Bizi Takip Edin :
Kurumsal Genişletilmiş Algılama-Yanıt · Güvenlik & Uyum

Microsoft Defender Suite (XDR)

Son inceleme:

Microsoft Defender Suite, dört Defender ürününün (Endpoint P2, Office 365 P2, Identity, Cloud Apps) birlikte korelasyonlu çalıştığı XDR (Extended Detection and Response) paketidir. Saldırı zinciri e-posta yoluyla başlayıp uç noktaya bulaştığında, oradan AD’ye sıçradığında, son olarak SaaS uygulamasından veri sızdırdığında — Defender XDR tek bir “incident” olarak gösterir, otomatik soruşturma yapar, otomatik yanıt zinciri tetikler.

Office 365 P2

Safe Links, Safe Attachments, Attack Simulator, otomatik soruşturma.

Endpoint P2

Uç nokta EDR, TVM, ASR, hunting.

Identity

On-prem AD kimlik saldırıları (Kerberoasting, Golden Ticket).

Cloud Apps (CASB)

SaaS keşfi + kontrolü.

Defender XDR nedir, dört ürünü nasıl birleştirir?

Microsoft Defender XDR (eski adıyla Microsoft 365 Defender), dört ayrı Defender ürününün telemetrisini tek bir korelasyon platformunda birleştiren XDR (Extended Detection and Response) çözümüdür. Resmi mimari dokümantasyonu Microsoft Learn Defender XDR overview sayfasında.

  • Defender for Endpoint Plan 2: Uç nokta EDR, davranışsal analiz, Threat & Vulnerability Management, Advanced Hunting (KQL), Sandbox detonation.
  • Defender for Office 365 Plan 2: E-posta + Teams + SharePoint güvenliği, Safe Links, Safe Attachments, Attack Simulator, Threat Explorer, AIR (otomatik soruşturma + yanıt).
  • Defender for Identity: Şirket içi Active Directory üzerinden gelen kimlik tabanlı saldırılar — Pass-the-Hash, Golden Ticket, Kerberoasting, lateral movement tespiti.
  • Defender for Cloud Apps (CASB): SaaS uygulama keşfi (Shadow IT), oturum kontrolü, SSPM (SaaS Security Posture Management), dosya kontrolü.
  • Korelasyon platformu (security.microsoft.com): Dört ürünün incident'larını "saldırı zinciri" görünümüyle birleştirir, otomatik soruşturma çalıştırır.

XDR'ın gerçek değeri korelasyondadır. Tek bir saldırı senaryosu — phishing e-posta → tıklanan zararlı dosya → uç nokta enfeksiyonu → AD lateral movement → SaaS veri sızdırma — dört ürün tarafından farklı katmanlarda yakalanır ve tek bir saldırı zinciri olarak gösterilir. Analist soruşturma → kontrol altına alma → temizleme akışını tek konsoldan yapar.

XDR vs Bireysel Defender ürünleri

Defender for Endpoint Plan 2'yi tek başına almak da güçlü bir EDR sağlar. Defender Suite'in farkı korelasyonda yatar:

SenaryoSadece MDE P2Defender Suite (XDR)
Uç nokta zararlı çalışıyor✓ EDR tespit + yanıt✓ Aynı + saldırının e-posta kaynağı korelasyon
E-posta ile gelen phishingEtki uç noktada görünürE-posta → tıklanan link → uç nokta zinciri tek incident
Lateral movement (AD üzerinden)Tespit edemez (AD görmüyor)Defender for Identity tespit eder + endpoint yanıt
SaaS'tan veri sızıntısıTespit edemezDefender for Cloud Apps tespit + DLP otomatik tetik
Threat hunting kapsamıSadece uç nokta KQLEndpoint + Office + Identity + Cloud Apps birleşik KQL
Otomatik yanıt (AIR)Uç nokta içinDört ürün arası — e-postayı sil + cihazı izole et + kullanıcıyı kilitle

Microsoft 365 E5 ile aynı şey mi?

Hayır, ama yakın akraba. Defender Suite, Microsoft 365 E5'in güvenlik bileşenidir. Eğer M365 E5 alıyorsanız Defender Suite'in dört ürünü zaten lisansınızda dahildir.

