11 boyut boyunca dört önde gelen zafiyet yönetimi aracını karşılaştırdık. Sonuçlar, 'zafiyet yönetimi'nin dört satıcıya dört farklı şey ifade ettiği bir piyasayı ortaya koyuyor. Bazıları CVE-öncelikli tespit pipeline'ları oluştururken; diğerleri risk için bir proxy olarak yama kullanılabilirliğini takip eder; biri taramayı açıkça üçüncü taraf araçlara devreder.
Zafiyet yönetimi karşılaştırma sonuçları
Araçlar | Deneme erişimi | Tespit gecikmesi | Tespit doğruluğu | Yama ve düzeltme | Uyarı ve bildirimler | Endpoint ayak izi | Cihaz tipi kapsamı |
|---|---|---|---|---|---|---|---|
Satış odaklı, saatler–günler | Envanter: 35sn; CVE korelasyonu: ~24sa | Sadece yama kataloğu; deneme CVE beslemesi pasif | Politika yapısı mevcut; dağıtım test edilmedi (Sistem Yöneticisi gerekli) | Aktivitelerde Zafiyet kategorisi yok; VM uyarı oluşturmuyor | 116 MB zirve | Win/Lin/Mac + iOS/Android + Hyper-V/VMware + bulut monitörü | |
ManageEngine VMP | Kendi kendine hizmet, dakikalar | 5–6 dk (manuel); 90 dk auto; ~25sa yeni CVE beslemesi | NVD beslemesi, yama kataloğundan bağımsız | 106.973 kataloğu; geri alma + SSP ile sihirbaz | Giden kanal yok, tüm katmanlarda SMTP yok | 26 MB bekleme (istek üzerine başlatma) | Windows + Linux + macOS; mobil/virtual yok |
Automox | Kendi kendine hizmet, 2FA + iş e-postası | CVE tespiti yok | Sadece yama kataloğu; LibreOffice + Firefox ESR kör noktaları doğrulandı | Patch Tuesday bilinci; Qualys/Tenable/Rapid7'den CSV içe aktarma | Çoklu kanal iddia edildi; konsolda doğrulanmadı | 8.8 MB zirve: grupta en hafifi | Windows + Linux + macOS; mobil/virtual yok |
Action1 | Kendi kendine hizmet, dakikalar | Windows ≤11 dk; Linux: CVE çıktısı yok | Windows: tam CVE pipeline'ı; Linux: sadece sürüm farkı | 1-dk dağıtım; P2P LAN; yeniden başlatma orkestrasyonu; Windows devralma | E-posta; tek alıcı; sessiz bastırma | 51.7 MB stabil; ortalama 0.013% CPU | Windows + Linux + macOS; mobil/virtual yok |
Temel bulgular
- Automox ve NinjaOne, CVE-NVD sürüm eşleştirmesi yerine yama kataloğu kullanılabilirliğine dayalı olarak zafiyetleri işaretler. Bir yazılım sürümü için kataloğlarında güncelleme yoksa, araç gerçek CVE sayısına bakılmaksızın "Bilinen CVE Yok" bildirir. LibreOffice 7.1.8.1 (100+ belgelenmiş CVE) ve Firefox ESR 115.12.0 her ikisi de bu nedenle Automox'ta "Bilinen CVE Yok" döndürdü. ManageEngine ve Action1 bağımsız CVE beslemeleri kullanır ve yama mevcut olsun ya da olmasın zafiyetleri raporlar.
- Hiçbir araç, paket yöneticisi dışına kurulan yazılımı tespit etmez.
/opt/'a çıkarılan ikili dosyalar, kaynaktan derlenenler veya resmi paket depoları dışındaki satıcılar tarafından dağıtılanlar, dört aracın tamamı için görünmezdir. ManageEngine ve NinjaOne, dpkg listelenen paketler için CVE'leri eşleştirir. Action1 dpkg paketlerini envanterleştirir ancak Linux için bunlar için CVE verisi döndürmez. Automox'un hiç bağımsız CVE tespiti yoktur. - NinjaOne'nin VM modülü uyarı oluşturmaz ve rapor şablonu yoktur. Uyarı çerçevesi, Windows Patch Management, Bitdefender ve CrowdStrike dahil 13 kategori listeler. Zafiyet ve CVE bunlar arasında değildir. Rapor kataloğu, 10 bölümlük bir Yama Uyumluluğu şablonu içerir ancak zafiyet yönetimi için eşdeğeri yoktur.
- Automox, CVE'leri tespit etmek için harici bir tarayıcı gerektirir. Düzeltmeler sayfası, Qualys, Tenable, Rapid7 veya CrowdStrike'dan CSV dışa aktarımlarını içe aktarır, ardından bu CVE'leri kendi yama kataloğuyla eşleştirir. Bağımsız bir tespit gerçekleştirmez.
- ManageEngine ve Automox'un giden uyarı kanalı yoktur. ManageEngine'in hiçbir katmanda SMTP yapılandırması yok: genel ayarlar, kullanıcı başı tercihler veya rapor başı teslimat. Automox'un web dokümantasyonu Slack, Teams ve webhook desteğini listeler, ancak bu test sırasında konsolda doğrulanmadı."
- NinjaOne, aynı Windows VM'e kurulduktan iki dakika sonra Automox'u kaldırdı. Aktiviteler günlüğü şunu kaydetti: "Yazılım kaldırıldı: 'Automox Agent', Kullanıcı: Sistem." Kaldırma eksikti: hizmet kaydı ve program dosyaları kaldı. Linux'ta ManageEngine, Action1 ve NinjaOne, bir ajanın diğerini kaldırmadan yan yana çalıştı.
Ölçülen metrikler
Tespit gecikmesi: Bilinen zafiyetli bir ikili dosya, kurulum tamamlanma zaman damgası saniyeye kadar kaydedilerek temiz bir endpoint'e kuruldu. Saat, CVE ürünün zafiyet panelinde göründüğünde durdu.
