EDR vs Antivirüs: KOBİ'ler Hangisini Seçmeli?
Özet: Antivirüs imza bazlı çalışır (bilinen tehditler); EDR ise davranış analizi, süreç ağaçları, izole etme ve telemetri ekleyerek bilinmeyen ve fileless saldırıları yakalar. KOBİ için SentinelOne, CrowdStrike veya Microsoft Defender for Endpoint Plan 2 giriş seviye doğru EDR seçimleridir.
Klasik antivirüs uzun yıllardır uç nokta güvenliğinin temel taşı olmuştur. Ancak modern saldırılar imzasız zararlı yazılım, dosyasız (fileless) saldırılar ve meşru araçların istismarıyla çalışıyor — klasik antivirüs bu tehditleri çoğu zaman kaçırıyor. EDR (Endpoint Detection and Response) teknolojisi davranışsal analiz ile bu boşluğu kapatır. Bu rehber KOBİ ölçeğinde EDR ile klasik antivirüs arasındaki farkı açıklar ve hangisinin ne zaman uygun olduğunu gösterir.
Antivirüs ve EDR Farkı Neden Önemli?
İki teknoloji aynı hedef için farklı yaklaşımlar kullanır:
- Antivirüs: İmza tabanlı; bilinen zararlı dosyaları tanır ve engeller
- EDR: Davranış tabanlı; süreçlerin nasıl çalıştığına bakar, anormal olanı yakalar
KOBİ'lerde yalnızca klasik antivirüs kullanıldığında görülen sorunlar:
- Yeni fidye yazılımı varyantları imza güncellenmeden önce geçiyor
- PowerShell tabanlı saldırılar "meşru" göründüğü için engellenmiyor
- Belge makrosu içinde gelen kod tespit edilemiyor
- Saldırı sonrası nasıl yayıldığı görülmüyor
- Olay yanıt ekibi hangi cihazın etkilendiğini bulamıyor
- Tehdit istihbaratı güncel değil
- "Temiz" görünen cihazlarda saklı saldırganlar fark edilmiyor
EDR bu boşlukları kapatır.
EDR'nin Temel Yetenekleri
1. Davranışsal Analiz
Süreçlerin ne yaptığına bakar: "Word uygulaması neden PowerShell başlattı?" gibi alışılmadık zincirleri tespit eder.
2. Tehdit Avcılığı
Geriye dönük sorgu: "Son 30 günde bu komut nerede çalışmış?" sorusu saniyeler içinde cevaplanır.
3. Otomatik Yanıt
Şüpheli süreç anında sonlandırılır; cihaz ağdan izole edilir; ilgili dosyalar karantinaya alınır.
4. Merkezi Görünürlük
Tüm uç noktalar tek panelde izlenir; hangi cihazda hangi olay var anında görülür.
5. Tehdit İstihbaratı
Güncel IOC'ler (Indicator of Compromise), saldırı zincirleri ve MITRE ATT&CK eşlemeleri dahildir.
6. Olay Zinciri
Bir olayın başlangıcından yayılmasına kadar zincir görselleştirilir. Kök neden analizi hızlanır.
7. Entegrasyon
SIEM, firewall ve kimlik servisleriyle bağlantı. XDR (Extended Detection and Response) bu entegrasyonun ileri sürümüdür.
Karşılaştırma Tablosu
| Özellik | Klasik Antivirüs | EDR |
|---|---|---|
| Bilinen zararlı | ✅ | ✅ |
| Bilinmeyen tehdit | ❌ | ✅ |
| Davranışsal analiz | Sınırlı | ✅ |
| Olay zinciri görünürlük | ❌ | ✅ |
| Tehdit avcılığı | ❌ | ✅ |
| Otomatik yanıt | Sınırlı | ✅ |
| Maliyet | Düşük | Orta-yüksek |
| Yönetim yükü | Düşük | Orta |
KOBİ İçin Uygun EDR Çözümleri
| Çözüm | Not |
|---|---|
| Microsoft Defender for Endpoint | M365 E5 veya ayrı lisans; güçlü entegrasyon |
| CrowdStrike Falcon | Kurumsal sınıf, üstün performans |
| SentinelOne | Otomatik yanıt güçlü |
| Sophos Intercept X | KOBİ odaklı, yönetim kolay |
| ESET Protect | Yerel destek yaygın |
Küçük KOBİ için Microsoft Defender for Business ekonomik ilk tercihtir.
