EDR (Endpoint Detection and Response), sunucu ve iş istasyonu gibi uç noktalardaki (endpoint) davranışları sürekli izleyen, şüpheli aktiviteleri tespit eden ve otomatik veya yarı-otomatik müdahale (izolasyon, süreç sonlandırma) yapabilen bir güvenlik teknolojisidir.
EDR vs Klasik Antivirüs
| Özellik | Klasik Antivirüs | EDR |
|---|
| Tespit Yöntemi | Bilinen imza (signature) tabanlı | Davranış analizi, anomali tespiti |
| Yeni/Bilinmeyen Tehditler | Genelde kaçırır | Şüpheli davranışı yakalayabilir |
| Müdahale | Dosyayı karantinaya al | İzolasyon, süreç sonlandırma, adli analiz (forensics) verisi |
| Görünürlük | Sınırlı, tek dosya odaklı | Tüm sistem aktivitesi (süreçler, ağ bağlantıları, dosya değişiklikleri) |
Neden Klasik Antivirüs Yetersiz Kaldı?
Modern ransomware ve hedefli saldırılar, bilinen imzalarla eşleşmeyen, "dosyasız" (fileless) veya meşru sistem araçlarını kötüye kullanan (living-off-the-land) teknikler kullanır. Bu tür saldırılar, imza tabanlı klasik antivirüs tarafından genelde tespit edilemez. EDR, "bu dosya kötü müymü" sorusu yerine "bu davranış normal mi" sorusuna odaklanarak bu boşluğu kapatır.
Backup Altyapısıyla Çakışma Riski
EDR/antivirüs yazılımları, backup işlemlerini (özellikle Veeam Data Mover gibi süreçleri) potansiyel tehdit olarak algılayıp yavaşlatabilir veya engelleyebilir. Bu senaryoyu ve doğru istisna (exclusion) yapılandırmasını Veeam backup job hataları rehberinde ele aldık.
SIEM ile İlişkisi
EDR, uç nokta seviyesinde tespit ve müdahale sağlarken, SIEM tüm altyapıdaki (ağ, sunucu, uygulama) logları merkezi olarak toplayıp ilişkilendirir. Çoğu kurumsal güvenlik mimarisinde ikisi birlikte, tamamlayıcı olarak kullanılır.
Özet
EDR, uç noktalardaki şüpheli davranışları gerçek zamanlı izleyip otomatik müdahale edebilen, klasik imza tabanlı antivirüsün ötesine geçen modern bir güvenlik katmanıdır.