Tespit doğruluğu: İyi belgelenmiş CVE geçmişine sahip yazılımlar, üç yol üzerinden Windows ve Linux'a kuruldu: MSI/EXE (kayıt tabanlı), dpkg (paket yöneticisi) ve /opt/'a çıkarılan satıcı tar dosyası (paket yöneticisi dışında).
Endpoint ayak izi: Tüm ölçümler, cgroup seviyesinde sayfa önbelleğini hariç tutarak, işlem başına RSS (yerleşik küme boyutu) yakalamak için işlem seviyesinde pidstat kullandı. Windows ölçümleri, 10 dakikalık bir pencere boyunca her 5 saniyede bir örneklendirilen Get-Counter (\Process(*)\Working Set - Private) kullanıldı. ManageEngine'in istek üzerine başlatma tarama motoru, bekleme ve aktif bir tarama sırasında ayrı ayrı ölçüldü. Dört Linux ajanı da aynı Ubuntu 24.04 ana makinesinde eş zamanlı çalıştı; Windows ölçümleri ayrı bir Windows Server 2022 VM'de alındı.
Yama dağıtımı: Dağıtım süresi, UI onayından ürünün tamamlanmayı raporlamasına kadar ölçüldü. Dağıtımdan sonraki durum, yeniden başlatma gerektiren bir kurulumu tamamlamak için önemli bir ayrım olan "ikili dosyanın diske yazılması" ile "yamanın taahhüt edilip aktif olması" arasında ayırt etmek için doğrudan endpoint üzerinde Windows Güncelleme geçmişi üzerinden doğrulandı.
Deneme erişimi: Her deneme önce bir Gmail adresiyle, ardından Gmail reddedildiğinde kurumsal bir adresle denendi. Açılış sayfasından ajan yükleyicilerinin göründüğü kullanılabilir bir dashboard'a kadar olan adımlar sayıldı. Form gönderiminden ilk bağlı ajana kadar geçen süre kaydedildi.
Uyarı teslimi: Her üründe özel bir uyarı kuralı oluşturuldu ve bir yazılım kurulum olayı tarafından tetiklendi. Teslimat süresi ve e-posta içerik yapısı kaydedildi. Uyarıların ateşlemeyi durdurduğu yerlerde, nedeni belirlemek için ajan tarafı günlükleri incelendi.
En İyi Zafiyet Yönetimi Araçları
1. NinjaOne Zafiyet Yönetimi
NinjaOne, Mart 2026'da bir VM modülü ekleyen bir UEM/RMM platformudur. Yama yönetimi olgunlaşmıştır; zafiyet tespit katmanı değildir.
Deneme erişimi: NinjaOne satış odaklıdır. Deneme formunu gönderdikten sonra yanıt "Sizi kısa süre içinde arayacağız" oldu. Erişim, taze izole bir ortam yerine paylaşılan mevcut bir kiracıya eklenen bir Teknisyen olarak geldi.
Karşılama ekranı hemen şunu gösterdi: "Cihazları yönetmek için yetkiniz yok. Yardım için Sistem Yöneticinize başvurun." Cihaz dağıtımı Teknisyen rolü altında kullanılamıyordu.
Cihaz kapsamı: Cihaz ekle menüsü, test edilen diğer her araçtan daha fazlasını kapsar: bilgisayarlar (Windows, Linux, Mac), mobil cihazlar (Apple, Android), sanal altyapı (Hyper-V, VMware), bulut monitörleri (ping, port tarama, DNS, HTTP/HTTPS) ve ağ keşfi. Bu karşılaştırmadaki başka hiçbir araç buna yaklaşamaz.
Cihaz detayı: Her cihaz, tam donanım envanterinin yanı sıra CPU, bellek, disk ve ağ için canlı saatlik grafiklere sahiptir.
Detaylar bölümü, ayrı bir tarama çalıştırmadan açık portları satır içi sıralar: 3389'da RDP, 445'te SMB ve 10 diğer port.
Araçlar menüsü, tarayıcıdan erişilebilen Uzak Kayıt, Görev Yöneticisi, Dosya Gezgini ve Hizmet Yöneticisi sağlar, hepsi canlıdır. Tam uzak masaüstü, ayrı bir yerel istemci indirmesi gerektirir.
CVE tespiti: Yazılım envanteri Firefox'u 35 saniye içinde yakaladı. Zafiyetler sekmesi, hem Windows hem de Linux cihazlarında ve tüm filtreler temizlenmiş haldeyken 5. dakikada, 30. dakikada ve 3. saatte 0 sonuç gösterdi. Ajan tarafı CVE listesi dosyası, kurulum zamanından 5+ saate kadar 44 bayt olarak kaldı, değişmedi.
Sunucu tarafı CVE korelasyonu deneme sırasında hiç tetiklenmedi. Bunun bir deneme katmanı kısıtlamasını mı yoksa karşılanmamış bir yapılandırma gereksinimini mi yansıttığı belirlenemedi. Zafiyetler sekmesi, kaynaklar sütunu aracın kendi yama kataloğunu gösteren "NinjaOne Patching" ile yaklaşık 24 saat sonra ajan kurulumundan sonra 85 CVE ile doldu, NVD değil.
Uyarı entegrasyonu: Politika Aktiviteleri bölümü 13 uyarı kategorisi listeler: Bitdefender, CrowdStrike, SentinelOne, Webroot, ImageManager, Yedekleme, ShadowProtect, Yazılım, Sistem, Kullanıcı, Windows, Windows Yama Yönetimi ve Raid. Zafiyet veya CVE kategorisi yoktur. VM modülü uyarı oluşturmaz.
