Van’daki bir özel hastane grubu (3 hastane, 1.800 endpoint, hassas hasta verisi), eski geleneksel AV yerine Microsoft Defender for Endpoint (MDE) Plan 2’ye 5 ayda geçti. Ransomware tatbikat sonrası gerçek detection sayıları aşağıda.
Defender for Endpoint Nedir?
Microsoft’un endpoint protection platformu (EPP) + endpoint detection & response (EDR) çözümü. Cloud-native, AI/ML tabanlı, MITRE ATT&CK mapping, otomatik response.
Geleneksel AV vs MDE
| Özellik | Geleneksel AV | MDE Plan 2 |
|---|---|---|
| Signature-based detection | ✓ | ✓ |
| Behavioral / ML | Sınırlı | Güçlü (cloud) |
| EDR (telemetry + investigation) | Yok | ✓ |
| Attack Surface Reduction (ASR) | Yok | ✓ (16 kural) |
| Auto-Investigation & Response (AIR) | Yok | ✓ |
| Threat & Vulnerability Mgmt (TVM) | Yok | ✓ |
| Threat hunting (KQL) | Yok | ✓ Advanced Hunting |
| MITRE ATT&CK mapping | Yok | ✓ |
| Microsoft 365 Defender entegre | Yok | ✓ (XDR) |
Onboarding Yöntemleri
| OS | Yöntem |
|---|---|
| Windows 10/11 | Intune / Group Policy / script |
| Windows Server | MDE script / Azure Arc |
| macOS | Intune / Jamf / manual |
| Linux | Script (apt/yum) |
| iOS/Android | Intune (mobile threat defense) |
Bu Vakada Roll-out Plan
| Hafta | Aksiyon |
|---|---|
| 1-2 | Lisans alımı, M365 Defender portal setup |
| 3-4 | Pilot 50 endpoint (BT departmanı + 1 doktor odası) |
| 5-6 | ASR rules audit mode (block etmeden gözlem) |
| 7-10 | Tüm 1.800 endpoint Intune ile onboarding |
| 11-14 | ASR rules block mode (kademeli) |
| 15-16 | AIR enable + tuning |
| 17-20 | Sentinel entegrasyon + custom alert |
Attack Surface Reduction (ASR) Kuralları
| Kural | Mode |
|---|---|
| Office app create child process | Block |
| Office app inject into other process | Block |
| Office macro Win32 API çağrı | Block |
| Email attachment exec content | Block |
| Obfuscated script exec | Block |
| JS/VBS dl exec content | Block |
| Adobe Reader child process | Block |
| Untrusted USB exec | Block |
| WMI persistence | Block |
| Credential stealing (LSASS) | Block |
| Ransomware advanced (use cloud) | Block |
| … 5 daha | Audit / block |
ASR kuralları audit mode’da 4 hafta gözlem → false positive temizlik → block mode.
Auto-Investigation & Response (AIR)
Alert tetiklenir → AIR otomatik:
1. Evidence topla (process tree, network conn, file hash)
2. Severity skor hesapla
3. Otomatik action öner:
- Quarantine file
- Stop process
- Isolate device
- Remove file/regkey
4. Düşük risk → tam otomatik
5. Yüksek risk → SOC analyst onay sonrası
Bu vakada 5 ay sonuç:
- Toplam alert: 14.280
- AIR otomatik kapadı: 12.840 (%~~90)
- SOC manuel review: 1.440
- True positive (gerçek incident): 87
- False positive: 6 (ASR tuning sonrası)Gerçek Incident: Wannacry Variant
Hafta 11, 14:32
- Doktor odası endpoint (HOST-DR-218)
- Email attachment (.zip → .js)
- JS execute → şifreleme başladı
Defender Reaction (otomatik, 3.2 saniye):
- ASR rule: "JS dl exec content" → block
- Process kill (wscript.exe)
- Behavioral: ransomware-like file activity → quarantine
- Cloud delivered protection: hash bilinen ransomware → block
- Endpoint isolate (network)
- Alert SOC + AIR çalıştı
SOC analyst (10 dk sonra):
- AIR raporu inceledi
- Etkilenen 4 dosya restore (Defender quarantine'dan)
- Endpoint clean → isolation kaldır
- Doktor 12 dk içinde tekrar çalışıyor
Etki:
- Veri kaybı: 0
- Lateral movement: 0
- Diğer endpoint etki: 0
- Eğer eski AV olsaydı: tahmini ~~~~50-100 endpoint şifrelenirdi (lateral via SMB)Threat & Vulnerability Management
TVM dashboard:
- Exposure score: 47/100 (başlangıç)
- Top vulnerability: Adobe Reader CVE-XXXX
- Recommendation: 23 high-priority patch
5 ay sonra:
- Exposure score: 18/100 (iyi)
- Patched: 178 CVE
- Open high-risk: 3Advanced Hunting (KQL)
// Suspicious PowerShell encoded command
DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName == "powershell.exe"
| where ProcessCommandLine contains "-EncodedCommand"
or ProcessCommandLine contains "-enc "
| project Timestamp, DeviceName, AccountName, ProcessCommandLine
| join kind=inner DeviceLogonEvents on DeviceId
| summarize count() by DeviceName, AccountName
// Suspicious LSASS access
DeviceEvents
| where ActionType == "OpenProcessApiCall"
| where InitiatingProcessFileName !in ("lsass.exe","System")
| where AdditionalFields contains "lsass.exe"
| project Timestamp, DeviceName, InitiatingProcessFileName, ProcessCommandLineSentinel + MDE Entegrasyon
MDE alert’leri Sentinel’a sync edildi → cross-source correlation (Entra ID sign-in + email attachment + endpoint behavior). XDR pattern.
Sonuçlar (5 Ay)
| Metrik | Önce | Sonra |
|---|---|---|
| Detection coverage | ~~%~~62 (signature) | ~~%~~95+ (behavioral + cloud) |
| MTTD (mean time to detect) | ~~saatler-günler | ~~~~saniye-dakika |
| MTTR (mean time to respond) | ~~~~4-8 saat | ~~~~10-30 dk |
| Ransomware tatbikat etki | ~~~~50+ endpoint | 0 (isolated) |
| Lisans | 3 vendor (~~$8K/yıl) | 1 (M365 E5 dahil) |
Sahada Düşülen Üç Tuzak
- ASR rules audit mode’u atlamak: Block direkt → meşru iş app’leri durur. 4 hafta audit + tuning şart.
- AIR’ı kapatmak / gözlem mode’da bırakmak: AIR olmadan SOC 14K alert’te boğulur. Düşük risk auto-remediation şart.
- Geleneksel AV ile birlikte çalıştırmak: İkili AV çakışır + performans düşer. Geleneksel AV uninstall + sadece MDE.
CloudSpark olarak Microsoft Defender for Endpoint (Plan 1/2) lisanslama, onboarding, ASR rules tuning, Auto-Investigation & Response, Advanced Hunting (KQL) ve Sentinel XDR entegrasyonu için danışmanlık veriyoruz.
