Sophos MDR ve XDR Arasındaki Farklar Nelerdir?

Sophos MDR (Managed Detection and Response) ve Sophos XDR (Extended Detection and Response), modern siber tehditlere karşı geliştirilen iki farklı güvenlik yaklaşımıdır. XDR, kurumun güvenlik verilerini bir araya getirerek tehditlerin tespit edilmesini ve analiz edilmesini sağlarken; MDR ise bu teknolojiyi, 7/24 çalışan uzman güvenlik analistleri tarafından yönetilen aktif tehdit izleme ve müdahale hizmetiyle birleştirir. Kurumun teknik kapasitesi, güvenlik ekibinin büyüklüğü ve müdahale beklentisi hangi çözümün daha uygun olduğunu belirleyen en önemli kriterlerdir.

Sophos MDR ve XDR Nedir?

Günümüzde yalnızca antivirüs kullanmak artık gelişmiş siber saldırıları durdurmak için yeterli değildir. Fidye yazılımları, kimlik avı saldırıları, dosyasız zararlılar (Fileless Malware), Active Directory saldırıları ve Living off the Land (LotL) teknikleri klasik güvenlik çözümlerini aşabilmektedir.

Bu nedenle Sophos, kurumlara iki farklı güvenlik yaklaşımı sunmaktadır:

  • Sophos XDR
  • Sophos MDR

İki çözüm de Sophos Central platformu üzerinden yönetilir ve aynı güvenlik altyapısını kullanabilir. Ancak çalışma modeli tamamen farklıdır.

Sophos XDR Nedir?

Sophos XDR (Extended Detection and Response), uç nokta, firewall, sunucu, e-posta ve diğer güvenlik bileşenlerinden gelen olayları tek merkezde ilişkilendirerek güvenlik ekiplerinin detaylı tehdit analizi yapmasını sağlayan gelişmiş bir güvenlik platformudur.

XDR çözümünde;

  • Güvenlik olaylarını sistem toplar.
  • Olayları ilişkilendirir.
  • Risk skorlarını oluşturur.
  • Güvenlik ekibine analiz araçları sunar.

Ancak tehdide müdahale etme sorumluluğu kurumun BT veya SOC ekibine aittir.

Microsoft Defender, Microsoft 365, AWS, Azure, Google Workspace ve çok sayıda üçüncü parti güvenlik ürünü de Sophos XDR ile entegre çalışabilir. Sophos’un resmi ürün dokümantasyonunda da belirtildiği gibi XDR, yalnızca Sophos ürünlerinden değil desteklenen üçüncü taraf kaynaklardan da telemetri toplayabilir.

Sophos MDR Nedir?

Sophos MDR (Managed Detection and Response), XDR teknolojisinin üzerine eklenen tam yönetilen güvenlik operasyon hizmetidir.

Bu modelde yalnızca yazılım değil;

  • 7/24 çalışan güvenlik analistleri
  • Tehdit avcılığı (Threat Hunting)
  • Olay analizi
  • Alarm doğrulama
  • Aktif müdahale
  • Zararlı izolasyonu
  • Acil durum yönetimi

hizmeti de sunulur.

Sophos’un resmi MDR hizmet tanımında belirtildiği gibi uzman analistler kritik olayları doğrular, gerekli durumlarda müşteri adına müdahale eder veya önceden belirlenen yetki seviyesine göre sistemi koruma altına alır.

Sophos MDR ile XDR Arasındaki Temel Farklar

Özellik Sophos XDR Sophos MDR
Tehdit tespiti
Log analizi
Telemetri toplama
Olay korelasyonu
Canlı tehdit avcılığı Kurum yapar Sophos analistleri yapar
7/24 izleme Kurum sorumludur Sophos SOC tarafından sağlanır
Alarm doğrulama Kurum yapar Sophos yapar
Olay müdahalesi Kurum yapar Sophos yapabilir
Zararlı izolasyonu Manuel Otomatik veya onaylı
Güvenlik uzmanı gerektirir Evet Hayır

XDR Nasıl Çalışır?

XDR platformu birçok farklı kaynaktan veri toplar.

Örneğin;

  • Sophos Endpoint
  • Sophos Firewall
  • Windows Event Logs
  • Active Directory
  • Microsoft Defender
  • Microsoft 365
  • AWS
  • Azure
  • DNS kayıtları
  • Ağ trafiği

Tüm bu veriler tek merkezde analiz edilir.