Raporlama: Rapor şablonu kataloğu, başarısız yamalar, bekleyen yamalar, kurulu yama yüzdeleri ve OS yama etkinleştirme kapsayan 10 bölümlü bir Yama Uyumluluğu şablonu içerir. Zafiyet Yönetimi şablonu yoktur.
Ajan davranışı diğer araçlara karşı: NinjaOne test Windows VM'inde kayıtlıydı. 11:31'de Aktiviteler günlüğü şunu kaydetti: "Yazılım kaldırıldı: 'Automox Agent', Sürüm: '2.5.70', Kullanıcı: '<Sistem>'" otomatik bir sistem işlemi yoluyla, kayıttan iki dakika sonra. Kaldırma eksikti; ayrıntılar için Temel Bulgular'a bakın.
Endpoint ayak izi: Linux ajanı zirve bellek: 116 MB. Windows: toplam yaklaşık 127 MB çalışma kümesi olan dört işlem, üç saat boyunca 92 saniye CPU.
NinjaOne, bir VM modülü ekleyen bir UEM/RMM platformudur. Ajanın yazılım envanter katmanı iyi çalışır; CVE korelasyon katmanı deneme dönemi boyunca pasif olan sunucu tarafı işlemlere bağlıdır.
Temel farklar:
- Yazılım envanteri doğru ve hızlıdır: Firefox 115.12.0 kurulumdan 35 saniye içinde dashboard'da göründü
- CVE korelasyonu test boyunca pasifti.
NinjaWPM-cve-patch-list.jsondosyası 5+ saat boyunca 44 bayt olarak kaldı; Zafiyetler sekmesi ajan kurulumundan yaklaşık 24 saat sonra 85 CVE ile doldu, "gerçek zamanlı yapay zeka destekli" konumlandırma ile tutarsız - En geniş cihaz tipi desteği: Windows, Linux, macOS, iOS, Android, Hyper-V, VMware, bulut ping izleme ve ağ keşfi
- VM modülü uyarı oluşturmaz (Aktiviteler uyarı çerçevesinde "Zafiyet" kategorisi yok) ve özel raporlama şablonu yoktur
- Windows'ta, ajan, Windows Server Politika kuralı yoluyla kurulumdan 2 dakika sonra Automox'u kaldırdı, yedek dosyalar bıraktı; Linux'ta eşdeğer davranış yok
2. ManageEngine Vulnerability Manager Plus
ManageEngine VMP, bu karşılaştırmadaki tek amaçlı zafiyet tarayıcısıdır. Tespit, yama kullanılabilirliğinden bağımsız olarak çalışır; yama mevcut olmasa bile zafiyetler raporlanır.
Deneme erişimi. Kendi kendine hizmet, satış teması gerekli değil. Kayıt formu Gmail'i kabul eder. Gönderildikten sonra dashboard, 30 günlük bir sayaçla hemen yüklenir. Bir demo isteği modalı görünür ancak görünür bir Atla düğmesine sahiptir; bir engel değildir. Arayüz, IP adresine göre Türkçe olarak yüklenir, bu karşılaştırmada İngilizce olmayan yerelleştirmeye sahip tek araçtır. AB bölge örneği otomatik olarak atanır.
Karşılama: Başlangıç ekranı dört iş akışı adımı gösterir: Önkoşullar, Yama Ayarları, Dağıtım ve Yama Yönetimi İş Akışı. Dördünden üçü yama odaklıdır. Çerçeve, gerçek zamanlı tespit değil, tespit-sonra-yamadır.
Dashboard: Bir Zafiyet Yaşı Matrisi şiddet × yaş kovaları ile bulguların ne kadar süredir açık olduğunu gösteren bir Zafiyetler sekmesinde açılır. En Son Güvenlik Haberleri beslemesi, canlı satıcı güvenlik uyarılarını sağ panele çeker.
Sistemler görünümü sol paneli cihazları operasyonel duruma göre böler: Son Derece Zafiyetli, Zafiyetli, Sağlıklı, Yeniden Başlatma Bekleniyor, Yama Dağıtımı Başarısız, Ajan İletişimi Olmayan Sistemler, EOL Sistemler ve Sıfırıncı Gün bulundu. Cihaz, ajan kurulumundan saniyeler içinde listede göründü.
İlk tarama iki geçişte çalışır. Bir banner, önce sınırlı sonuçların gösterildiğini doğrular; tam tarama dakikalar içinde tamamlanır. Eksik yamalar iki geçiş arasında 0'dan 8'e yükseldi.
Cihaz detayı: Cihaz detay görünümü, test edilen diğer her araçtan daha fazla alanı kapsar.
Özet sekmesi yan yana dört Tehdit Şiddeti donut'u gösterir: Yama, Yazılım Zafiyetleri, Sistem Yanlış Yapılandırmaları ve Web Sunucusu Yanlış Yapılandırması. Vahşi Windows Server 2022 test endpoint'i 7 eksik yama, 28 yazılım zafiyeti ve 54 yanlış yapılandırma gösterdi.
Yazılım ve Bileşenler sekmesi her satırda Eksik Yamalar, Kurulu Yamalar ve Zafiyet sayılarıyla her kurulu bileşeni listeler. Windows Server 2022'nin kendisi 16 zafiyet taşıyordu; OS görüntüsü ile birlikte gönderilen, kullanıcı tarafından kurulmayan Windows için Curl 10 zafiyet taşıyordu.
Zafiyetler sekmesi, her satırda Sömürü Durumu, Yama Kullanılabilirliği, CVSS 3.0 Puanı, Tespit Edilen Sürüm, Yayınlanma Tarihi ve Desteklenen Tarih ile bir CVE seviyesinde listedir. CVSS puanları, vahşi endpoint'te 4.3'ten 9.9'a kadar değişti.
Yamalar sekmesi, eksik yamaları Güvenlik Güncellemeleri, İsteğe Bağlı, Üçüncü Taraf, Sürücü, Hizmet Paketi ve BIOS olarak kategorize eder, satır içi Yama Kur/Yayınla ve Yamayı Reddet eylemleri ile.
