11 XDR çözümünü araştırdık, satıcı iddialarını resmi ürün dokümantasyonu, MITRE ATT&CK değerlendirme sonuçları ve müşteri dağıtımlarıyla doğruladık. Bu havuzdan, her birini özel Windows Server 2022 uç noktalarına ve bir Linux VM havuzuna dağıtarak, 8 kategori kapsamında 30 test senaryosu çalıştırarak uygulamalı kıyaslama için 5 tanesini seçtik. Değer ve performans karşılaştırmasına ilişkin analizimize bakın.
En iyi 11 XDR çözümü
XDR kıyaslama özeti
- Acronis Cyber Protect, canlı bir fidye yazılımı testinde, temel lisansla şifrelenmiş 17 dosyanın tamamını geri yükleyen tek satıcıydı. Linux EDR kapsamı, belgelenenden daha dardır; laboratuvar testleri yalnızca RHEL 6/7 (çekirdek ≤3.10) için desteği doğruladı, satıcı dokümantasyonundaki çekirdek 2.6.9–5.19 aralığını değil.
- Sophos Intercept X, 6 yürütme zamanı engellemesi ve set genelinde en güçlü yapay zeka destekli av çıktısıyla %85 (11/13 test) ile en yüksek birleşik tespit+önleme oranına sahipti.
- CrowdStrike Falcon, ham tespitte %92 ile liderdi ancak varsayılan politikası altında testlerin yalnızca %38'ini engelledi. AGGRESSIVE moduna geçmek, önlemeyi diğerleriyle kutudan çıktığı haliyle aynı seviyeye getirdi; engelleme yerine görünürlüğe öncelik verir. En hafif ajana (138 MB Windows boşta) ve eBPF aracılığıyla çekirdekten bağımsız tek Linux EDR'ye sahipti.
- Bitdefender GravityZone, %100 AV-Comparatives EDR puanına sahip tek satıcıdır ve kullanıcı arayüzünde en derin MITRE eşlemesini gösterdi. HyperDetect ML katmanı, setteki en agresif olanıdır; PowerShell ağırlıklı otomasyona sahip ortamların üretim dağıtımından önce ayar yapması gerekecektir. PowerShell ağırlıklı otomasyon, RMM betikleri veya CI/CD iş hatları çalıştıran kuruluşlar, üretim dağıtımından önce HyperDetect'i her hassasiyet seviyesinde test etmelidir. Varsayılan ayarlarda, meşru araçlar kötü amaçlı yazılımla birlikte yakalanabilir.
- Trend Micro Vision One, en güçlü uyarı korelasyonuna sahipti: tek bir Workbench olayı, 6 saldırı aşamasında 2 uyarıdan 147'ye yükseldi. Boşluk, bir iş hattı hatasıdır; Apex One, çeşitli tehdit türlerini olayları Vision One'a iletmeden engeller ve SOC analistlerini bu engellemelerin konsol kaydı olmadan bırakır. Workbench içgörüleri ayrıca bazı durumlarda 30 ila 90 dakika gecikti.
1. Dağıtım ve Kurulum
*İlk korumaya kadar geçen süre (T2V): Yükleyiciyi çalıştırmaktan uç noktanın konsolda aktif ve korumalı olarak görünmesine kadar geçen süre.
- Acronis ve Bitdefender, gerçek bir şirket içi seçeneğe sahip olan yalnızca iki araçtır. CrowdStrike ve Sophos yalnızca buluttur; Trend Micro'nun hibrit bir yolu vardır ancak tam XDR telemetrisi yine de buluta ihtiyaç duyar.
- Acronis dokümantasyonu (KB 67747), Linux çekirdek desteğini 5.19'a kadar listeler, ancak laboratuvar testleri gerçek sınırın RHEL 6/7'de (çekirdek 3.10) olduğunu gösterdi. Ubuntu 24.04 ve AlmaLinux 9.8'in her ikisi de başarısız oldu. CrowdStrike'ın eBPF tasarımının çekirdek bağımlılığı yoktur ve Ubuntu 24.04'te sorunsuz çalıştı. Bu, duyulduğundan daha önemlidir. Ubuntu 22.04+, RHEL 8/9, Debian 12 ve AlmaLinux 9'un tümü Acronis EDR için kapsam dışıdır. Bu ana makinelerde, davranışsal tespit veya saldırı zinciri görünürlüğü değil, yedekleme ve temel kötü amaçlı yazılım önleme alırsınız. Linux filonuz modernse, Acronis'i burada yalnızca yedekleme olarak değerlendirin ve ayrı bir EDR katmanı planlayın.
- CrowdStrike, Windows'ta 65 saniye ile en hızlısıydı.
- Sophos, Windows'ta ~10 dakika ancak Linux'ta 53 saniye sürdü.
- Trend Micro'nun 15 dakikalık Windows kurulumu, yeniden başlatma ve iki ayrı ajan (Vision One sensörü + Apex One) gerektirir, bu da setteki en karmaşık dağıtımdır.