  • Microsoft 365 E5: Office uygulamaları + Exchange + Teams + SharePoint + Defender Suite + Purview Suite + Power BI Pro + Teams Phone + Entra ID P2 + Windows 11 Enterprise — yatay olarak çok geniş paket.
  • Microsoft 365 E5 Security (standalone Defender Suite): Sadece güvenlik bileşenleri — Defender Endpoint P2, Office P2, Identity, Cloud Apps + Entra ID P2. Office, Windows, Purview Suite YOK.
  • Office 365 E5: Office tarafı + Defender for Office P2 dahil ama Endpoint, Identity, Cloud Apps YOK — XDR korelasyonu kuramaz.
  • Karar: Sıfırdan tam paket isteyen M365 E5'e, mevcut M365 E3 üzerine güvenlik ekleyecekler M365 E5 Security add-on'a yönelir.

Hangi kurum için doğru?

  • Yüksek tehdit profilli sektörler: Finans, savunma, kamu, kritik altyapı, sağlık — APT (Advanced Persistent Threat) hedefi olabilen kurumlar.
  • Hibrit Active Directory + Cloud kimlik kullanan büyük yapılar: Şirket içi AD üzerinden kimlik temelli saldırı yüzeyi geniş; Defender for Identity bu katmanı görür.
  • Yoğun SaaS kullanımı, Shadow IT endişesi: Çalışanların onaylı/onaysız bulut uygulamalarına aldığı erişimin envanteri + kontrolü — Defender for Cloud Apps CASB rolü.
  • Dahili SOC veya SIEM kuran kurumlar: Tek konsolda korelasyon avantajı; ayrı SIEM (Sentinel) ile entegrasyon kolaylığı.
  • 1000+ uç nokta yöneten kuruluşlar: Tek tek Defender ürünleri yerine paket fiyatlandırma daha ekonomik.
  • Üçüncü taraf EDR'dan geçiş düşünenler: CrowdStrike, SentinelOne sözleşme bitişinde Defender XDR alternatif olarak değerlendirilir.

Yapılandırma ve operasyon

Defender Suite lisansının alınması koruma sağlamaz — yapılandırma şarttır:

  • Onboarding sırası: 1. Endpoint cihaz kaydı (Intune veya direkt), 2. Office 365 anti-phishing politikaları, 3. AD sensor kurulumu (Identity için), 4. Cloud Apps connector'ları (Microsoft 365, AWS, GCP, Salesforce, Box vb.).
  • Attack Surface Reduction (ASR) kuralları: Office makro engelleme, e-postadan script çalıştırma engelleme, gelişmiş hedefli koruma — varsayılan kapalı, manuel açılır.
  • Sensitivity Labels + DLP politika hizalama: Veri sınıflandırma Defender Cloud Apps ile birleştirilince oturum tabanlı veri dışarı çıkış kontrolü mümkün.
  • Advanced Hunting: KQL ile özel sorgular, Microsoft'un public threat intel feed'leri ile entegre.
  • Microsoft Sentinel entegrasyon (opsiyonel): Tüm Defender telemetrisi Sentinel SIEM'e akabilir — uzun süreli retention + cross-source korelasyon.
  • Xen Bilişim MDR seçeneği: SOC kurmak yerine yönetilen tespit-yanıt hizmet kapsamında Defender XDR ortamınız izlenir.

Lisanslama

Lisans modeli

Per User Per Month · NCE

Taahhüt seçenekleri
  • Aylık
  • 1 yıl

Microsoft 365 E5 ve Microsoft 365 E5 Security paketlerinde dahildir; ayrıca standalone Defender Suite olarak da alınabilir. Güncel fiyat ve karşılaştırma için CSP iş ortağınızdan veya Microsoft'un resmi Defender XDR sayfasından teyit alın. NCE (New Commerce Experience): 7 gün içinde lisans iptal/azaltma; sonrası taahhüt sonuna kadar kilitlidir. Yıllık taahhütte aylık%ye göre belirgin indirim olur.

Kim İçin Uygundur?

Yüksek tehdit profili sektör1000+ kullanıcıSOC veya SIEM kuran kurumXDR korelasyon hedefliÜçüncü taraf EDR'dan geçişHibrit AD + Cloud kimlik

Sıkça Sorulan Sorular

M365 E5 alırsam Defender Suite'i ayrıca almama gerek var mı?