Güvenlik Yapılandırması sekmesi, bir CIS/STIG tarzı sertleştirme kontrol listesidir. Her düzeltilebilir satırın bir "Güvenli Yapılandırmayı Dağıt" bağlantısı vardır; bulgular tek tıklamalı düzeltmeye doğrudan bağlanır. Test endpoint'i, TLSv1.1 etkin, BitLocker devre dışı, Windows Güvenlik Duvarı algılanmadı, hesap kilitleme eşikleri yapılandırılmadı ve LAN Manager kimlik doğrulama seviyesi yanlış yapılandırıldı dahil 30 ögeye sahipti.
Port Denetimi sekmesi, her açık portu tam çalıştırılabilir yol ile sorumlu ikili dosyaya eşler. Port 3389 svchost.exe'e, port 445 ntoskrnl.exe'e eşlenir. Chrome ve Edge ayrı olarak 5353'te listelenir.
Filo Geneli Tehditler görünümü: Tehditler navigasyonu, tam filo boyunca sekiz alt bölümü kapsar.
Zafiyetler ve Tespit Edilen CVE'ler görünümleri, paralel sütunlarda CVSS 3.0 ve CVSS 2.0 puanlarını gösterir. Ürün, hala buna dayanak yapan kuruluşlar için eski CVSS 2.0'ı korur.
Sistem Yanlış Yapılandırmaları, her satır için bir "Güvenli Yapılandırmayı Dağıt" eylemiyle filo geneli sertleştirme açıklarını birleştirir.
Yüksek Riskli Yazılım, Son Kullanım Tarihlerini takip eder. Windows Server 2022, 13 Ekim 2031 EOL tarihi ve 1.990 günlük kalan sayaç ile göründü.
İstisnaları Yönet, belirli tehditlerin cihaz grubu başına kabul edilmesine izin verir. Testte hiçbir istisna tanımlanmadı; altyapı mevcuttur.
Yamalar bölümü: Sol kenar çubuğu canlı sayıları gösterir: Eksik 9, Kurulu 3, Uygulanabilir 12, Desteklenen 106.973, En Son 2.195. Her yama sayfası, iş akışında ayrı ayrı erişilmek yerine gömülü olan Nasıl Yapılır, Bilgi Bankası ve SSS belgeleriyle satır içi Hızlı Bağlantılara sahiptir.
Desteklenen Yamalar kataloğu, Adobe, Microsoft, Mozilla, Splunk, Oracle ve diğerlerinden 106.973 giriş kapsar. En Son Yamalar görünümü, yayın tarihine göre sıralanan son eklenen 2.195 girişi gösterir. Yamayı Reddet, cihaz grubu başına belirli yamaları engeller. Bekleyenleri Yükle, kataloğun dışındaki yazılım için özel yamaları kabul eder.
Yama dağıtımı: Dağıtım sihirbazı şunları kapsar: Kurulum veya Kaldırma işlemi (geri alma dahili), Doğrudan Dağıt veya Kendi Kendine Hizmet Portalına Yayınla, dağıtım politika seçici, SLA uygulaması için "Sonra zorla dağıt" tarihi ve Uzak Ofis ve bireysel bilgisayar tarafından kapsamlı hedefleme.
Testte bir Defender tanım güncellemesi dağıtıldı, Durum: Başarılı ve Açıklamalar: "Bu sürüm zaten mevcut" ile tamamlandı. Ürün, yamanın zaten uygulandığını tespit etti ve yeniden kurmadı. Başarısızlıkta otomatik yeniden deneme varsayılan olarak 2 denemeye ayarlıdır.
Ajan filo yönetimi. Ajan bölümü, sürüm güncelliği, son iletişim zamanı, AD senkronizasyon durumu, uzak ofis yönetimi ve pasif bilgisayar politikası dahil filo geneli ajan sağlığını gösterir.
Endpoint ayak izi: Beklemede beş işlem, birleşik bekleme RAM yaklaşık 83 MB. Tarama motoru dcpatchscan sadece taramalar sırasında başlar, beklemede görünmez. Bir tarama sırasında, Windows'ta yaklaşık 160 MB RAM ve bir CPU çekirdeğinin %100'ünü tüketti, Linux'ta yaklaşık 144 MB ve bir çekirdeğin %16'sına kıyasla. İstek üzerine başlatma tasarımı, bekleme ayak izinin NinjaOne (116–127 MB) ve Action1 (51 MB) sürekli taban çizgilerinin çok altında kalmasını sağlar.
Tespit gecikmesi: Manuel Şimdi Tara: 5 ila 6 dakika. Otomatik döngü: 90 dakikada sabit, kullanıcı tarafından yapılandırılamaz. Yeni CVE beslemesi girişleri 25 saate kadar yayılır (günlük DB senkronizasyonu artı bir 90 dakikalık yenileme döngüsü). Yönetici > Ajan Ayarları sayfasında bir yenileme aralığı alanı yok; bir tane eklemek için istekler resmi forumda çözülmeden açık kaldı.
Uyarı ve bildirim: Herhangi bir katmanda giden uyarı kanalı yok: Genel Ayarlar'da SMTP yok, kullanıcı başı bildirim tercihi yok, rapor zamanlaması veya e-posta teslimatı yok. Denetim > Uyarılar sayfası dahili olayları (ajan iletişim kaybı, başarısız yamalar, yeni endpoint'ler) kaydeder ancak bunları harici olarak yönlendiremez.
Raporlama: Altı kategoride (Yama, Sistem, APD, Yapılandırma, SSP, Tehdit) 16+ önceden tanımlı rapor. Özel rapor oluşturucu yok. Önceden tanımlı raporlar içinde sütun seçici ve filtreler mevcut. Tarih aralığı ön ayarları yok. Dışa aktarma: PDF, CSV, XLSX. Her dışa aktarmadan önce onay gerektiren bir GDPR feragat modalı. Zamanlanmış veya e-posta ile teslimat yok.