2. Tespit Dağılımı
Acronis, test boyunca yalnızca tespit modunda çalıştı; EDR Playbook'ları etkinleştirilmedi, bu nedenle her olay, temel motorda işaretlenip işaretlenmediğine bakılmaksızın "Hafifletilmedi" olarak kaydedildi. Bu bir politika varsayılanıdır, bir tespit boşluğu değil; playbook'ları etkinleştirmek olayları auto-hafifletilmiş durumuna çevirir.
Trend Micro, diğerleri için 13'e karşı 16 test senaryosunda çalıştırıldı, çünkü iki ajanlı mimari ek test yüzeyi oluşturdu. Üç "Block (Vision One'a kaydedilmedi)" girdisi sessiz engelleme hatasıdır: Apex One, tehdidi uç noktada durdurdu ancak olayı asla Vision One konsoluna göndermedi, bu nedenle Workbench'i izleyen bir SOC analisti hiçbir şey görmezdi.
3. Yanıt ve İyileştirme
- Acronis ve Sophos, şifrelenmiş dosyaları geri yükleyen yalnızca iki satıcıdır. Acronis, temel lisansta, yedekleme anlık görüntüleri aracılığıyla 17 dosyanın tamamını 76 saniye içinde geri yükledi. Sophos, anlık görüntüler olmadan davranış tabanlı tespit (CryptoGuard) kullanır. CrowdStrike ve Trend Micro, yürütmeyi engeller ancak zaten şifrelenmiş dosyaları kurtaramaz.
- Beş satıcının tümü tek tıklamayla ana makine izolasyonunu destekler. CrowdStrike, izolasyon sonrası RTR kabuğunu açık tutarak, ana makine ağ dışındayken canlı incelemeye olanak tanır.
- Sophos, en güçlü tehdit avı kurulumuna sahipti. Bir uyarı: Tehdit Grafikleri yalnızca Windows'tur. Linux tespitleri, otomatik saldırı zinciri görselleştirmesi olmadan düz olay listeleri olarak görünür. Linux ana makinelerinde av, dört katmandan üçe düşer.
4. Ajan Performansı
- CrowdStrike, 138 MB boşta ile en hafif Windows ayak izine sahiptir, Bitdefender'ın 1.174 MB'ından yaklaşık 8 kat daha düşüktür. Linux'ta, eBPF ajanı 43 MB'den başlar ancak 10 dakikalık sürekli yük altında 445 MB'ye ulaştı.
- Sophos, 297 MB ile Linux'ta en hafiftir.
- Bitdefender genel olarak en ağırdır. Yalnızca EPSecurityService.exe 1.005 MB tüketti; modüler işlem tasarımı çökme etkisini sınırlar ancak bir RAM maliyetiyle. 4 GB veya daha az belleğe sahip uç noktalar için bir endişe kaynağıdır.
- Trend Micro'nun 14 işlemli, 563 iş parçacıklı Windows profili ve 890 MB kurulum öncesi paketi, onu Bitdefender ile aynı ağır sınıfa yerleştirir.
En iyi 11 XDR çözümünün karşılaştırması
Puanlar G2, Gartner ve Capterra'ya dayanmaktadır. Satıcılar inceleme sayılarına göre sıralanmıştır.
Çalışan sayıları LinkedIn verilerine dayanmaktadır.
En iyi 11 XDR çözümünün özellik karşılaştırması
1. Acronis Cyber Protect
Acronis Cyber Protect, yedeklemeyi yerel olarak entegre edilmiş EDR ve XDR ile tek bir konsolda, tek bir ajanda ve tek bir politika modelinde birleştirir. AB SaaS örneğinde iki Windows ana makinesi ve üç Linux VM üzerinde test ettik.
Kurulum ve katılım
Acronis üç biçimde sunulur: bulut SaaS (test edildi), şirket içi Cyber Protect 15/16 ve hava boşluklu Cyber Protect Local. Tam EDR/XDR yalnızca buluttur; şirket içi bir sunucu, yedekleme artı kötü amaçlı yazılım önleme ve Aktif Koruma alır ancak tam EDR almaz. Bu, CrowdStrike ve Sophos yalnızca bulut olduğundan, Acronis'i Bitdefender ile birlikte hava boşluklu bir ortamda kullanılabilen iki araçtan biri yapmaya devam eder.
Dağıtım altı kurulum yolu sundu: bir GUI yükleyici, 32-bit, 64-bit ve ARM için çevrimdışı yükleyiciler, uzaktan itme ile ağ cihazı keşfi, bir kayıt kodu, bir kayıt token'ı ve gözetimsiz dağıtım için bir .mst/.msi. Token bir ömür belirler ve kayıt sırasında bir koruma planı bağlar, böylece ajan planını otomatik olarak ekler ve kimlik bilgisi taşımaz. Aynı token Linux ajanı için de çalıştı.
Windows kurulumu, indirme dahil yaklaşık 50 saniye sürdü, ardından ayrı bir üç adımlı kayıt sihirbazı (bir ila iki dakika) geldi, toplamda yaklaşık iki ila üç dakika etkileşimli. Kayıt adımı "Tespit ve Yanıt, Kullanılamıyor" uyarısını gösterdi ve tepsi başlangıçta yalnızca Yedekleme'yi listeledi. CrowdStrike tek bir 65 saniyelik aşamada tamamlanır, bu nedenle Acronis ikinci en hızlıdır ve kayıt adımı token aracılığıyla kaldırılabilir.
