XDR Teknolojilerinin Siber Güvenlikteki Rolü

Siber güvenlik dünyasında tehditlerin karmaşıklığının artması, daha etkin ve entegre çözümlere olan ihtiyacı artırmıştır. XDR (Extended Detection and Response), bu ihtiyaca yanıt olarak geliştirilmiş bir güvenlik çözümü olup, uç noktalar, ağ ve bulut ortamlarından gelen verileri bir araya getirerek kapsamlı bir tehdit algılama ve müdahale imkanı sunar. Bu makalede, XDR’ın temel çalışma prensiplerini, zararlı aktiviteleri nasıl tespit ettiğini ve sağladığı avantajları ele alacağız. Ayrıca, farklı XDR türlerini ve Cortex XDR gibi gelişmiş bir çözümün analistlere sunduğu özellikleri inceleyerek, bu teknolojinin siber güvenlik stratejilerindeki yerini detaylı bir şekilde açıklayacağız.

• Endpointler’den gelen tüm trafiği (IDS, IPS) anormallikler veya bir siber tehdit ya da ihlali gösterebilecek veriler için izler.
• Otomatik yanıt özellikleriyle, tüm tehditleri ve kötü amaçlı dosyaları bloklar, izole eder ve güvenlik ekibini ağ üzerindeki riskler hakkında bilgilendirir.
• Hash’lerine göre internette arama yapar veya kullanılan ürüne göre kendi sandbox’unda saklayayıp, zararlı dosyaları değerlendirebilir.
• Olay soruşturma ve adli analiz yetenekleri sunarak güvenlik ekiplerinin endpoint cihazlarıyla ve ilgili ağ iletişimlerini detaylı bir şekilde incelemesini sağlar. DFIR Analistleri için bakılması gereken ilk noktalardan birisidir.
• Gelişmiş tehdit tespiti ve yanıtı, gelişmiş tehditleri, fidye yazılımlarını ve kötü niyetli işlemleri tespit etmek, izole etmek ve yanıt vermek için kullanılır.

XDR sistemlerinin kötü niyetli aktiviteleri nasıl tespit ettiğini açıklamak için “hooking” (fonksiyon takibi) sürecini anlamak önemlidir.[1] Hooking, bir sistem çağrısını veya fonksiyonunu kesip, bu fonksiyonun standart davranışını değiştirmektir. Yani, XDR sistemi, dosya sistemi işlemleri, işlem oluşturma, ağ trafiği gibi sistem aktivitelerinin belirli fonksiyonlarını keserek, bu fonksiyonları inceleyebilir ve iletilen bilgiyi değiştirebilir.

Örneğin; XDR, yeni işlemler oluşturan “CreateProcess” fonksiyonuna bir hook yerleştirip. Her yeni işlem oluşturulduğunda, XDR bu işlemin bilgilerini kontrol eder. Eğer bu işlem kötü amaçlı bir davranış gösteriyorsa, XDR bu işlemi engeller veya karantinaya alır.

1-) Ajan Tabanlı XDR (Agent-based XDR): Bu tür XDR çözümleri, endpoint cihazlarına kurulan bir yazılım ajanı kullanarak cihazın aktiviteleri ve ağ iletişimini toplayıp merkezi bir yönetim konsoluna iletir. Bu durum, özellikle eski veya düşük özellikli cihazlarda performans düşüşüne yol açabilir. Ancak, doğru yapılandırıldığında, ajanlar minimum etkiyle etkili bir güvenlik sağlayabilir. Ana ürünümüz olan Cortex XDR’ı buraya adresleyebiliriz.

2-) Ajansız XDR (Agentless XDR): Bu tür XDR çözümleri, uç nokta cihazlarına herhangi bir ajan kurulumuna gerek kalmadan ağ tabanlı sensörler veya diğer toplama mekanizmalarını kullanır

3-) Bulut Tabanlı XDR (Cloud-based XDR): Bulut tabanlı altyapı kullanarak endpointlerden gelen verileri toplar, depolar ve analiz eder.