Temel farklar:
- Tek üründe 11 modül: Zafiyet Değerlendirmesi, Uyumluluk, Yama Yönetimi, Ağ Cihazı tarama, Güvenlik Yapılandırması Yönetimi, Sıfırıncı Gün Azaltma, Web Sunucusu Sertleştirme, Yüksek Riskli Yazılım Denetimi, Antivirüs Denetimi, Port Denetimi ve Raporlama
- 106.973 yama kataloğu; bulut ve yerinde dağıtım seçenekleri; AB bölgesi SaaS örneği
- Otomatik tarama döngüsü 90 dakikada sabittir ve kullanıcı tarafından yapılandırılamaz (forum özellik istekleri çözülmedi); yeni CVE beslemesi yayılması 25 saate kadar sürer (DB senkronizasyonu + bir yenileme döngüsü)
- Giden uyarı kanalı yok: SMTP her yapılandırma katmanında yok
3. Automox
Automox, bir zafiyet tarayıcısı değil, bir yama otomasyon platformudur. Zafiyet yönetimi yeteneği, bağımsız CVE tespiti gerçekleştirmek yerine Qualys, Tenable, Rapid7 veya CrowdStrike'dan tarayıcı çıktısını içe aktarmak etrafında inşa edilmiştir.
Deneme erişimi: 15 günlük deneme, kredi kartı gerekli değil. Gmail reddedilir; bir iş e-postası zorunludur. Gönderildikten sonra, akış dashboard'dan önce iki ek adım ekler: ayrı bir giriş ekranı ve e-posta üzerinden zorunlu 2FA. Şifre minimumu 12 karakterdir, dört aracın en katınıdır. console.automox.com'de tek küresel örnek, bölgesel seçenek yok.
Ajan kurulumu: Cihaz Ekle modalı erişim anahtarı UUID'sini, bir OS açılır menüsünü, Yükleyici İndir düğmesini ve eşdeğer sessiz-kurulum komut satırını gösterir: Automox_Installer-2.5.70.msi ACCESSKEY=<uuid>. Bir ikili dosya, bir anahtar, test edilen dört aracın en basit kurulum akışı.
Yükleyici kapanmadan önce satır içi bir kurulum sonrası sağlık kontrolü çalıştırır: hizmet başlatma, daemon testi, IRS (Kurulum Sonuç Servisi) raporu. Ajanın gerçekten bağlanıp bağlanmadığı belirsizliğini ortadan kaldıran "Yapılandırma başarılı!" onayını verene kadar kapanmaz.
Cihaz, "Yakında Eklendi" etiketiyle 1 ila 2 dakika içinde Cihazlar listesinde göründü.
Cihaz detayı: Cihaz detayında dört sekme vardır: Özet, Sağlık, Ağ ve Sistem. Kurulumda hiçbir politika atanmadı; ajan varsayılan bir yama programı eklenmemiş Varsayılan gruba kaydedildi. ManageEngine otomatik olarak varsayılan bir tarama kapsamı uygular; Automox herhangi bir şey çalışmadan önce açık politika ataması gerektirir.
Yazılım envanteri ve şiddet dili: Cihaz seviyesindeki Yazılım listesi, Microsoft Güncelleme kataloğundan ödünç alınan Şiddet değerlerini kullanır: Kritik, Bilinmiyor veya "Bilinen CVE Yok". NVD CVSS puanı yoktur. En Son Sürüm sütunu tüm satırlar için boştur; Automox bir güncelleme olup olmadığını takip eder, upstream sürümü değil. Maruz Kalan Günler, bir CVE yayınlandığından beri ne kadar süredir değil, bir yamanın ne kadar süredir beklediğini ölçer.
Dashboard: Ana KPI, Bekleyen Yama Sayısı matrisidir: şiddet satırları (Kritik / Yüksek / Orta / Düşük / Bilinmiyor) × yaş sütunları (90+ gün, 61-89, 31-60, 16-30, ≤15 gün). Cihaz Sorun Giderme bayrakları: Yeniden başlatma gerekli, Başarısız güncelleme denemeleri, 30+ gün bağlantısı kesildi, Uygun değil. Dashboard'da hiçbir yerde CVE sayısı, zafiyet şiddet puanı yok.
Politika mimarisi: Üç politika türü: Yama Politikası (Alt türleri İleri, Tümünü Yama, Dışındakilerin Tümünü Yama, Sadece Yama, Manuel Onaylar, Şiddet), Gerekli Yazılım Politikası ve Worklet. Zafiyet Tarama Politikası veya CVE tabanlı politika türü yoktur. Program bölümü, auto-Microsoft'un ikinci Salı yayın döngüsüne hizalayan bir Patch Tuesday radyo düğmesi sunar.
Worklet Kataloğu: Worklet'ler yapılandırma görevleri için kabuk şablonlarıdır. Kategoriler Sistem Tercihleri, Güvenlik ve Yazılım Yaşam Döngüsüdür. Zafiyet kategorisi yoktur.
Düzeltmeler sayfası: temel mimari sinyal. Otomatize altındaki Düzeltmeler sayfasının tek bir eylemi vardır: İçe Aktar. CSV Sağlayıcı filtresi Genel Rapor, CrowdStrike, Qualys, Rapid7 ve Tenable Zafiyet Yönetimi'ni listeler. Tablo sütunları Yama Yapılabilir Zafiyetler, Eşleşmemiş Zafiyetler ve Bilinmeyen Cihazlardır. Automox, üçüncü taraf bir tarayıcının çıktısını kendi yama kataloğuyla eşleştirir ve hangi CVE'leri düzeltebileceğini gösterir. Kendi CVE tespitini gerçekleştirmez.