Yönetim konsolu
Sol gezinme, güvenlik modüllerinin yanında en üst seviyede Yedekleme depolaması ile sekiz üst kategori barındırıyordu. Acronis, yedeklemeyi bir eklenti yerine güvenliğin bir eşdeğeri olarak ele alan buradaki tek araçtır. EDR paketini etkinleştirmek, ayrı bir portal açmak yerine mevcut gezinmeyi genişletti.
Özelleştirme, bir widget modeli ve bir #CyberFit duruş puanı kullanır. Test ana makinesi 850 üzerinden 450 puan aldı; kötü amaçlı yazılım önleme 275/275, yedekleme 175/175 ve güvenlik duvarı, VPN, disk şifreleme ve NTLM için sıfırlar olarak ayrıldı. Özelleştirme derinliği, Bitdefender'ın 30'dan fazla kayıtlı görünümünün ve Trend'in Companion AI'sının gerisinde kalır.
Tespit
EDR motoru laboratuvarda çalıştı. EDR paketinden önce bile, kötü amaçlı yazılım önleme davranışsal motoru, wmic testi (C-05) için "Hafifletilmedi" olarak kaydedilen bir olay oluşturdu. Paket açıldıktan sonra, olaylar tam bir Siber Öldürme Zinciri süreç ağacı, YÜKSEK önem derecesi, bir pozitiflik puanı ve bir Copilot pivotu gösterdi. Yapay zeka saldırı özeti, çıplak bir wmic komutunu Impacket'in WMIExec aracı olarak adlandırdı ve zamanlanmış görev (C-02) ve wmic (C-05) testlerini tek bir zincirde birleştirdi; olay başına tespit yerine çapraz test korelasyonu.
Her test olayı "Hafifletilmedi" olarak kaydedildi. Kutudan çıkan profil, EDR Playbook'ları etkinleştirilene kadar manuel Düzelt seçeneğiyle yalnızca tespit modundadır, CrowdStrike ile aynı duruş.
MITRE eşlemesi üç katmanda geldi: Taktiklere Göre Tespit widget'ı, öldürme zinciri düğümlerinde teknik etiketleri ve STIX dışa aktarmalı T-numaralı Saldırı Bilgisi listesi. Eşleme, Bitdefender'ın alt tekniklerinden veya Sophos'un bir olayda 51'den fazla tekniğinden daha az ayrıntılıdır. İki kategori yapısal boşluklardır: özel bir NDR yok (ağ sinyali, CrowdStrike gibi uç noktadan türetilir) ve koşullu e-posta ve kimlik (ayrı bir Gelişmiş E-posta Güvenliği paketi ve bir XDR paketi Entra ID entegrasyonu), her ikisi de Trend ve Sophos'taki yerleşik kapsamın gerisindedir.
Yanıt ve iyileştirme
Fidye yazılımı geri alma, en net sonuçtur. 17 dosyadan oluşan bir klasörde lawndoc simülatörüne (256-bit AES) karşı, 17 orijinalin tamamı 76 saniye içinde orijinal boyutlarında, içerikleri bozulmamış olarak geri döndü. Aktif Koruma, şifreleme davranışını tespit etti, şifrelenmiş kopyaları kaldırdı ve hiçbir analist eylemi olmadan orijinalleri geri yükledi. EDR paketinden önce, temel lisansta çalıştı. CrowdStrike ve Trend şifrelemeyi tersine çeviremez; Sophos, CryptoGuard aracılığıyla Acronis ile eşleşir. Acronis, davranışsal katmanın altına yerel yedekleme kurtarması ekler.
Ana makine izolasyonu, izolasyon sonrası uzak araç seti (komut satırı, dosya aktarımı, ekran görüntüsü) ile bir İş Yükünü İzole Et playbook'u aracılığıyla çalışır, bazı eylemler 2FA korumalıdır. Otomasyon, setteki en güçlü canlı kanıttı: bir playbook'u etkinleştirmek, yeni olayları auto-hafifletilmiş durumuna çevirdi, 109 betikli bir kütüphane ve bir yapay zeka betik oluşturucunun üzerine. Av, bir yıllık saklama ile Acronis'in XQL sorgu dilini kullanır, Sophos'un dört katmanlı yığınından daha yeni ve daha dardır.
Performans
Windows ajanı, dört işlemde boşta yaklaşık 432 MB yerleşik olarak ölçüldü, CPU sıfıra yakındı, yedekleme ve güvenlik tek bir ajanı paylaştığı için CrowdStrike'ın 138 MB'ının kabaca üç katı. Linux boşta, CentOS'ta 352 MB'de oturdu. Tam bir disk taraması yaklaşık 29 dakika ve hızlı tarama 2 saniye sürdü; tarama, EICAR, nbtscan ve APTSimulator düşüşlerini canlı olarak yakaladı. Acronis ayrıca, üretim uç noktasını koruyarak bulutta ana makine dışı yedekleme artışlarını tarar. CentOS'ta Linux EDR, canlı bir EICAR düşüşünü 9 milisaniyede yakaladı. Tespit hibrittir: yerel motorlar, temel kötü amaçlı yazılım önleme ve fidye yazılımı için çevrimdışı çalışır, tam EDR analitiği buluta bağlıdır.
