NDR (Network Detection & Response) KOBİ'ye Gerekir mi?

Özet: NDR (Network Detection & Response), ağ trafiğini sürekli analiz ederek anomali ve tehdit davranışlarını yakalayan modern bir siber güvenlik katmanıdır. EDR uç noktayı, NDR ise ağı izler — ikisi tamamlayıcıdır. KOBİ ölçeğinde NDR genelde "ileri seviye" sayılır; ancak hassas veri işleyen, ransomware geçirmiş veya OT/IT karışık ortamlar için gerçek bir savunma katmanı sunar. Tam NDR yatırımı yerine bulut tabanlı tehdit istihbaratı + iyi yapılandırılmış next-gen firewall + EDR kombinasyonu KOBİ için çoğu zaman pragmatik bir orta yoldur.

KOBİ'lerde "EDR vardı, ama saldırı önlenemedi" hikayesi giderek artıyor. Sebep: bazı saldırı teknikleri uç noktada tespit edilemez — yatay yayılma (lateral movement), DNS tüneli, anormal data exfiltration ağ tarafında görünür. NDR bu boşluğu doldurur. Ama her KOBİ için gerekli mi? Yoksa ileri ölçek lüksü mü?

Bu yazıda NDR'in ne olduğunu, EDR ve SIEM'den farkını, KOBİ ölçeğinde ne zaman gerçekten gerektiğini ve alternatiflerini ele alıyoruz. Hedef kitlemiz IT sorumluları, siber güvenlik bütçesi planlayan karar vericiler ve mevcut güvenlik mimarisinin yeterliliğini değerlendirenler.

NDR Nedir, Nasıl Çalışır?

NDR çözümleri ağ trafiğini farklı noktalardan dinler ve davranış analizi yapar.

Ağ Trafiği Görünümü

NDR genellikle:

• SPAN/mirror port üzerinden switch trafiğini dinler
• TAP cihazları ile fiziksel kopya alır
• Flow data (NetFlow, IPFIX, sFlow) ile özet trafik bilgisi alır
• Bulut entegrasyonu ile AWS VPC Flow, Azure NSG flow log işler

Ne Tespit Eder?

Kategori	Örnek
Anomali tabanlı	Ofis 09:00'da 1 GB upload yaptı (normal: 50 MB)
Davranış tabanlı	Sunucu birdenbire başka sunuculara port tarama yapıyor (lateral movement)
İmza tabanlı	Bilinen C2 sunucu IP/domain'lerine bağlantı
Protokol analizi	DNS sorgu içinde gizli veri (DNS tüneli)
ML/AI tabanlı	Daha önce hiç görülmemiş trafik deseni
Threat intel	Sızdırılmış IP/IOC (indicator of compromise) eşleşmesi

Otomatik Müdahale

Modern NDR çözümleri tespit etmenin ötesine geçer:

• Şüpheli cihazı otomatik izole etme (NAC entegrasyonu)
• Firewall'a bloke kuralı ekleme
• EDR'a tehlikeli süreci sonlandırma komutu
• SIEM'e detaylı kayıt
• SOC analistine yüksek öncelikli alarm

EDR, NDR, SIEM, XDR — Hangisi Ne?

Bu kavramlar sıklıkla karıştırılır.

Çözüm	Görev Alanı	Güçlü Yanı	Zayıf Yanı
EDR	Uç nokta (laptop, sunucu)	Süreç, dosya, kullanıcı eylemi	Ağ tarafına kör
NDR	Ağ trafiği	Yatay yayılma, DNS, exfiltration	Uç nokta detayı yok
SIEM	Log toplama + korelasyon	Geniş kaynak, uyum raporları	Reaktif, log bazlı
XDR	EDR + NDR + diğerleri birleşik	Bütünleşik görünüm	Vendor lock-in
MDR	Yönetilen tespit + müdahale	7/24 SOC ekibi	Aylık abonelik maliyet

KOBİ stratejisi: EDR önce gelir; SIEM uyum gerektiğinde; NDR hassas/karmaşık ortamda; XDR tek vendor tercih edilirse; MDR uzman ekip yoksa.

NDR'in EDR'a Göre Ek Sağladıkları

EDR çoğu KOBİ'de kurulu — neden NDR'e ek ihtiyaç olabilir?

EDR'in Göremediği Senaryolar

1. Yönetilmeyen cihazlar: EDR ajanı olmayan IoT, eski cihazlar, kişisel BYOD — bu cihazların yaptığı kötü trafik EDR ile görünmez ama NDR ağda yakalar
2. Tedarikçi/misafir cihazlar: Geçici bağlanan cihaz EDR yönetiminde değil — anomali sadece ağdan görünür
3. Lateral movement: Saldırgan bir sunucudan diğerine atlıyorsa her ikisinde EDR olsa bile, ikisi arasındaki anormal trafik en net NDR'da görülür
4. DNS tüneli / exfiltration: EDR bir bağlantının olduğunu görür ama "DNS sorgu içinde 100 MB veri sızdırıldı" tespiti ağ tarafında daha güçlüdür
5. Encrypted threat: Modern EDR şifreli trafiği görmez; NDR meta-data analizi ile şüpheli desenleri yakalar (paket büyüklüğü, zamanlama, vb.)

Birlikte Kullanım

EDR + NDR birlikte: bir uç noktada anomalik süreç başladığında EDR alarm verir, NDR aynı uç noktanın anormal ağ trafiğini doğrular — false positive azalır, gerçek tehdit kesinleşir.

KOBİ İçin NDR Ne Zaman Gerçekten Gerekir?