Yönet > Yazılım: küresel filo envanteri. Filo seviyesindeki Yazılım görünümü, CVE verisinin sistemde bir seviyede var olduğunu doğrulayan bir "Zafiyet veya CVE-ID" filtresi ekler. Ancak, Şiddet sütunu hala CVSS puanları yerine KB-meta kategorilerini gösterir. Maruz Kalan Günler, Yoksayılan ve Etkilenen sütunları filo seviyesinde triyaj için mevcuttur.
Linux ajanı: Linux ajanı 746 paketi envanterledi. Yazılım listesi Kurulu Sürüm, Mevcut Sürüm, Maruz Kalan Günler, Şiddet, KEV Listesi ve EPSS sütunlarını gösterir. KEV ve EPSS sütunları tüm girişler için boştur; sütunlar şemada vardır ancak doldurulmamıştır. Şiddet, NVD yerine yama kataloğu sinyalini yansıtır.
Yama kataloğu kör noktaları: Windows'taki Firefox ESR 115.12.0, Kurulu 115.12.0, Mevcut 140.10.2, Maruz Kalan Günler 9, Şiddet "Bilinen CVE Yok" gösterdi; bu iki sürüm arasında yaklaşık 25 yayın sürümü ve binlerce CVE vardır, ancak kataloğun bu sürüm boşluğu için CVE sinyali yoktur. Linux'taki LibreOffice 7.1.8.1 (14 kurulu paket, 100+ belgelenmiş NVD CVE) tüm paketleri Mevcut Sürüm boş ve Şiddet boş olarak "Kurulu" olarak gösterdi. Satıcı 7.1 dalından 24.x serisine geçti, bu nedenle kataloğunda bir güncelleme girişi yoktur ve araç hiçbir zafiyet sinyali döndürmez.
Endpoint ayak izi: Linux ajanı zirve: 8.8 MB, ayak izi hakkında hiçbir pazarlama iddiasına rağmen test edilen dört aracın en hafifi. Windows ayak izi ölçülmedi: NinjaOne'nin politikası, NinjaOne aynı VM'de kayıtlı olduktan 2 dakika sonra Automox ajanını kaldırdı, bu nedenle hiçbir Windows taban çizgisi yakalanmadı.
Temel farklar:
- Otomatize → Düzeltmeler: Qualys, Tenable, Rapid7, CrowdStrike veya genel bir formattan CSV dışa aktarımlarını kabul eder; CVE'leri yama yapılabilir öğelere eşler ve Yama Yapılabilir ile Eşleşmemiş sayılarını gösterir
- Şiddet etiketleri, NVD CVSS puanları yerine Microsoft Güncelleme kataloğu sınıflandırmalarından (Kritik / Bilinmiyor / Bilinen CVE Yok) ödünç alınmıştır
- Yama kataloğu tespiti, kataloğunda bu sürüm dalları için bir güncelleme girişi olmadığı için LibreOffice 7.1.8.1 ve Firefox ESR 115.12.0'ın her ikisinin de yüzlerce belgelenmiş CVE'ye rağmen "Bilinen CVE Yok" döndürdüğü sistematik kör noktalar üretir
- Pazarlama iddiasına rağmen grupta en hafif ajan Linux'ta zirve 8.8 MB
- Üç politika türü: Yama Politikası (Patch Tuesday bilinci programlama ile), Gerekli Yazılım Politikası ve Worklet (kabuk/PowerShell şablonları)
- Deneme bir iş e-posta adresi gerektirir; Gmail reddedilir
4. Action1
Action1, yetenekli bir Windows zafiyet pipeline'ına sahip bulut tabanlı bir RMM'dir. Linux'ta paketleri envanterleştirir ve sürüm farklarını takip eder ancak CVE çıktısı üretmez. İki OS davranışı mimari olarak farklıdır ve ayrı ayrı değerlendirilmelidir.
Deneme erişimi: Kendi kendine hizmet, Gmail kabul edilir, satış teması yok. Form gönderiminden sonra bir onay kodu e-posta ile gelir; girildiğinde doğrudan ajan yükleyicilerinin hazır olduğu dashboard'a iner. Karşılama sihirbazı yok, deneme istek formu yok, bekleme süresi yok.
Ajan kurulumu Windows: Yükleyici 6.9 MB'dir ve 67 saniyede tamamlanır. Bir onay e-postası hemen ardından gelir ve panel şunu gösterir: "Ajan başarıyla kuruldu. Endpoint artık Action1 bulutuna bağlı."
Ajan kurulumu Linux: Linux ajanı 2.3 MB (.deb) ve tek bir curl + apt komutuyla 5 ila 6 saniyede kurulur. Org ID paket içine gömülüdür; kurulum sonrası yapılandırma gerekmez. Üç dağıtım yolu sunulur: Etkileşimli (ilk kez kullanıcılar için), İzlenmeyen ve Doğrudan. RPM, Red Hat ailesi sistemler için de mevcuttur. Kurulumdan sonra, ajan bekleyen bir kernel yükseltmesini tespit etti ve Linux endpoint'i doğru bir şekilde 'Yeniden Başlatma Gerekli' olarak işaretledi; dağıtım özel OS durumunu okuyarak Linux'a Windows mantığını uygulamak yerine.
Dashboard: Manuel tarama tetikleyicisi olmadan, Windows ajanı çevrimiçi olduktan dakikalar içinde 114 zafiyet ve 3 eksik güncelleme göründü. Dashboard, iki triyaj widget'ı etrafında merkezlenir: SLA bantları ile bir Zafiyet Düzeltme Uyumluluğu göstergesi (Kritik: 1-7 gün, Yüksek: 8-30 gün, Orta: 31-90 gün, Düşük: 90+ gün) ve şiddet × SLA gecikme durumu gösteren Düzeltilecek Zafiyetler Son Tarih Dağılımı matrisi. Aynı yerleşim güncellemeler için tekrarlanır. Dashboard'da ayrıca bir ücretsiz-katman pazarlama banner'ı ve sosyal paylaşım düğmeleri de görünür.
