EDR nedir? Bu soru, son yıllarda IT yöneticilerinin en çok sorduğu sorulardan biri haline geldi. Çünkü geleneksel antivirüs çözümleri, modern siber tehditlere karşı artık yetersiz kalıyor. Gartner'ın tanımıyla EDR (Endpoint Detection and Response), uç nokta cihazlarındaki şüpheli aktiviteleri tespit eden, analiz eden ve otomatik müdahale eden gelişmiş güvenlik teknolojisidir.
Bu yazıda EDR nedir sorusunu detaylıca cevaplarken, antivirüs ile EDR arasındaki 7 kritik farkı gerçek senaryolarla açıklıyoruz. Eğer hâlâ "antivirüsümüz var, güvendeyiz" diye düşünüyorsanız, bu yazı sizin için.
"Antivirüs kapıya kilit takmak gibidir. EDR ise 7/24 güvenlik kamerası, alarm sistemi ve hızlı müdahale ekibi bir arada."
📋 Bu Yazıda
EDR Nedir? Temel Tanım
EDR nedir sorusunun kısa cevabı: Endpoint Detection and Response (Uç Nokta Tespit ve Müdahale). Bilgisayarlar, laptoplar, sunucular ve mobil cihazlar gibi uç noktalardaki güvenlik olaylarını tespit eden, analiz eden ve bunlara otomatik veya manuel müdahale eden bir güvenlik teknolojisidir.
Peki EDR nedir ve antivirüsten ne farkı var? Antivirüs, bilinen tehditleri imza veritabanıyla eşleştirerek engeller. EDR ise davranış analizi yaparak bilinmeyen tehditleri de tespit eder, şüpheli aktiviteleri izler ve saldırı durumunda otomatik müdahale eder.
EDR'ın Temel Bileşenleri:
✅ Endpoint: Korunan cihazlar (bilgisayar, sunucu, mobil)
✅ Detection: Tehdit tespiti (davranış analizi, anomali tespiti)
✅ Response: Otomatik müdahale (izolasyon, karantina, temizleme)
EDR Nedir ve Antivirüsten Farkı: Karşılaştırma Tablosu
EDR nedir ve antivirüsle arasındaki farkları anlamanın en kolay yolu karşılaştırma tablosuna bakmaktır:
| Özellik | Antivirüs | EDR |
|---|---|---|
| Tespit Yöntemi | İmza tabanlı | Davranış tabanlı + İmza |
| Bilinmeyen Tehditler | Tespit edemez | Tespit eder |
| Müdahale | Sadece engelle/sil | İzole et, analiz et, kök neden bul |
| Görünürlük | Tek cihaz | Tüm ağ |
| Tehdit Avcılığı | Yok | Proaktif tarama |
| Forensic Analiz | Sınırlı log | Detaylı timeline |
| Otomatik Yanıt | Manuel müdahale | Playbook'lar, SOAR |
| Entegrasyon | Bağımsız | SIEM, Firewall, Cloud |
Şimdi bu farkları gerçek senaryolarla inceleyelim:
Tespit Yöntemi: İmza vs Davranış
❌ Antivirüs
Sadece bilinen tehditleri tanır. Virüs imzası veritabanında yoksa tespit edemez. Zero-day saldırılarına karşı savunmasız.
✅ EDR
Davranış analizi yapar. "Bu program neden gece 3'te tüm dosyaları şifreliyor?" gibi anormal aktiviteleri tespit eder. Bilinmeyen tehditleri de yakalar.
🎬 Senaryo: Zero-Day Fidye Yazılımı
Yeni bir fidye yazılımı çıktı, henüz hiçbir antivirüs veritabanında yok. Çalışan bir e-posta ekini açtı. Antivirüs "temiz" dedi. 30 dakika sonra tüm dosyalar şifrelendi.
🔒 EDR Olsaydı
EDR, programın anormal davranışını tespit ederdi: "Bilinmeyen bir process, toplu dosya şifreleme başlattı." Otomatik olarak process'i durdurup cihazı izole ederdi. Hasar: 0 dosya.
Müdahale Kapasitesi: Engelle vs Müdahale Et
❌ Antivirüs
Tehdit tespit edilirse sadece engeller veya siler. Saldırı nasıl başladı? Başka cihazlara sıçradı mı? Bu soruların cevabı yok.