Tüm KOBİ'lerin NDR'a ihtiyacı yoktur. Karar matrisi:

NDR Mantıklı

• Hassas veri işleniyor (sağlık, finans, kişisel veri ağırlıklı)
• Ransomware geçirilmiş veya yakın çevrede vakalar yaşandı
• OT/IT karışık ortam (üretim tesisi)
• 100+ uç nokta + ek ağ cihazları
• Uyum gereksinimi sıkı (ISO 27001, PCI-DSS)
• Bulut + on-premise hibrit yapı
• Tedarikçi/misafir erişimi sık

NDR Erken Olabilir

• 20-30 uç noktalı ofis
• Hassas veri minimum
• EDR henüz kurulu değil veya olgun değil
• Bütçe sınırlı, IT ekibi tek kişi

İkinci grup için önce EDR + iyi firewall + bulut tehdit istihbaratı.

NDR Çözümleri — Pazara Genel Bakış

Çözüm	Hedef Pazar	KOBİ Uygunluğu
Vectra AI	Enterprise	Üst KOBİ
Darktrace	Enterprise	Pahalı, sınırlı
ExtraHop	Enterprise / Mid	Üst KOBİ
Corelight (Zeek tabanlı)	Mid	Orta KOBİ
Cisco Stealthwatch	Mid + Enterprise	Cisco ekosistemi
FortiNDR (FortiGate entegre)	KOBİ - Mid	Fortinet zaten kullanılıyorsa ideal
Open NDR — Zeek + Suricata	DIY	Teknik ekip varsa
Arctic Wolf MDR (NDR dahil)	Yönetilen	KOBİ için bütçe-dostu

KOBİ ölçeğinde mevcut firewall vendor'ünün NDR modülü veya yönetilen MDR (NDR dahil) en pragmatik seçenekler.

NDR Kurmadan Faydanın %60-70'ini Sağlama

NDR yatırımı yapmadan önce yapılabilecekler:

1. Firewall Loglarını Düzgün İzle

Modern NGFW'ler (FortiGate, Palo Alto, Sophos XG, Cisco Firepower) zaten gelişmiş trafik analizi yapar. Logları SIEM veya bulut analiz platformuna gönderirsiniz; çoğu NDR senaryosunu yakalar.

2. DNS Filtre + Log

Cisco Umbrella, NextDNS gibi DNS filtreler tehdit istihbaratı içerir. Logları analiz edilirse C2 bağlantıları ve DNS tüneli yakalanır.

3. Network Segmentation Sıkılaştır

Lateral movement'ı tasarımla zorlaştırırsanız NDR ihtiyacı azalır. Sıkı VLAN ayrımı + firewall kuralları + jump host.

4. EDR'in Ağ Telemetri Modülünü Aç

CrowdStrike, SentinelOne, Microsoft Defender gibi modern EDR'lar ağ telemetri sağlar — uç noktanın ağ trafiği bilgisi.

5. NetFlow/IPFIX Analizi

Ücretsiz veya düşük maliyetli araçlarla (ntopng, Plixer, SolarWinds NTA) NetFlow analizi yapılabilir — temel anomali tespiti sağlar.

Bu beş adım NDR'in faydasının önemli bir kısmını sıfır veya düşük maliyetle KOBİ'ye kazandırır.

NDR Kurulum Senaryosu — Tipik KOBİ

50 çalışanlı, 2 ofisli bir KOBİ'de NDR kurulumu:

Mimari

• Merkez ofis core switch SPAN portu → NDR sensör
• Uzak ofis aynı şekilde
• NDR yönetim sunucu (on-premise veya bulut)
• SIEM ile entegrasyon
• EDR ile cross-correlation

İlk 30 Gün

NDR sistemleri "öğrenme" döneminde çalışır — neyin normal olduğunu çıkarır. Bu dönemde false positive yüksektir. IT ekibi alarmları gözden geçirir, kuralları ayarlar.

Devam Eden Operasyon

• Günlük alarm gözden geçirme (5-15 dakika)
• Haftalık anomali raporu
• Aylık politika güncelleme
• Yıllık tehdit istihbarat güncellemesi

İç ekip yoksa MDR hizmeti alarak bu operasyonel yük dış kaynak edilir.

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde NDR / ağ tehdit tespit destek alanlarımız:

• Mevcut ağ görünürlüğü ve risk değerlendirmesi
• "NDR gerekiyor mu?" analizi (ROI)
• Düşük maliyetli alternatifler (NetFlow, NGFW raporlama)
• FortiNDR veya alternatif çözüm değerlendirmesi
• MDR hizmet seçimi (NDR dahil)
• SIEM-NDR-EDR entegrasyonu
• Yıllık ağ güvenlik denetimi

Sıkça Sorulan Sorular

Sonuç

NDR, KOBİ siber güvenlik mimarisinde "ileri seviye" bir katmandır; ancak her KOBİ için gerekli değildir. EDR + NGFW + DNS filtre + sıkı segmentasyon kombinasyonu, çoğu küçük ve orta KOBİ için yeterli görünürlüğü sağlar. NDR yatırımı; hassas veri işleyen, ransomware geçirmiş, OT/IT hibrit veya sıkı uyum gereken kuruluşlar için anlamlı hale gelir. Bağımsız NDR ürünü yerine MDR hizmeti içinde NDR almak çoğu KOBİ için ekonomik orta yoldur.

Yamanlar Bilişim olarak ölçeğinize, mevcut katmanlarınıza ve risk profilinize göre "NDR gerekli mi" sorusunun gerçekçi cevabını üretiyor; gereksiz yatırımdan korurken gerçek ihtiyaç durumunda en pragmatik yola yönlendiriyoruz.