Ardından;

  • IOC analizi
  • MITRE ATT&CK eşleştirmesi
  • Kullanıcı davranış analizi
  • Şüpheli süreçler
  • PowerShell aktiviteleri
  • Lateral Movement
  • Credential Theft

gibi olaylar tespit edilir.

BT ekibi daha sonra Live Discover sorguları ile sistemi inceleyebilir.

MDR Nasıl Çalışır?

MDR servisinde aynı veriler Sophos Security Operations Center (SOC) tarafından da analiz edilir.

İş akışı şu şekildedir:

  1. Telemetri toplanır.
  2. AI destekli analiz yapılır.
  3. Şüpheli olay oluşur.
  4. Güvenlik analisti olayı inceler.
  5. False Positive kontrol edilir.
  6. Gerçek saldırı doğrulanır.
  7. Gerekirse müdahale edilir.
  8. Müşteriye rapor gönderilir.

Bu yapı özellikle mesai dışındaki saldırılarda büyük avantaj sağlar.

XDR Kimler İçin Uygundur?

Aşağıdaki kurumlar için XDR daha uygun olabilir:

  • Güçlü BT ekibi bulunan şirketler
  • SOC ekibi olan kurumlar
  • Büyük veri merkezleri
  • Güvenlik uzmanı bulunan kuruluşlar
  • Olay analizini kendi yapmak isteyen firmalar

MDR Kimler İçin Daha Uygundur?

MDR özellikle;

  • KOBİ’ler
  • Belediyeler
  • Hastaneler
  • Eğitim kurumları
  • Üretim tesisleri
  • Finans şirketleri
  • Güvenlik uzmanı olmayan kurumlar

için oldukça avantajlıdır.

Sophos MDR Müdahale Edebilir mi?

Evet.

Ancak bu tamamen müşterinin seçtiği servis seviyesine bağlıdır.

Genellikle;

  • Notify Only
  • Collaborate
  • Authorize
  • Full Response

şeklinde farklı müdahale yetkileri tanımlanabilir.

Böylece Sophos analistleri müşteri adına;

  • Endpoint izolasyonu
  • Zararlı sürecin durdurulması
  • Dosya karantinaya alınması
  • Kullanıcı hesabının devre dışı bırakılması

gibi işlemleri gerçekleştirebilir.

Sophos XDR’da Live Discover Nedir?

Live Discover, Sophos XDR’ın en güçlü özelliklerinden biridir.

SQL benzeri sorgular kullanılarak;

  • çalışan servisler
  • registry kayıtları
  • USB geçmişi
  • oturum açan kullanıcılar
  • ağ bağlantıları
  • PowerShell süreçleri
  • çalışan uygulamalar

anlık sorgulanabilir.

Örnek sorgu:

SELECT name, path, pid

FROM processes;

Aktif ağ bağlantılarını listelemek için:

SELECT *

FROM listening_ports;

Yüklü yazılımları görmek için:

SELECT *

FROM programs;

Not: Live Discover sorguları Sophos Central üzerinden çalıştırılır. Sorguların kapsamı kullanılan işletim sistemi (Windows, macOS veya Linux) ve etkin veri toplayıcılarına göre değişebilir.

Sophos XDR ile Hangi Tehditler Yakalanabilir?

XDR;

  • Ransomware
  • Cobalt Strike
  • Mimikatz
  • PowerShell saldırıları
  • Living Off The Land saldırıları
  • Credential Dumping
  • DLL Hijacking
  • Lateral Movement
  • Command & Control bağlantıları
  • Şüpheli DNS trafiği

gibi gelişmiş saldırıları ilişkilendirilmiş telemetri sayesinde görünür hale getirebilir.

Sophos MDR’ın Avantajları

  • 7/24 SOC desteği
  • Sürekli tehdit avcılığı
  • İnsan analist doğrulaması
  • Yanlış pozitiflerin azaltılması
  • Daha hızlı müdahale
  • Güvenlik uzmanı ihtiyacını azaltması
  • Ayrıntılı olay raporları
  • Üçüncü taraf güvenlik ürünleriyle entegrasyon

Hangi Lisans Tercih Edilmeli?

Kurum Yapısı Önerilen Çözüm
Güçlü SOC ekibi bulunan büyük işletmeler Sophos XDR
Güvenlik operasyon merkezi olmayan KOBİ Sophos MDR
7/24 güvenlik ihtiyacı olan kurumlar Sophos MDR
Olay analizini kendi yapmak isteyen kurumlar Sophos XDR
Sınırlı BT personeline sahip işletmeler Sophos MDR

Windows, macOS ve Firewall Entegrasyonu

Sophos XDR ve MDR yalnızca Windows istemcileriyle sınırlı değildir. Desteklenen platform ve entegrasyonlar lisans kapsamına ve kullanılan ürünlere göre değişebilir.