✅ EDR
Cihazı anında ağdan izole eder. Saldırı zincirini analiz eder. Kök nedeni bulur. Tüm etkilenen cihazları tespit eder.
🎬 Senaryo: Fidye Yazılımı Yayılması
Muhasebe bilgisayarında fidye yazılımı tespit edildi. Antivirüs dosyayı sildi. Ama yazılım zaten ağdaki 15 bilgisayara daha sıçramıştı. 2 saat sonra tüm şirket kilitlendi.
🔒 EDR Olsaydı
İlk tespit anında cihaz ağdan izole edilirdi. Lateral movement (yatay yayılma) analizi yapılırdı. Diğer 15 cihaz, yazılım aktif olmadan temizlenirdi.
Görünürlük: Tek Cihaz vs Tüm Ağ
❌ Antivirüs
Her cihaz bağımsız çalışır. A bilgisayarındaki tehdit, B bilgisayarını ilgilendirmez. Merkezi görünürlük yok.
✅ EDR
Tüm uç noktalar tek panelden izlenir. Bir cihazda tespit edilen tehdit, otomatik olarak tüm ağda aranır. Korelasyon analizi yapılır.
🎬 Senaryo: APT Saldırısı
Saldırgan, IT yöneticisinin bilgisayarına sızdı. Oradan Active Directory'ye erişti. 50 farklı cihazda backdoor kurdu. Her cihazın antivirüsü kendi başına çalıştığı için kimse büyük resmi göremedi.
🔒 EDR Olsaydı
Merkezi dashboard, anormal bağlantı paternlerini tespit ederdi. "IT yöneticisi bilgisayarından 50 cihaza aynı anda bağlantı" alarmı tetiklenirdi. Tüm backdoor'lar tek seferde temizlenirdi.
Tehdit Avcılığı: Reaktif vs Proaktif
❌ Antivirüs
Sadece reaktif çalışır. Tehdit gelene kadar bekler. Gizli tehditler aylarca fark edilmez.
✅ EDR
Proaktif tehdit avcılığı (Threat Hunting). Güvenlik ekibi, sistemlerde gizli tehditleri aktif olarak arar. IOC (Indicators of Compromise) taraması yapar.
🎬 Senaryo: 6 Aydır Sistemde Gizlenen Saldırgan
Şirket, bir veri sızıntısı yaşadığını 6 ay sonra öğrendi. Saldırgan, düşük profilli kalarak aylarca veri çalmıştı. Antivirüs hiçbir alarm vermemişti çünkü "bilinen" bir tehdit yoktu.
🔒 EDR Olsaydı
Haftalık tehdit avcılığı taramalarında, anormal veri çıkış paternleri tespit edilirdi. "Her gece 02:00'de 500 MB veri dışarı çıkıyor" anomalisi yakalanırdı.
Olay Sonrası Analiz: Log Yok vs Forensic
❌ Antivirüs
Sınırlı log tutar. "Virüs bulundu, silindi." Saldırı nasıl başladı? Kim sorumlu? Hangi veriler etkilendi? Cevap yok.
✅ EDR
Detaylı forensic timeline. Her process, her dosya erişimi, her ağ bağlantısı kayıt altında. Saldırı zinciri baştan sona görülebilir.
🎬 Senaryo: KVKK Denetimi
Şirket veri ihlali yaşadı. KVKK denetçisi sordu: "Saldırı nasıl gerçekleşti? Hangi veriler sızdı? Ne zaman başladı?" Antivirüs logları: "Trojan.Generic silindi." Başka bilgi yok. Ceza: 2.000.000 TL.
🔒 EDR Olsaydı
Detaylı timeline raporu sunulurdu: İlk erişim zamanı, etkilenen dosyalar, saldırı vektörü, alınan önlemler. KVKK'ya tam uyumluluk. Ceza: Minimum veya yok.
Otomatik Yanıt: Manuel vs Playbook
❌ Antivirüs
Tehdit tespit edildiğinde IT ekibini bekler. Gece veya hafta sonu saldırı olursa? Pazartesiye kadar yayılır.
✅ EDR
Önceden tanımlanmış playbook'lar çalışır. "Fidye yazılımı tespit edilirse: 1) Cihazı izole et 2) Process'i durdur 3) IT'yi bilgilendir." 7/24 otomatik koruma.