4-) Endpoint Koruma Platformu (EPP): Hem geleneksel güvenlik çözümleri (antivirüs, güvenlik duvarı, IPS gibi) hem de daha gelişmiş uç nokta tespiti ve yanıt özelliklerini tek bir entegre platformda sunar.

5-) Davranışsal XDR (Behavioral XDR): Yapay zeka, makine öğrenmesi ve davranışsal analiz kullanarak uç nokta cihazlarında alışılmadık aktiviteleri tespit eder. Bu tür XDR çözümleri, geleneksel güvenlik çözümlerinin tespit edemediği bilinmeyen tehditlere karşı yanıt verebilir. Her bir XDR çözümünün kendi avantajları ve dezavantajları vardır. Bu yüzden firmaların ihtiyaçlarını ve kullanım senaryolarını analiz ederek, ihtiyaçlarına en uygun XDR çözümünü seçmesi önemlidir. [2]

XDR Alarmlarının Yorumlanması

Bu noktada örneklerimizi ürünlerimizden birisi olan XDR ürünü; endpoint(uç nokta) cloud ve ağdan verileri entegre edebildiğimiz yapıda sunan Cortex XDR üzerinden giderek ele alacağız. 

Cortex XDR, Analistlere incident sayfasında detaylı bir analiz bölümü olan process chain(uygulama zinciri) dediğimiz, etkilenen uygulamaları göreceğimiz bir bölüm sunuyor. Burada olay zincirini detaylı bir şekilde analiz edip, ilgili aksiyonları alabiliyoruz [3]

XDR’ı kulanırken olay müdahale sürecimiz önemlidir çünkü bu veriler hem iş kolaylığı, hem de güvenlik için bize çözümler sunar. XDR puanlama yaparak alarm hakkında analistlere bir çıktı verir. Bu çıktıları kullanırken aşağıdaki noktalar genellikle ilk baktığımız yerler olmaktadır.

Risk Seviyesi (Alarm Seviyesi): Alarma verilen risk seviyesi, tehdidin ciddiyetini gösterir. Yüksek riskli alarmlar öncelikli olarak SOC ekipleri tarafından öncelikli ele alınır.

Alarm Kaynağı ve Etkilenen Cihazlar: Alarmın hangi kaynaktan (cihaz, ağ, uygulama) geldiği ve hangi cihazların etkilendiği, olayın türünü ve yayılma potansiyelini anlamlandırmada önemlidir.

Etkinlik Türü: Alarmın nedeni olan etkinliğin türü (örneğin, başarısız oturum açma, kötü amaçlı yazılım) tehditin doğasını anlamada yardımcı olur.

Zamanlama ve Anormal Davranışlar: Alarmın tetiklendiği zaman ve cihazdaki olağandışı davranışlar, saldırıların tespiti için kritik öneme sahiptir.

Bağlantılı Olaylar (Correlated Events): Birden fazla olayın birbirine bağlanması, daha büyük bir tehditin göstergesi olabilir, bu yüzden olaylar arasındaki ilişkiyi incelemek önemlidir.

Cortex XDR ile birlikte gelen XDR ajanı, uç noktaları korumak ve kötü amaçlı yazılım saldırılarını ve güvenlik açıklarını önlemek için kapsamlı bir yaklaşım sunar. Bu ajan, cihazları ve USB bağlantılarını kontrol etmenize olanak tanır, örneğin, webcam enfeksiyonlarını engeller. Bulut tabanlı Cortex XDR sistemi, yeni yerel veri toplama hizmetleri ve kontrolleri kurmaya gerek kalmadan bilgi koruma sisteminin hızlı bir şekilde dağıtılmasını sağlar. Ayrıca, sınırlı internet erişimi olan ağlar için özel bir yerel proxy aracısı da kullanılabilir. Bazı durumlarda ajanlar şirketler tarafından fazla CPU kullandığı için tercih edilmemektedir, fakat doğru bir yapılandırmayla bunun önüne geçmek mümkündür.