Zafiyet listesi ve CVE önceliklendirme: Zafiyetler sayfası CVE ID, CVSS Puanı, CISA KEV bayrağı, Yayınlanma Tarihi, Düzeltme Durumu, Zafiyetli Yazılım (tam sürüm yolu ile) ve etkilenen endpoint sayısını gösterir. CISA KEV, CVSS'ten daha güçlü bir triyaj sinyali olan sahada aktif olarak sömürülen CVE'leri ortaya çıkaran birinci sınıf bir sütundur. EPSS yoktur.
CVE detay paneli: Her CVE, üç sekme ile bir yan panel açar: Endpointler (Düzeltmeyi Başlat düğmesi ile etkilenen makineler), Zafiyetli Yazılım (platforma göre etkilenen yazılım) ve Detaylar. Detaylar sekmesi, CVSS taban puanı, Etki Puanı, Sömürülebilirlik Puanı, insan tarafından okunabilir formda CVSS alt vektör ayrımı, Fidye Yazılımı ilişki bayrağı, çoklu kaynak bağlantıları (NVD, VulnCheck üzerinden NVD++, satıcı uyarısı) ve şiddete dayalı auto-hesaplanan bir düzeltme son tarihini içerir. Kritik CVE'ler 7 günlük bir SLA alır; Orta-Yüksek 30 gün alır, CVE yayın tarihinden geriye doğru hesaplanır.
Tespit gecikmesi: Firefox ESR 115.0esr sessiz bir bayrakla kuruldu ve kurulum tamamlanma zaman damgası saniyeye kadar kaydedildi. Ajan, yazılım envanterini T+4 dakika 33 saniyede buluta yükledi; bulut 1 saniye sonra onayladı; Zafiyetler listesi kurulumdan 11 dakika içinde Firefox CVE'leri ile doldu. Ajan 5 dakikalık bir anket aralığı kullanır. "Gerçek zamanlı" pazarlama etiketi doğru değildir; "neredeyse gerçek zamanlı / 5 dakikalık anket" doğru tanımdır. Zamanlanmış tarama araçlarından ayıran manuel tarama tetikleyicisi gerekmez.
Linux CVE tespiti (yok): Kasıtlı olarak zafiyetli bir Firefox ESR 102.15.1 paketi (Eylül 2023'ten beri EOL, 50+ yamasız CVE), dpkg üzerinden kuruldu. Ajan kurulumu 66 saniye içinde tespit etti ve doğru sürümü buluta gönderdi. Bulut yükü şunu gösterdi: "CVE": "", "Security Severity": "Unspecified". Zafiyetler sayfası "Zafiyetli yazılım yok" gösterdi. Windows'taki aynı Firefox sürümü, 9.8 ila 10 CVSS puanları ile 11+ CVE üretti. Action1'in Linux ajanı bir sürüm farkı takipçisidir: kurulu sürümü, en son sürümü ve güncelleme kullanılabilirliğini kaydeder, ancak Linux paketleri için CVE veritabanı araması gerçekleştirmez.
Yama dağıtımı: İki paralel akış vardır. Zafiyet odaklı akış şudur: CVE detayı > Düzeltmeyi Başlat > 3 adımlı sihirbaz. Üç strateji mevcuttur: Güncellemeleri Dağıt, Yazılımı Kaldır ve Telafi Edici Kontrolleri Belgeler. Üçüncüsü dikkat çekicidir; yama yapılamayan yazılım için risk kabulünü belgelemeye izin verir. Güncelleme onayı üzerinden güncelleme odaklı akış, şube ofisleri için LAN tabanlı P2P dosya paylaşımı, yeniden başlatma orkestrasyonu (kullanıcıya yönelik açılır pencere ve zaman aşımı ile otomatik yeniden başlatma) ve sadece Action1 onaylı yamaların dağıtılması için Windows yerel güncellemelerini tamamen devre dışı bırakma seçeneği ekler. Bu yetenekler sadece güncelleme odaklı akışta mevcuttur; zafiyet odaklı sihirbaz bunları sunmaz.
KB5082142 için yama dağıtım süresi: Şimdi Çalıştır'dan Başarılı durumuna 1 dakika. Ancak, otomasyon motorundaki "Başarılı", ikili dosyanın diske yazıldığı anlamına gelir, yamanın aktif olduğu anlamına gelmez. Yeniden başlatma olmadan, Zafiyetler sayfası, OS değişikliği henüz taahhüt etmediği için yamalı CVE'yi Gecikmiş olarak göstermeye devam etti. Otomasyon motoru işlemi bir başarı olarak etiketledi; zafiyet tarayıcısı CVE'yi Gecikmiş olarak göstermeye devam etti, doğru davranış, çünkü yama etkili olması için yeniden başlatma gerektirir. Yeniden başlatmadan sonra, CVE listeden kaldırıldı.
Uyarılar ve bildirimler: Uyarılar, raporların üzerine inşa edilmiştir: bir kullanıcı, adlandırılmış bir raporun verisindeki değişikliklere (Oluşturuldu / Silindi / Değiştirildi) abone olur. Uyarı e-postaları hızlı gelir ve Yapılandırılmış alanları içerir: Satıcı, Sürüm, Kurulum Tipi ve Kurulu İçin. Alıcı alanı sadece bir e-posta adresini kabul eder; Slack, Teams veya webhook kanalı yoktur. Sessiz bir bastırma mekanizması vardır: bir zaman penceresi içinde aynı kuralın N. tetiklemesinden sonra, kural herhangi bir UI göstergesi olmadan ateşlemeyi durdurur. Bastırma durumu sadece ajanın yerel günlüğünde görünür. Bastırma eşiğini aştıktan sonra uyarıları bekleyen kullanıcılar, arayüze bakarak nedeni keşfetmenin bir yoluna sahip değildir.