🎬 Senaryo: Cumartesi Gece 03:00 Saldırısı
Saldırgan, IT ekibinin olmadığı cumartesi gece 03:00'te saldırdı. Antivirüs uyarı verdi ama kimse görmedi. Pazartesi sabahı herkes geldiğinde, 200 bilgisayar şifrelenmişti.
🔒 EDR Olsaydı
Otomatik playbook devreye girerdi: İlk cihaz izole edilir, şüpheli process durdurulur, IT yöneticisine SMS/arama gider. Pazartesi sabahı: "Saldırı girişimi engellendi" raporu.
Entegrasyon: Bağımsız vs Ekosistem
❌ Antivirüs
Kendi başına çalışır. Firewall ile konuşmaz, SIEM'e veri göndermez. Siber güvenlik ekosisteminde yalnız.
✅ EDR
SIEM, SOAR, Firewall, Cloud Security ile entegre çalışır. Tehdit istihbaratı paylaşır. Koordineli savunma sağlar.
🎬 Senaryo: Koordineli Saldırı
Saldırgan, önce phishing e-postası gönderdi (e-posta güvenliği atladı), sonra malware indirtti (antivirüs tanımadı), ardından firewall'u bypass etti. Her sistem kendi başına düşündüğü için kimse bağlantıyı kuramadı.
🔒 EDR Olsaydı
EDR, e-posta güvenliği ve firewall ile entegre çalışırdı. Korelasyon: "Aynı IP'den gelen e-posta → indirilen dosya → şüpheli ağ trafiği" = Koordineli saldırı! Tüm sistemler eş zamanlı bloklar.
EDR Nedir Anladık, Peki Ne Zaman Geçmeli?
EDR nedir ve antivirüsten farkları artık net. Peki şirketiniz EDR'a geçmeli mi? Aşağıdaki soruları cevaplayın:
- 50'den fazla bilgisayar/sunucu var mı? → Merkezi yönetim şart
- Uzaktan çalışanlarınız var mı? → Ofis dışı cihazlar risk altında
- Müşteri/finansal veri işliyor musunuz? → KVKK uyumluluğu gerekli
- Son 1 yılda güvenlik olayı yaşadınız mı? → Mevcut koruma yetersiz
- 7/24 IT ekibiniz yok mu? → Otomatik müdahale şart
- Fidye yazılımı riski endişesi var mı? → Davranış analizi gerekli
⚠️ Karar Kriteri
Bu sorulardan 3 veya daha fazlasına "Evet" cevabı verdiyseniz, antivirüs artık yeterli değil. EDR'a geçiş zamanı gelmiş demektir.
EDR Nedir ve İnvekor Nasıl Yardımcı Olur?
EDR nedir sorusunu cevapladık, şimdi uygulama zamanı. İnvekor olarak, uç nokta güvenliği hizmetlerimiz kapsamında kurumsal EDR çözümleri sunuyoruz:
- ✅ Merkezi yönetim: Tüm uç noktalar tek panelden
- ✅ 7/24 izleme: Proaktif tehdit avcılığı
- ✅ Otomatik müdahale: Playbook tabanlı yanıt
- ✅ Forensic analiz: Detaylı olay raporlaması
- ✅ KVKK uyumluluğu: Denetim hazır raporlar
- ✅ Entegrasyon: SIEM, firewall, e-posta güvenliği
Sonuç: EDR Nedir ve Neden Artık Zorunlu?
Bu yazıda EDR nedir sorusunu detaylıca cevapladık ve antivirüs ile arasındaki 7 kritik farkı inceledik. Özetlemek gerekirse:
- Antivirüs: Bilinen tehditleri engeller, reaktif çalışır, sınırlı görünürlük
- EDR: Bilinmeyen tehditleri tespit eder, proaktif avcılık yapar, otomatik müdahale eder
Modern siber tehditler karşısında antivirüs tek başına yeterli değil. EDR nedir sorusunun cevabını bilen ve uygulayan şirketler, siber saldırılara karşı çok daha dirençli.
Mevcut uç nokta güvenliğinizi analiz edelim. Antivirüsünüz yeterli mi? EDR'a geçiş gerekli mi? Ücretsiz değerlendirme için hemen iletişime geçin.
