Bizi Takip Edin :
Kurumsal EDR/XDR · Güvenlik & Uyum

Microsoft Defender for Endpoint Plan 2

Son inceleme:

Microsoft Defender for Endpoint Plan 2 (MDE P2), kurumsal seviyede uç nokta güvenliğinin altın standardıdır. Davranışsal makine öğrenmesi bilinmeyen tehditleri tanır, otomatik soruşturma+iyileştirme zincirleri saldırıları analist müdahalesi olmadan durdurur, Threat & Vulnerability Management (TVM) gerçek zamanlı zafiyet skoru verir, Attack Surface Reduction (ASR) kuralları fileless/macro/script saldırılarını sıfır kabul ile bloklar, gelişmiş hunting (KQL) tehdit analistlerine derinlemesine sorgulama imkanı tanır. Windows/macOS/Linux/iOS/Android destekli; M365 E5 paketine dahil, ayrıca standalone (cihaz başına) alınabilir.

EDR + Otomatik Yanıt

Şüpheli süreç → playbook → izole/durdur/temizle. Saatler değil dakikalar.

TVM (Zafiyet Yönetimi)

CVE skoru, maruz kalma trendi, öncelikli yamalar; ajan kurulumdan otomatik.

ASR Kuralları (16 kural)

Office macro, e-postadan script, USB exe, fileless saldırıları sıfırla.

Threat Hunting (KQL)

Microsoft tehdit istihbaratı + 30 günlük telemetri üzerinde gelişmiş sorgu.

P1 vs P2 — Hangi Plan?

YetenekP1P2
Next-gen antivirüs (NGAV)
Attack Surface Reduction (ASR)
Device Control (USB)
Web içerik filtreleme
Endpoint Detection & Response (EDR)— (temel)✅ (tam, davranışsal)
Otomatik soruşturma + iyileştirme
Threat & Vulnerability Management
Gelişmiş Hunting (KQL, 30 gün)
Sandbox detonation
Microsoft Threat Experts (uzman desteği)✅ (add-on)

P2'nin sağladığı EDR yetenekleri — detay

Microsoft'un Defender for Endpoint Plan 2 sayfasında belgelenen ana EDR yetenekleri:

  • Davranışsal tespit (behavioral detection): İmza tabanlı taramaya ek olarak proses davranış ağacını analiz eder; yeni / sıfırıncı gün zararlıyı imza olmadan yakalar.
  • Automated Investigation & Response (AIR): Şüpheli olay tespit edildiğinde otomatik soruşturma başlatır; kanıt toplar, etkilenen dosya/proses/kullanıcıyı tespit eder, iyileştirme önerir veya otomatik uygular.
  • Threat & Vulnerability Management (TVM): Cihazlardaki yamasız uygulamalar, zayıf yapılandırmalar, eksik güncellemelerin risk skoruyla önceliklendirilmesi.
  • Advanced Hunting (KQL): 30 günlük telemetri üzerinde Kusto Query Language ile özel sorgular — IOC arama, davranış paterni izleme, threat hunting.
  • Sandbox detonation: Şüpheli dosyalar Microsoft'un bulut sandbox'ında izole çalıştırılarak analiz; kullanıcı sistemine ulaşmaz.
  • Threat Intelligence: Microsoft'un global tehdit istihbaratı (her gün 70+ trilyon sinyal işlenir) gerçek zamanlı erişim.
  • Microsoft Threat Experts: İsteğe bağlı uzman analist desteği (add-on) — kritik saldırı şüphesinde Microsoft Security uzmanına soru.
  • Live response: Analist uzaktan etkilenen cihaza canlı bağlantı kurar (uzak shell, dosya inceleme) — saldırı yanıt sürecinde kritik.

F2 — Frontline kullanıcılar için varyant

Defender for Endpoint F2, M365 F3 (Frontline) lisansı olan kullanıcılar için sadeleştirilmiş varyant. Resmi karşılaştırma: Microsoft Learn Defender licensing.

  • Saha senaryolarına yönelik (vardiyalı, paylaşılan cihaz, kiosk).
  • P2'nin yönetim sadeleştirilmiş hali — Microsoft 365 Defender portal tek konsol.
  • EDR + AIR + TVM dahil; bazı gelişmiş hunting özellikleri kısıtlı.
  • F3 SKU'sunda dahili olarak gelir — ayrı satın alma gerekmez.

Defender Suite (XDR) ile ilişkisi

MDE P2 tek başına çok güçlüdür ama bir saldırı zinciri e-posta + uç nokta + AD + cloud arasında atlıyorsa tek katmanlı koruma yetersiz kalır. Defender Suite (XDR) bunu çözer:

  • MDE P2 tek başına: Uç nokta tarafı korelasyonu (saldırı zinciri içinde uç nokta olayları birbirine bağlanır).
  • Defender Suite (XDR) = MDE P2 + Office P2 + Identity + Cloud Apps: Saldırı zincirinin tüm katmanları tek "incident" olarak görselleştirilir.
  • Tipik fark senaryosu: Phishing e-postası açılıyor → Defender for Office P2 yakalar → bağlantıyı tıklayan kullanıcının uç noktası izole edilir → AD üzerinden lateral hareket Defender for Identity tarafından durdurulur → bir SaaS'a uygunsuz veri yüklenmeye çalışılırsa Defender for Cloud Apps engeller. Bu sıra MDE P2 tek başına ile mümkün değil.
  • Detay: Defender Suite (XDR) ürün sayfası veya karşılaştırma blog rehberi.