Endpoint ayak izi: Firefox kurulumu, tarama ve uyarı değerlendirme döngüsü sırasında 10 dakika boyunca ölçüldü: ortalama CPU %0.013, anket döngüsü ateşlediği anda zirve CPU %1.56, tam pencere boyunca 0.14 MB bant ile RAM 51.7 MB'de stabil, kısa tarama önbellek yazmaları hariç disk IO neredeyse sıfır. "Sıfır endpoint etkisi" iddiası ölçüm tarafından desteklenmektedir. Ağ sentetik yük testi çalıştırılmadı.
Raporlama: Rapor oluşturucu iki tür sunar (gruplama ile Özet, düz tablolar için Basit), bir sütun seçici, filtre adımı, zamanlanmış teslimat, Abone Ol, CSV dışa aktarma ve PDF dışa aktarma. Beş yerleşik rapor kategorisi, beş alt rapor ile Zafiyet Yönetimi içerir: Zafiyetleri Seç, Tüm Kritik Zafiyetler, Belgelenmiş Telafi Edici Kontroller, Bilinen Sömürülen Zafiyetler ve Zafiyet Özeti. Hepsinin mevcut durum görünümleridir. "Zamanla Düzeltlenen CVE'ler" veya "CVE'ye Göre Yama Geçmişi" yerleşik raporu yoktur. Yamalı bir CVE listeden kaldırılır; çözülmüş bir duruma taşınmaz. Hangi CVE'nin hangi tarihte kapatıldığını yeniden oluşturmak, kendisinin tekrarlanan Çalıştır Şimdi girişlerinden gelen bir geçmiş kirlenme sorunu olan Otomasyon Geçmişini manuel olarak çapraz referanslamayı gerektirir.
Temel farklar:
- Ajan kurulumundan ≤11 dakika içinde Windows tespiti (5 dakikalık anket); kurulum-buluta yükleme 4 dakika 33 saniyede ölçüldü
- CVE detay paneli: CVSS + CISA KEV bayrağı + Fidye Yazılımı ilişki + şiddet tabanlı SLA (Kritik 7 gün, Orta/Yüksek 30 gün, yayın tarihinden auto-hesaplanan) + çoklu kaynak bağlantıları (NVD, NVD++, satıcı uyarısı)
- Linux ajanı: 2.3 MB .deb, 5–6 saniyede kurulur, systemd auto-etkinleştirildi; RPM de mevcuttur. dpkg paketlerini ~66 saniyede envanterleştirir ancak CVE çıktısı üretmez; ajan yükü
"CVE": "", "Security Severity": "Unspecified"döndürür. Linux'a EOL Firefox 102 kurulumu Zafiyetler listesini boş bıraktı. - Ajan ayak izi pidstat ile doğrulandı: 51.7 MB stabil, ortalama %0.013 CPU, tarama sırasında zirve %1.56
- Uyarı bildirimleri tek bir e-posta adresi ile sınırlıdır; Slack, Teams veya webhook yok; uyarı kuralları N tetiklemesinden sonra UI göstergesi olmadan sessizce ateşlemeyi durdurur
- Raporlama: Özel Oluşturucu + 5 VM alt rapor kategorisi (Seç / Kritik / Telafi Edici / KEV / Özet) + Zamanla + Abone Ol; "Zamanla Düzeltlenen CVE'ler" yerleşik raporu yok
Yöntem
Endpoint'ler: Windows Server 2022 Standard 21H2 (Build 20348.3207) ve Ubuntu 24.04.4 LTS (kernel 6.8.0-111). Dört ajan da Linux ana makinesinde eş zamanlı çalıştı. Windows'ta NinjaOne ve Automox aynı VM'de sırayla kuruldu.
Zafiyetli yazılım: Firefox ESR 115.12.0, 7-Zip 19.00, Edge 148 (Windows); Node.js 18.19.1, vsftpd 3.0.5, Apache 2.4.58, LibreOffice 7.1.8.1, /opt/firefox-115.0esr/ satıcı tar dosyası (Linux).
Ölçüm: pidstat (işlem seviyesinde RSS ve CPU), Get-Counter (Windows performans sayaçları), pywinrm ve paramiko (uzaktan komut yürütme). Sayfa önbelleği şişmesini önlemek için cgroup seviyesi metrikler hariç tutuldu.
Kapsam: macOS hariç. Test şu sırayı izledi: deneme karşılama → ajan kurulumu → ilk dashboard → cihaz detayı → politika/tarama → zafiyet envanteri → yama akışı → uyarı yapılandırması → endpoint performansı → raporlama.
SSS'ler
Zafiyet yönetimi araçları, yönetilen endpoint'ler boyunca yazılım ve OS zafiyetlerini tespit eder, şiddete göre önceliklendirir ve bulguları yama iş akışlarına bağlar. Amaç, bir CVE yayınlandığı ile etkilenen sürümün yamaladığı arasındaki pencereyi azaltmaktır.
Uygulamada, bu araçlar zafiyetleri tespit etme şekillerinde önemli ölçüde farklılık gösterir. Bazıları NVD'yi doğrudan sorgular; diğerleri riski yama kataloğu kullanılabilirliğinden çıkarır. Bu mimari fark, ne bulabileceklerini ve bulamayacaklarını belirler.
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{dogan2026,
author = {Dogan, Sedat and Sezer, Sena},
title = {{En İyi Zafiyet Yönetimi Araçları}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/vulnerability-management-tools}},
note = {AIMultiple. Erişim tarihi: 2 Haziran 2026}
}






































Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.