Entegrasyon
SIEM iletme, CEF ve JSON syslog üzerinden dışa aktaran, yerel Sentinel ve Splunk içeren özel bir yapılandırma nesnesidir. API kütüphanesi, bir EDR uç noktası dahil 12 hizmeti kapsar, belgelenmiştir ancak CrowdStrike'ın FalconPy'si düzeyinde resmi bir SDK yoktur. Üçüncü taraf tehdit istihbaratı içe aktarımı bir boşluktur: konsol, Acronis'in kendi CPOC beslemesini taşır ancak belgelenmiş STIX, TAXII veya MISP alımı yoktur. Biletleme, MSP mirasından güçlüdür, yerel ConnectWise, Datto Autotask ve ServiceNow ile.
Tehdit istihbaratı
Acronis, CrowdStrike'ın veya Sophos'unkinden daha küçük ancak iki yıllık bir Siber Tehdit Raporu ile aktif olan dört operasyon merkezi tarafından desteklenen bir Tehdit Araştırma Birimi işletir. Konsol beslemesi Acronis-yereldir ve Bitdefender'ın beş dakikalık rakamının aksine besleme tazeliği yayınlanmaz. Uyarı zenginleştirme rekabetçidir: yapay zeka saldırı özeti otomatik olarak oluşturulur, sade dilde okunur ve çapraz test korelasyonu gerçekleştirir.
Raporlama
Raporlar modülü, operasyonlar, güvenlik ve kullanım genelinde yaklaşık 16 şablon taşır, widget tabanlı bir oluşturucu ve zamanlayıcı ile. Dışa aktarma, kıyaslamadaki en geniş format seti olan PDF, XLSX, CSV ve JSON'u kapsar, e-posta ve klasöre kaydetme teslimatı ile. Yerel SFTP veya webhook teslimatı yoktur.
2. CrowdStrike Falcon
Kurulum ve katılım
Falcon, bölge seçimi (EU-1, US-1, US-2, GovCloud) ile yalnızca bulut SaaS'tır ancak şirket içi cihaz veya hava boşluklu seçenek yoktur. Bu, Acronis ve Bitdefender'ın beş arasında tek aday olarak kaldığı hava boşluklu ortamlarda onu devre dışı bırakır. Sophos aynı yalnızca bulut konumundadır.
Windows sensörü, Müşteri Kimliği önceden doldurulmuş bir GUI iletişim kutusu aracılığıyla kurulur, komut satırı gerekmez ve tek bir aşamada yaklaşık 65 saniyede tamamlandı, ölçülen en hızlı tek makineli kurulum. Toplu dağıtım, Acronis'in sunduğu altı paketlenmiş yol yerine belgelenmiş CLI argümanlarına dayanır, bu nedenle dağıtım yöntemlerinin genişliği daha dardır. Linux sensörü yaklaşık 7 saniyede net olarak kuruldu (SCP aktarımı dahil 42,6 saniye), Windows'tan kabaca dokuz kat daha hızlı, çekirdek modülü gerektirmeyen eBPF tasarımını yansıtır. Bir kaldırma token'ı ve isteğe bağlı bir kurulum token'ı, ajanı kendi kendini korur hale getirir, böylece bir saldırgan her iki token olmadan onu kaldıramaz.
Yönetim konsolu
Sol gezinme, 12'den fazla modülü tek bir yerde listeler: Yeni Nesil SIEM, Uç nokta güvenliği, Kimlik koruması, Karşı Düşman Operasyonları, Araştır, Fusion SOAR, Foundry, Varlık envanteri ve daha fazlası. Bir tespiti açmak, sekmeleri veya kiracıları değiştirmek yerine bir çekmeceye iner, bu nedenle tek bölme iddiası, kimlik, e-posta veya XDR telemetrisinin ayrı bölmelerde yaşama eğiliminde olduğu diğer dört araçtan daha eksiksiz bir şekilde geçerlidir.
Ana makine yönetimi, aynı Faz 2 politikası altında hem Windows hem de Ubuntu ana makinelerini tek bir tabloda gösterdi, platformlar arası bir gruptan platform başına politika uygulayan bir grup soyutlaması ile. Pano özelleştirme, klonlanmış panoları, ön ayarlı ve özel widget'lara sahip bir Widget ekle panelini ve diğer araçların taşımadığı Kimlik Koruması ve Varlık Envanteri tarafından beslenen bir Saldırı Yolu Analitiği widget kategorisini destekler.
Tespit
İmza, LoLBin, yanal hareket ve kalıcılık gruplarında 13 Windows testi çalıştırdık. Faz 2 altında, beşi doğrudan bir engelleme üretti: rundll32 JavaScript yürütme, certutil indirme, mimikatz başlatma (ikili dosya çıkarılmadan önce AMSI betik içerik analizi tarafından durduruldu), comsvcs.dll LSASS dökümü ve bir AMSI atlatma girişimi. CIM aracılığıyla Falcon hizmetini durdurma girişimi Erişim Reddedildi döndürdü, sensör kurcalama korumasını doğruladı.