Sophos, Kaspersky veya Bitdefender'den geçiş

Mevcut üçüncü taraf antivirüs/EDR'dan Defender for Endpoint'e geçiş planı:

  • 1. Pilot grup (1 hafta): 5-10 cihaz farklı tipte (Windows 10/11, Server, Mac, mobil) — eski + yeni paralel mod, çakışma testi.
  • 2. Lisans + onboarding (1-2 hafta): Defender lisansı aktif, Intune veya GPO üzerinden ajan dağıtımı, EDR onboarding script'i.
  • 3. Audit mode (2 hafta): Eski AV ajan kaldırılmadan Defender "passive mode'da çalışır — gerçek tespit + tepkide bulunmaz, sadece raporlar. Politika doğru yapılandırılır.
  • 4. Eski AV kaldırma + Defender enforce (1 hafta): Eski ürün ajan vendor script ile temizlenir, Defender aktif modda devreye girer.
  • 5. ASR kuralları + politika optimizasyonu (sürekli): 16 ASR kuralı önce audit, sonra enforce.
  • Tipik 200-500 cihazlı bir kurum için tüm süreç 6-8 hafta. Xen Bilişim downtime-sız geçiş garantisi sağlar.

Hangi M365 paketinde dahil?

  • Microsoft 365 E5: MDE Plan 2 dahil ✓
  • Microsoft 365 E5 Security: MDE Plan 2 dahil ✓
  • Microsoft 365 E3: MDE Plan 1 dahil; Plan 2 için add-on veya E5'e yükseltme
  • Office 365 E5: Yalnız Defender for Office 365 Plan 2; uç nokta tarafı YOK
  • Microsoft 365 Business Premium: "Defender for Business" dahil (Plan 2'nin çoğu özelliği + 300 cihaz sınırı)
  • Standalone MDE Plan 2: Per user (5 cihaza kadar) veya per device (sunucu/paylaşılan cihaz)

Lisanslama

Lisans modeli

Per User (5 cihaza kadar) veya Per Device · NCE

Taahhüt seçenekleri
  • Aylık
  • 1 yıl

M365 E5 içinde gömülüdür. E3’e add-on; standalone da satın alınır. NCE (New Commerce Experience): 7 gün içinde lisans iptal/azaltma; sonrası taahhüt sonuna kadar kilitlidir. Yıllık taahhütte aylık%ye göre belirgin indirim olur.

Kim İçin Uygundur?

Kurumsal güvenlik ekipleri500+ uç noktaKVKK + ISO 27001 denetimleriSOC kuran kurumlar

Sıkça Sorulan Sorular

Defender for Endpoint P1 yetmez mi?

KOBİ ölçeğinde sade ihtiyaç varsa P1 yetebilir. Ancak gerçek saldırı senaryosunda EDR + otomatik soruşturma çoğu zaman fark yaratır. SOC veya analist ekibi varsa P2 kaçınılmaz.

Linux ve Mac destekliyor mu?

Evet. Windows 10/11, Windows Server (2012 R2+), macOS, Ubuntu/RHEL/SUSE/Oracle Linux, iOS/Android.

Sophos veya Kaspersky’den geçiş?

Eski ajan kaldırılır → Defender ajan dağıtımı (Intune veya GPO) → 2 hafta paralel “audit” mode → enforce. Xen Bilişim bu geçişi downtime-sız yönetir.

Hangi M365 paketinde dahili?

Microsoft 365 E5 ve Microsoft 365 E5 Security içinde dahildir. Business Premium “Defender for Business” içerir (ayrı, sade ürün).

KVKK denetiminde rapor sunabilir miyim?

Evet. Defender 30 günlük detaylı telemetri, KQL ile özel rapor + Microsoft 365 Defender portalından PDF ihracı sağlar. KVKK Kurul talepleri için yeterli detay.

F2 vs P2 farkı kısaca?

F2: frontline kullanıcı (sınırlı yönetim derinliği). P2: tam kurumsal yetenek + hunting + TVM.

Xen Bilişim Devreye Alım Süreci

  1. 1. Keşif & boyutlandırma: Mevcut altyapı, kullanıcı sayısı, OS/bulut dağılımı ve uyum gereksinimleri analiz edilir; doğru SKU ve lisans adedi önerilir.
  2. 2. Pilot kurulum: 10-25 cihazlık alt küme devreye alınır; mevcut güvenlik stack ile entegrasyon test edilir; alarm + raporlama yapılandırılır.
  3. 3. Tam yaygınlaştırma (rollout): Faz faz tüm endpoint'lere açılır; politika şablonları uygulanır; kullanıcı eğitimi + IT runbook teslim edilir.
  4. 4. Optimizasyon & takip: Devreye alımdan sonra 90 günlük ince ayar: false-positive triajı, politika sıkılaştırma, KPI gözden geçirme ve çeyrek bazlı sağlık kontrolü.

Tipik uçtan uca süre: 2-4 hafta (kullanıcı sayısı ve entegrasyon kapsamına göre değişir).

Microsoft Defender for Endpoint Plan 2 için ihtiyacınıza özel teklif alın