ihtiyacınız olan korumayı sağlayabildiğinden emin olmanıza yardımcı olabilir. Ek olarak, herhangi bir özellik eksikse, diğer araçları entegre etmek gibi sistemlerinizin güvenliğini sağlamak için ek adımlar atmanız gerekebilir.

  • EDR, mevcut araçlarla iyi bir şekilde bütünleşmelidir. Buna, kullandığınız tüm EPP'ler veya sistem bilgileri ve olay yönetimi (SIEM) çözümleri dahildir.
  • Ağınız genelinde çalışmalıdır. Bu, sahip olduğunuz tüm bulut veya hibrit kaynakları içerir. Şirket içi ve uzak kaynaklar için ayrı çözümler kullanıyorsanız EDR'nin etkinliğini kaybedersiniz.
  • Gelişmiş davranışsal izleme motorlarının yanı sıra aktif olarak güncellenen imza veritabanlarını içeren çözümler arayın. Çözümler, en yüksek korumayı sağlamak için çeşitli kaynaklardan tehdit istihbaratı almalıdır.
  • Çözümler, kullanıcıların ayarları değiştirmesine veya izlemeyi atlamasına izin vermemelidir. Ağınızın korunmaya devam etmesini sağlamak için çözümlerin tüm denetimi yönetici hesapları aracılığıyla gerçekleştirilmelidir.
  • Güçlü desteğe sahip, sık sık ve otomatik olarak güncellenen çözümler arayın. Ömrünün sonuna yaklaşan ya da kendi yamanızı yapmanız gereken bir sistem istemezsiniz.

Gerekli olmasa da, tehdit avlama yeteneklerini destekleyen bir çözüm aramayı da düşünebilirsiniz. Tehdit avcılığı, güvenlik uzmanlarının, güvenlik önlemlerini atlayan tehditlerin kanıtı için proaktif olarak ağları ve sistemleri araştırmasıdır.

EDR çözümleri, olay verilerini ve analizlerini hazır ve görünür hale getirerek bu çabaları destekleyebilir. İdeal olarak, çözüm içindeki analizleri hassaslaştırabilmeniz veya diğer araçlarla analiz için verileri dışa aktarabilmeniz gerekir.

Özetle

EDR güvenliği, uç nokta trafiğinin görünürlüğünü ve yönetim kontrollerini genişletmenizi sağlar. Uç nokta tehditlerine hızlı yanıt vermek için çoğu EDR aracı dört temel özellik sunar: veri toplama, olay algılama, uyarı özellikleri ve yanıt eylemleri.

Farklı EDR çözümleri bu yetenekleri farklı şekilde kullanır. EDR araçlarını değerlendirirken, size çok aşamalı saldırılara, dosyasız kötü amaçlı yazılımlara ve sıfırıncı gün güvenlik açıklarına ve güvenliği ihlal edilmiş kimlik bilgilerine karşı koruma sağlayan özelliklerin sunulduğundan emin olun. Ayrıca, kullanıyorsanız bu aracın SIEM gibi mevcut güvenlik araçlarıyla sorunsuz bir şekilde bütünleşebildiğinden emin olmalısınız.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.