EICAR tespit edildi ancak engellenmedi: dosya diske 70 bayt olarak yazıldı ve tespit, Kullanıcı Yürütme yoluyla Yürütme'ye eşlenmiş Bilgilendirici olarak kaydedildi. CrowdStrike ve Bitdefender, varsayılan olarak EICAR'ı yalnızca tespit modunda bırakırken, diğer üçü onu engeller. APTSimulator çalıştırması, disk yazımından yaklaşık 25 saniye sonra 12 kötü amaçlı ikili dosyayı (mimikatz ailesi artı keşif araçları) karantinaya aldı.
Tespit kapsamı yaklaşık 13'te 12'ye, %92'ye yakın bir orana ulaştı. Zayıf alan kalıcılık ve günlük kurcalamadır: kayıt defteri Çalıştır anahtarları, zamanlanmış görevler ve bir Windows olay günlüğü temizleme, Faz 2 altında bile tespit edildi ancak engellenmedi. Tespitler MITRE teknik etiketleri taşır ve pano, standart taktiklerin yanında çalışan CrowdStrike'ın kendi "AI Powered IOA" kategorisiyle taktikleri grafiklendirir. Linux'ta, beş davranışsal testin tümü, kalp atışından sonra tespit beklenen eBPF telemetrisi altında çalıştırıldı; Faz 2 Linux politikası Orta olarak ayarlandığı için önleme kapalıydı.
İki kategori yapısal boşluklardır. Falcon, özel bir NDR sensörü pazarlamaz, bu nedenle ağ sinyali, Acronis ile aynı model olan uç noktadan türetilir. E-posta kapsanmaz; Trend, Sophos ve Bitdefender e-posta güvenliğini paketlerken, Falcon ayrı bir ürün bekler.
Yanıt ve iyileştirme
Ana makine izolasyonu, ana makine kesildikten sonra uzaktan inceleme için bir Real Time Response kabuğunu açık bırakan tek tıklamalı bir Ağ Muhafazası eylemi aracılığıyla çalışır. Tek test ana makinesinin erişilebilir kalması gerektiğinden canlı olarak tetiklemedik, ancak eylem hem ana makine tablosunda hem de tespit çekmecesinde mevcuttur.
CrowdStrike şifrelemeyi tersine çeviremez. Modeli, davranışsal engelleme ve Birim Gölge Kopyası koruması yoluyla şifrelemeden önce önlemek, kurtarma ise RTR aracılığıyla manuel olarak ele alınır. Sophos, CryptoGuard aracılığıyla ve Acronis yerel yedekleme aracılığıyla fidye yazılımı geri alma ile eşleşir, bu nedenle bu, bu ikisine göre açık bir boşluktur.
Otomasyon, kodsuz bir iş akışı oluşturucu ile yerleşik Fusion SOAR'ı kullanır. IOC yönetimi, toplu CSV/JSON içe aktarma, gösterge başına kapsam (platform, ana makine grubu, son kullanma tarihi) ve her değişiklikte zorunlu bir denetim günlüğü yorumu ile dört gösterge türünü (SHA256/MD5 karması, IP, alan adı, URL) destekler. Av, tespit filtresi çipleri, tam olay JSON'u döndüren Yeni Nesil SIEM olay araması ve kaydedilebilir süreç ağaçları ve grafiklerini kapsar, bu nedenle ayrı bir SIEM gerekmez.
Performans
Windows ajanı, CSFalconService işlemi ve dört konteyner yardımcısı genelinde yaklaşık 138 MB yerleşik olarak ölçüldü, boşta CPU sıfıra yakındı, Acronis'ten kabaca üç kat daha hafif ve Trend'in 890 MB'deki Apex One'ının çok altında.
Linux eBPF ajanı boşta 43 MB'de oturdu ancak 10 dakikalık olay işleme altında yaklaşık 445 MB'ye yükseldi, yüksek verimli ana makinelerde izlenmeye değer on katlık bir artış.
İsteğe bağlı yol tabanlı bir tarama, seçilebilir bir CPU sınırı %25, 50 veya 75 ile yaklaşık 113 saniye sürdü ve tarama zamanı NGAV kaydırıcıları gerçek zamanlı politikadan farklı olabilir. Sensör tarafı bir makine öğrenimi modeli, internet kesintileri sırasında kısmi koruma sağlar, bu nedenle tespit yalnızca bulut değildir.
Entegrasyon
Konsolda iki entegrasyon noktası doğrulandı. API, OAuth2 kimlik doğrulaması ve 30 dakikalık bir token ile etkileşimli bir OpenAPI belirtimi aracılığıyla sunulur, 70'ten fazla hizmet koleksiyonunu kapsayan resmi FalconPy Python SDK tarafından desteklenir, kıyaslamadaki en olgun API yüzeyi; Acronis ve Bitdefender resmi SDK sunmaz. Yeni Nesil SIEM yerleşiktir ve olay araması, tam olay JSON'u ile isabetler döndürdü, bu nedenle av için ayrı bir SIEM gerekmez.