Geçiş Adımları
- Varlık envanteri: Kaç uç nokta (Windows, Mac, Linux, sunucu)
- Karşılaştırma: 2-3 EDR çözümü PoC (proof of concept) ile test edilir
- Pilot: Bir departmanda 2-4 hafta denenir
- Kademeli yayılım: Tüm uç noktalara sıra ile
- Eski antivirüsün kaldırılması: Çakışma önlenir
- Politika ve kurallar: Otomatik yanıt seviyesi belirlenir
- Eğitim: IT ekibi konsolü öğrenir, olay yanıt akışı kurulur
Sık Yapılan Hatalar
- EDR satın alıp otomatik yanıtı hiç etkinleştirmemek
- Klasik antivirüs ile EDR'yi aynı anda kurmak (çakışma)
- Uyarıları inceleme süreci kurmamak
- Sunucuları EDR kapsamı dışında bırakmak
- Pilotsuz doğrudan tam yayılım yapmak
- Konsol kullanımı için ekip eğitimi atlamak
- EDR lisansını yalnızca sözleşmede tutup kurulumu ertelemek
Gerçek İşletme Örnekleri
Örnek 1: Muhasebe Firmasında Sıfır Gün Saldırısı
Bir muhasebe firmasında EDR bilinmeyen bir fidye yazılımı davranışını tespit etti; süreç başlangıçta sonlandırıldı, cihaz ağdan izole edildi. Klasik antivirüs o dosyayı "temiz" olarak bildirmişti.
Örnek 2: Üretim Tesisinde Tehdit Avı
Bir üretim tesisinde şüpheli bir komut varlığı tespit edildi. EDR konsolünden geçmiş 30 gün sorgulandı; komutun başka üç cihazda daha çalıştığı görüldü. Tüm etkilenen noktalar aynı anda temizlendi.
Örnek 3: Danışmanlık Ofisinde Olay Zincir Görünürlüğü
Bir danışmanlık ofisinde bir phishing sonrası saldırı zinciri EDR'de görselleştirildi. Hangi dosyanın indirildiği, hangi süreci başlattığı, hangi kullanıcıya yöneldiği saniyeler içinde çıktı; müdahale hızlı yapıldı.
Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?
Yamanlar Bilişim, mevcut uç nokta güvenliğinizi inceleyerek EDR'ye geçiş veya tamamlayıcı strateji önerir. Seçim, pilot, yayılım ve operasyon süreci birlikte yürütülür.
Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:
- Uç nokta güvenlik durum analizi
- EDR/XDR çözüm karşılaştırması ve lisans planı
- Pilot kurulum ve ayar optimizasyonu
- Eski antivirüs'ün temiz kaldırılması
- Otomatik yanıt politikalarının tasarımı
- Olay yanıt akışı ve IT ekip eğitimi
- SIEM / firewall entegrasyonu
- Periyodik rapor ve tehdit istihbaratı güncelleme
SSS
Hem antivirüs hem EDR gerekli mi?
Modern EDR çözümleri genellikle antivirüs özelliklerini de içerir; ayrı iki ürün gereksizdir.
Küçük ofis için EDR pahalı mı?
Aylık uç nokta başı birkaç dolar seviyesinde ekonomik paketler vardır. Bir saldırının maliyetinin yanında küçük yatırım.
Mac ve Linux sunucuları EDR kapsar mı?
Modern çözümler bu platformları da destekler. Sağlayıcılar seçilirken kontrol edilmeli.
EDR false positive üretir mi?
Başlangıçta bazı false positive olabilir; zamanla ince ayar ile minimuma iner. Uyarı inceleme süreci bu sebeple önemlidir.
EDR olmadan da güvende olabilir miyim?
Minimum güvenlik değil, güçlü savunma hedefleniyorsa EDR modern baseline'dır. Klasik antivirüs tek başına yetersiz kalabilir.
Teklif Alın
EDR, modern tehdit ortamında KOBİ'nin uç nokta güvenliğinin temelidir. Yamanlar Bilişim, işletmenize uygun çözümü seçer ve kurulumu başarıyla yürütür. Detaylı değerlendirme için /teklif sayfasından talep iletebilir, mevcut durum için /iletisim üzerinden ulaşabilirsiniz.
Yazar
Yamanlar Bilişim Ekibi
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Uç Nokta Yönetimi alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
MDM ile Mobil Cihaz Yönetimi: KOBİ'ler İçin Başlangıç
Mobil cihazlar artık iş hayatının ayrılmaz parçası; MDM çözümleri bu cihazları güvenli ve yönetilebilir hale getirir. KOBİ ölçeğinde bile kurulumu hızlı ve etkili olabilir.
Windows Yönetimi: KOBİ İçin Merkezi Yaklaşım
Windows bilgisayarları tek tek elle kurmak ve güncellemek ölçek büyüdükçe imkânsız hale gelir. Merkezi Windows yönetimi hem güvenlik hem bakım yükünü belirgin şekilde iyileştirir.