Hayır. Microsoft 365 E5, Defender Suite'in tüm dört ürününü (Endpoint P2, Office P2, Identity, Cloud Apps) içerir + ayrıca Purview Suite, Power BI Pro, Teams Phone, Entra ID P2, Windows 11 Enterprise eklenir. Standalone Defender Suite (M365 E5 Security) sadece güvenlik bileşenleri isteyen kuruluşlar için.

Mevcut Defender Endpoint P2 lisansım var, Suite'e geçiş nasıl?

Mevcut MDE P2 yatırımı Defender Suite'e dahil olur; Suite'e geçişte Endpoint kapsamı korunur, üzerine Office P2 + Identity + Cloud Apps eklenir. Tipik geçiş: 1. Office P2 politika yapılandırması, 2. AD sensor kurulumu (Identity), 3. Cloud Apps connector'ları. Saldırı görünürlüğü 1-2 hafta içinde anlamlı şekilde artar.

SOC ekibimiz yok, anlam ifade eder mi?

Defender XDR otomatik soruşturma + yanıt zincirleri sayesinde 7/24 SOC olmadan da pek çok saldırıyı tek başına durdurur. Yine de "kim alarm gördü, kim yanıt verdi?" sorusu cevapsız kalır. Xen Bilişim MDR (Managed Detection & Response) hizmeti ile birleştirildiğinde 7/24 izleme + threat hunting + ileri yanıt sağlanır. Bu, kendi SOC kurmaktan çok daha düşük yatırımla kurumsal SOC düzeyi koruma getirir.

Defender XDR ile Microsoft Sentinel farkı nedir?

Defender XDR: dört Defender ürününün korelasyon platformu. Sentinel: SIEM/SOAR — tüm log kaynakları (Defender + on-prem + 3rd party firewall + custom uygulamalar + Linux sunucular) bir araya gelir, uzun süreli retention, gelişmiş analitik. İkisi entegre çalışır: Defender XDR Sentinel'e akar, Sentinel'den geri otomasyon Defender'a tetiklenebilir.

CrowdStrike veya SentinelOne kullanıyoruz, Defender Suite'e geçiş mantıklı mı?

Karar kuruma özel. CrowdStrike ve SentinelOne premium EDR'lar — davranış analizi çok güçlü, vendor odaklı SOC servisi sunarlar. Defender Suite'in farkı: Microsoft 365 ekosistemiyle derin entegrasyon (e-posta, AD, SaaS), tek lisans modeli, M365 E5 ile birlikte alındığında ekonomik. Sözleşme yenileme döneminde TCO + kapsam karşılaştırması yapılır. Hibrit kullanım da mümkün: CrowdStrike uç nokta + Defender Office/Identity gibi.

Defender for Cloud Apps gerçekten Shadow IT'yi keşfeder mi?

Evet — log analizinden. Firewall, proxy veya Defender for Endpoint log'larını işleyerek çalışanların onaylı/onaysız kullandığı 30.000+ SaaS uygulamasını tespit eder. Her uygulamanın risk skorunu (Cloud App Catalog'tan) sunar; yüksek riskli olanlar bloklanır veya oturum kontrolüne alınır. Detay: Defender for Cloud Apps docs.

Xen Bilişim Devreye Alım Süreci

  1. 1. Keşif & boyutlandırma: Mevcut altyapı, kullanıcı sayısı, OS/bulut dağılımı ve uyum gereksinimleri analiz edilir; doğru SKU ve lisans adedi önerilir.
  2. 2. Pilot kurulum: 10-25 cihazlık alt küme devreye alınır; mevcut güvenlik stack ile entegrasyon test edilir; alarm + raporlama yapılandırılır.
  3. 3. Tam yaygınlaştırma (rollout): Faz faz tüm endpoint'lere açılır; politika şablonları uygulanır; kullanıcı eğitimi + IT runbook teslim edilir.
  4. 4. Optimizasyon & takip: Devreye alımdan sonra 90 günlük ince ayar: false-positive triajı, politika sıkılaştırma, KPI gözden geçirme ve çeyrek bazlı sağlık kontrolü.

Tipik uçtan uca süre: 2-4 hafta (kullanıcı sayısı ve entegrasyon kapsamına göre değişir).

Microsoft Defender Suite (XDR) için ihtiyacınıza özel teklif alın