SIEM katmanı (LogScale), Splunk, Microsoft Sentinel, QRadar, Elastic ve Chronicle için yerel bağlayıcılar, ayrıca Falcon Data Replicator ve bir akış API'si ekler; üçüncü taraf tehdit istihbaratı içe aktarımı TAXII, STIX ve MISP'yi kapsar; biletleme ise CrowdStrike Store (ServiceNow yerel, artı Jira, PagerDuty, Slack ve Teams) ve Fusion SOAR webhook'ları aracılığıyla çalışır. Bunlar testte kullanılmadı.
Tehdit istihbaratı
Uyarı zenginleştirme, konsoldaki en net sonuçtu. Tek bir engellenen tespit, bir süreç ağacı, komut satırı, MITRE eşlemesi, karma detayları, küresel ve yerel yaygınlık, 43 bağlamsal davranış ve Mandiant entegrasyonundan bir Google Threat Intelligence sekmesi taşıyordu. Besleme gerçek zamanlı olarak hareket etti: mimikatz ikili dosyaları, saniyeler içinde disk yazımında karantinaya alındı.
CrowdStrike'ın dokümantasyonuna göre, Karşı Düşman Operasyonları modülü 200'den fazla adlandırılmış düşmanı takip eder, beş aracın en büyük istihbarat operasyonları arasındadır ve ayrı Falcon Intelligence Premium katmanının arkasında daha derin atıf bulunur. Bu katman gezinmede görünürdü ancak testte kullanılmadı.
Raporlama
Etkinlik panosu, CrowdScore'u 0-100 metrik olarak, yeni ve son tespitleri, SHA tabanlı tespitleri, ana makine başına önlenen kötü amaçlı yazılımları ve Taktiklere Göre Tespitler grafiğini gösterdi. Bir pano, 30'dan fazla ön ayarlı widget artı özel olanları taşıyan bir Widget ekle paneli aracılığıyla klonlanabilir ve düzenlenebilirdi. Dışa aktarma, tablo CSV'si ve olay düzeyinde, Aç/Kaydet eylemi aracılığıyla süreç ağacı grafiği ve verileri için doğrulandı; diğer araçların sunmadığı tespit başına bir görsel dışa aktarma.
Panolar ayrıca zamanlanmış teslimatı destekler ve raporlama çıktısı pano PDF'si veya görüntüsüne, gerçek zamanlı bir akış API'sine ve e-posta aboneliklerine uzanır. Bu teslimat yolları testte kullanılmadı.
3. Sophos Intercept X
Sophos Intercept X, EDR, NGAV, fidye yazılımı geri alma ve dört katmanlı bir av yığınını, yalnızca bulut bir konsol olan Sophos Central aracılığıyla sunar.
Kurulum ve katılım
Sophos Central yalnızca bulut SaaS'tır; şirket içi Enterprise Console 2020'de kullanım ömrünün sonuna ulaştı, bu nedenle şirket içi veya hava boşluklu seçenek yoktur. Bu, Acronis ve Bitdefender'ın tek aday olarak kaldığı hava boşluklu ortamlarda onu devre dışı bırakır, CrowdStrike ile aynı konum.
Yükleyici, Trend'in 890 MB paketine karşı büyük bir farkla kıyaslamadaki en küçük olan 2,66 MB'lik bir saplamadır, tam bileşenler kurulum sırasında buluttan çekilir.
Bir Yükleyiciler sayfasından üç dağıtım yöntemi sunulur ve ajan indirmesi üst gezinmeden iki tık uzaktadır. Lisanslama dinamiktir, bu nedenle daha sonra bir modül eklemek yeniden kurulum gerektirmez ve bir XDR Sensör modu, bir arada bulunma için üçüncü taraf AV ile birlikte çalışır.
Windows kurulumu, isteğe bağlı, zorunlu olmayan bir yeniden başlatma ile yaklaşık 4 dakika 23 saniye sürdü, yaklaşık 10 dakikalık bir değere ulaşma süresi için. Son iletişim kutusu, yükleyicinin herhangi bir üçüncü taraf güvenlik yazılımını kaldırdığı konusunda uyarır, bu nedenle Defender ve diğer AV otomatik olarak kaldırılır, bu da geçişi kolaylaştırır ancak istenmeyen kaldırmayı önlemek için üretimde özel bir yükleyici gerektirir.
Kurulumdan sonra uç nokta, Kurcalama Koruması açık ve üç durum rozeti (Aktif Düşman Koruması, İzolasyon, Kilitleme) ile çevrimiçi olarak kaydedildi ve yedi dakika içinde iki imza güncellemesi aldı.
Yönetim konsolu
Konsol, 13'ten fazla modülde tek bir bölme olarak çalışır: Uç Nokta, Sunucu, NDR, E-posta Güvenliği, Phish Threat, ZTNA, Kimlik, Şifreleme, Güvenlik Duvarı, Kablosuz ve daha fazlası. Phish Threat, bir güvenlik farkındalığı eğitimi ve kimlik avı simülasyonu modülüdür, diğer dört araçta mevcut değildir.
Tehdit Analiz Merkezi, tespit ve av araçlarını barındırır. Politika, 11 ayrı Temel Politika olarak düzenlenmiştir, setteki en geniş politika modeli, DLP, Dosya Bütünlüğü İzleme, Windows Güvenlik Duvarı yönetimi, Yetkisiz Dosya Koruması ve Linux Çalışma Zamanı Tespiti'nin tümü yerleşik olarak.