Cortex XDR’de yüksek CPU kullanımına katkıda bulunan birkaç faktör olabilir. Yaygın nedenlerden bazıları şunlardır:

• Verimsiz veya yanlış yapılandırılmış Cortex XDR politikaları
• Çok sayıda eş zamanlı olay veya uyarı
• Cortex XDR tarafından gerçekleştirilen kaynak yoğun görevler
• Diğer güvenlik ürünleri veya yazılımlarıyla uyumsuzluk

XDR’ın birden fazla güvenlik çözümünü toplayarak tek bir platformda bize verdiğini vurgulamıştık. Peki bu veriler neler olabilir? hangi noktalardan gelen verileri sağlıklı bir şekilde alıyoruz?

XDR çözümlerinin topladığı ana veri seviyeleri aşağıdaki gibi yazabiliriz:

• Erişim Noktaları (Access Points) – Ağınıza kimlerin erişmeye çalıştığını izler.
• Ağ Katmanı (Network Layer) – Güvenlik geçitleri (Security Gateways) gibi araçlarla ağınızı korur.
• Firewall (FW), Intrusion Prevention System (IPS), Web Application Firewall (WAF), Ağ Sensörleri (Network Sensors) – Bu araçlar ağınızda dış tehditlere karşı koruma sağlar.
• Sandbox – Şüpheli yazılımları izole ederek zararlı olmasını engeller.
• Zafiyet Tarayıcıları (Vulnerability Scanners) – Sisteminizdeki güvenlik açıklarını tespit eder.
• Bulut Ortamları ve Sanallaştırma (Cloud Environments and Virtualization) – Bulut üzerindeki verilerinizi korur.
• E-posta Trafiği (Email Traffic) – E-posta yoluyla gelebilecek tehditlere karşı savunma sağlar.
• Erişim Kontrol Sistemleri (Access Control Systems) – Kullanıcıların sisteme erişim haklarını yönetir.
• Veri Kaybı Önleme Sistemleri (DLP) – Hassas verilerin yanlış ellerde olmasını engeller.

Mimarisi sayesinde, XDR her seviyedeki veriyi toplar ve işler. İlk olarak, toplanan veriler belirli parametrelere göre normalize edilip, ortak bir formata getirilir (Data Normalization). Ardından, bu veriler Data Lake (Veri Gölü) adı verilen merkezi bir alanda toplanır. Sonrasında, veri korelasyonu yapılır ve güvenlik tehditlerine karşı otomatik yanıtlar verilerek, gerekirse daha derinlemesine bir soruşturma başlatılır.

Bu noktalardan yola çıkarak Cortex XDR’ı üç kritik maddeyle özetleyebiliriz.

• XDR sisteminin unsurlarından gelen, normalize edilmiş verilerin merkezi bir şekilde toplanması.
• Olayların korelasyonu ve güvenlik yöneticileri için olayların tespiti durumunda bildirimlerin “alert” olarak üretilmesi.
• Merkezi olarak toplanan verilerin makine öğrenmesine ve yazılan kurallara göre aksiyon alıp yanıt vermesi.

Belirlenen karara göre, tehditleri azaltmak ve etkilenen sistemleri düzeltmek için uygun yanıt eylemleri başlatılır:

1. Kötü Amaçlı Karar (Malicious Verdict):

• Göstergelerin Engellenmesi (Blocking Indicators): Platform, tespit edilen kötü amaçlı göstergeleri (IP adresleri, alan adları, dosya hash’leri gibi) engeller.
• Endpoint İzolasyonu (Endpoint Isolation): Etkilenen son kullanıcılar, tehditlerin daha fazla yayılmasını engellemek için ağdan izole edilir.
• Oturum Yönetimi (Session Management): Kullanıcı oturumları temizlenir ve iptal edilir, çok faktörlü kimlik doğrulama (MFA) güvenli hesaplar için zorunlu hale getirilir.
• Şifre Sıfırlama (Password Reset): Kullanıcı şifreleri sıfırlanır, böylece yetkisiz erişim engellenir.

2. Zararsız Karar (Benign Verdict):

• Olay Kapanışı (Incident Closure): Olay otomatik olarak kapatılır ve normal operasyonların kesintiye uğramaması sağlanır.

Uygar Tayan

 - 5 Kasım 2025, Çarşamba