Platform XDR Desteği MDR Desteği
Windows
macOS
Linux Server
Sophos Firewall
Microsoft 365
Microsoft Defender
AWS / Azure

Sophos Firewall ile entegrasyon sayesinde ağ trafiği, IPS olayları, uygulama kontrol kayıtları ve bağlantı bilgileri XDR analizlerine dahil edilebilir. Sophos’un ürün dokümantasyonunda bu entegrasyonların desteklenen sürümler ve lisans tiplerine göre değişebileceği belirtilmektedir.

Geçiş Süreci Nasıl Yapılır?

XDR kullanan kurumlar ihtiyaç duyduklarında MDR hizmetine geçebilir.

Genel süreç şu şekildedir:

  1. Sophos Central lisans durumunu kontrol edin.
  2. MDR hizmet seviyesini belirleyin.
  3. Yetki (Authorize/Collaborate vb.) modelini seçin.
  4. Bildirim alacak kişi ve iletişim bilgilerini tanımlayın.
  5. Gerekli üçüncü taraf entegrasyonlarını doğrulayın.
  6. İlk güvenlik durumu değerlendirmesini tamamlayın.
  7. Alarm ve müdahale politikalarını gözden geçirin.

Ek bir ajan kurulumu gerekip gerekmediği mevcut ortam, lisans ve entegre edilen ürünlere göre değişebilir.

Dikkat Edilmesi Gerekenler

Uyarı: Sophos Endpoint, Sophos Firewall veya Sophos Central üzerinde ilke (policy), sertifika, izolasyon ayarları ya da güvenlik politikalarında değişiklik yapmadan önce mevcut yapılandırmanın yedeğini alın ve değişiklikleri bakım penceresinde uygulayın. Özellikle sertifika değişiklikleri, güvenli iletişimi ve istemci bağlantılarını etkileyebilir.

Sophos XDR ile Sophos MDR aynı güvenlik ekosisteminin parçaları olmasına rağmen kullanım amaçları farklıdır. XDR; olay görünürlüğü, telemetri analizi ve tehdit araştırması için güçlü araçlar sunarken, MDR bu yetenekleri deneyimli güvenlik analistlerinin 7/24 izleme, tehdit avcılığı ve aktif müdahalesiyle tamamlar. Güvenlik operasyon merkezi bulunan kurumlar XDR’dan maksimum verim alabilirken, sınırlı BT kaynağına sahip işletmeler için MDR, gelişmiş tehditlere karşı çok daha kapsamlı ve operasyonel açıdan sürdürülebilir bir koruma sağlayabilir.

Sık Sorulan Sorular 

Sophos MDR ile Sophos XDR aynı ürün müdür?

Hayır. XDR bir tehdit tespit ve analiz platformudur. MDR ise XDR teknolojisini kullanan, buna ek olarak 7/24 uzman güvenlik analistleri tarafından sunulan yönetilen tehdit tespit ve müdahale hizmetidir.

Sophos MDR kullanmak için Sophos Firewall şart mı?

Hayır. Sophos MDR yalnızca Sophos Firewall ile sınırlı değildir. Sophos Endpoint’in yanı sıra desteklenen Microsoft, bulut ve üçüncü taraf güvenlik ürünlerinden de telemetri alabilir. Ancak Sophos Firewall entegrasyonu daha zengin görünürlük sağlayabilir.

Sophos XDR kendi kendine saldırıyı durdurur mu?

XDR, politika ve ürün yeteneklerine bağlı olarak belirli otomatik aksiyonlar sağlayabilse de olayların araştırılması ve birçok müdahale işlemi kurumun güvenlik ekibi tarafından yürütülür. Tam zamanlı insan analist desteği MDR hizmetinin temel farkıdır.

Küçük işletmeler için MDR gerekli midir?

Eğer kurumda 7/24 çalışan bir güvenlik ekibi veya SOC bulunmuyorsa, MDR hizmeti uzman analist desteği sayesinde özellikle fidye yazılımı ve gelişmiş saldırılara karşı önemli bir avantaj sağlar.

Sophos MDR ve XDR birlikte kullanılabilir mi?

Evet. Sophos MDR, XDR teknolojisini temel alır. Kurumlar ihtiyaçlarına göre yalnızca XDR kullanabilir veya aynı altyapıyı Sophos MDR hizmetiyle destekleyerek yönetilen güvenlik operasyonlarından yararlanabilir.