Cihaz sağlığı, beş aracın en ayrıntılı sağlık görünümü olan yedi alt kategoriye ayrılır. Ajan modunu, kurcalama korumasını, politikaları ve istisnaları diğer kuruluşların bir kıyaslamasına göre puanlayan bir uyumluluk denetim özelliği olan Hesap Sağlık Kontrolü, Sophos'a özgüdür.
Tespit
13 Windows testi çalıştırdık. Altısı doğrudan bir engelleme üretti: mimikatz, comsvcs LSASS dökümü (Creds_4b, T1003.001, Kritik), bir AMSI atlatma (AMSI/Bypass-J), bir certutil indirme (T1105) ve bir mshta AMSI atlatma (Kritik). CIM aracılığıyla Sophos hizmetini durdurma girişimi reddedildi, tüm girişimlerde kendi kendine kurcalama engellendi. EICAR gizli bir karantina olarak kaydedildi ve üç test (kodlanmış PowerShell, rundll32 ve bir Windows olay günlüğü temizleme) tespit edildi ancak engellenmedi.
Defender devre dışı bırakma ve kayıt defteri/zamanlanmış görev kalıcılığı atlandı. Kapsam, %85'e yakın 13'te 11'e ulaştı, kıyaslamadaki en yüksek oran, önleme ve tespit her ikisi de güçlü.
Tutarlı bir model, Sophos'u Trend'den ayırdı: her engelleme, sessizce engellemek yerine konsola birden fazla olay yazdı. Örneğin, LSASS testi üç zaman damgalı olay üretti (işlem sonlandırma, imza tespiti, yapıt temizleme), böylece SOC görünümü ajanın gerçekte ne yaptığıyla eşleşti.
Pano, kapsamı bir MITRE TTP ısı haritası olarak grafiklendirir, diğer araçların çubuk grafikler veya listeler olarak gösterdiği görsel bir düzen, çalıştırma boyunca 51'den fazla eşlenmiş teknik ve tespit başına bir teknik etiketi ile.
İki kategori uç noktanın dışında yer alır. Sophos NDR, ağ uyarılarını aynı konsolda ilişkilendiren kendi sensörüne sahip ayrı lisanslı bir modüldür, Trend ile aynı seviyede ve CrowdStrike ile Acronis'in önünde. E-posta, Sophos Email Security aracılığıyla ve kimlik, Sophos ITDR aracılığıyla kapsanır.
Yanıt ve iyileştirme
CryptoGuard, en net yanıt gücüdür. Fidye yazılımı şifrelemesini entropi ve bir I/O mini filtresi aracılığıyla davranışsal olarak tespit eder ve anlık görüntülere dayanmadan etkilenen dosyaları geri yükler. CrowdStrike ve Trend şifrelemeyi tersine çeviremez; Sophos, burada yedekleme tabanlı yerine davranışsal bir mekanizma aracılığıyla Acronis ile eşleşir. Ana makine izolasyonu, cihazda bir eylem olarak mevcuttur ve Aktif Düşman Koruması ve Sunucu Kilitleme (uygulama izin listesi), davranışsal ve sağlamlaştırma katmanları ekler.
Korelasyon motoru, hem Windows hem de Linux ana makinesi için otomatik olarak vaka düzeyinde uyarılar oluşturdu ve bireysel tespitlerin üzerinde panoda daha üst düzey bir yükseltme ("bir saldırgan cihazlarınıza erişmeye çalışıyor") gösterdi, bir SOC yöneticisine ayrıntılı uyarı akışının üzerinde yönetici bir görünüm verdi.
Vaka önem derecesi genel olarak Yok olarak gösterildi. auto-önceliklendirme yoktur, bu nedenle 24 saatte 56 tespitle karşılaşan bir analist manuel olarak önceliklendirme yapmak zorundadır. Bu kadar tespit genişliğine sahip bir ürün için bu anlamlı bir boşluktur.
Performans
Windows çalışma zamanı, yaklaşık 16 işlemde yaklaşık 653 MB olarak ölçüldü, CrowdStrike'ın 138 MB'ından daha ağır ve Trend aralığında, modern uç noktalarda işlevsel ancak kısıtlı donanımda dikkate değer.
Linux ajanı, yaklaşık 297 MB yerleşik ve 846 MB diskte daha hafifti, Bitdefender'ın Linux ajanından kabaca dört kat daha hafif ve 53,2 saniyede kuruldu. Yerel önleme (CryptoGuard, Aktif Düşman Koruması ve anti-exploit katmanı) bulut olmadan çalışır, bu nedenle koruma bir internet kesintisi sırasında devam eder.
Entegrasyon
SIEM kapsamı, sertifikalı bir Splunk uygulaması, sertifikalı bir Microsoft Sentinel bağlayıcısı, bir IBM QRadar DSM, Sophos Data Lake ve CEF syslog'u içerir.
Platform, bölge farkında bir REST API (Bearer token artı kiracı başlığı) sunar ancak CrowdStrike'ın yaptığı gibi resmi bir Python SDK sunmaz. Üçüncü taraf istihbarat içe aktarımı, özel IOC yükleme ve YARA/Sigma tespit kuralları ile STIX 2.1 ve TAXII 2.1'i kapsar, ancak tek tıklamalı MISP bağlayıcısı yoktur.
Biletleme, sertifikalı ServiceNow ve Jira uygulamaları, MSP mirasından yerleşik bir ConnectWise PSA yolu ve genel webhook'lar aracılığıyla çalışır.
Tehdit istihbaratı
Uyarı zenginleştirme, konsoldaki en güçlü sonuçtu. Bir vaka açıldığında, Sophos AI iki ayrı mimikatz kuralını tek bir anlatıda birleştirdi, altı ATT&CK taktiğini auto-eşleştirdi, ilgili teknik bağlamını adlandırdı, önem derecesini 1'den 10'a bir ölçekte puanladı ve üç önerilen takip avı sundu.
Metin kalitesi ve proaktif takipler, diğer araçların asistanlarının ürettiğinin ötesine geçti.
Raporlama
Rapor galerisi, kıyaslamadaki en geniş olanıdır, günlükler, uç nokta, e-posta, Cloud Optix, web, ZTNA, DNS ve bir Hero Reports yönetici özetini kapsayan 8'den fazla kategori ve 20'den fazla şablon ile.
4. Bitdefender GravityZone
Bitdefender GravityZone, EPP, EDR, XDR, risk yönetimi, yama ve uyumluluğu tek bir bulut konsolu ve tek bir modüler ajandan çalıştırır.
Kurulum ve katılım
GravityZone, bulut SaaS olarak ve veri sayfasına göre test etmediğimiz bir şirket içi cihaz olarak sunulur, bu nedenle Bitdefender, şirket içi yola sahip iki araçtan biri olarak Acronis'e katılır.
Giriş, bir kiracı politikasının devre dışı bırakabileceği bir atlama seçeneği ile bir 2FA kayıt sihirbazını zorunlu kıldı ve pano, bakım pencerelerini önceden duyuran beş konsoldan tek olan proaktif bir bakım başlığı taşıdı.
Dağıtım, bir sihirbazdan dört yöntem sundu: yerel kurulum, kullanıcılara bir e-posta bağlantısı, manuel bir röle paketi ve konsol tarafından düzenlenen bir röle itmesi, paketlerde net bir çok kiracılı izolasyon uyarısı ile.
Windows yükleyicisi, zorunlu yeniden başlatma olmadan yaklaşık 250 saniyede dört adımlı bir görsel akış (ön kontroller, kurulum, tamamlama) çalıştırdı, ölçülen en yavaş Windows kurulumu.
Linux kurulumu, bir kabuk betiği ile tek bir 1,04 GB tar kullandı ve 52 saniyede tamamlandı, en hızlı Linux kurulumu, EDR ve SIEM taşıyan bir EventCorrelator dahil 11 modülü etkinleştirdi.
Yükleyici, rakip AV'yi otomatik olarak kaldırır. İşletim sistemi matrisi, bir eklenti aracılığıyla eski Windows 7/8 desteği ve ayrı bir mobil MTD modülü ile setteki en geniş olanıdır.
Yönetim konsolu
Konsol, kıyaslamadaki en kapsamlı tek bölmedir, 11 üst kategoriyi kapsar: Pano, Olaylar, Threats Xplorer, Ağ, Risk yönetimi, Politikalar, Raporlar, Karantina, Hesaplar, Sandbox Analyzer, Mobil güvenlik ve bir Entegrasyonlar merkezi, yanında bir Saldırı Yüzeyi Yönetimi panosu ve bir Uyumluluk yöneticisi ile.
Özelleştirme, Olaylar, Yanıt, Threats Xplorer ve Ağ genelinde 30'dan fazla varsayılan akıllı görünüm taşıyan bir Kayıtlı Görünümler sistemi üzerinde çalışır, beş aracın en zengin seti. Özel tespit kuralı düzenleyicisi, EDR ve XDR etiketleri ve kaydetmeden önce kural sözdizimini doğrulayan bir DOĞRULA düğmesi ile dört adımlı bir oluşturucudur, diğer araçların sunmadığı bir kaydetme öncesi kontrol.
RBAC, beş ayrıntılı hakkı (ağları yönet, verileri görüntüle ve analiz et, gelişmiş inceleme, uç nokta ayarlarını yönet, salt okunur) parola yaşı, kilitleme ve eşzamanlı oturumları kapsayan bir oturum açma güvenliği politikasıyla eşleştirir ve rolü hedef gruba karşı çift eksen olarak atar.
Tespit
WMI aracılığıyla dört PowerShell yürütme girişimi çalıştırarak EDR motorunu izole ettik. Bitdefender üç katmanda engelledi: kodlanmış komut işlem başlangıcında reddedildi, bir çalışma zamanı PowerShell başlatması davranışsal ve AMSI katmanı tarafından yakalandı ve SMB ile bırakılan bir betik dosya taramasında kilitlendi; düz bir cmd yönlendirmesi geçti, çünkü davranışsal model WMI tarafından başlatılan PowerShell'i hedef aldı.
Çalıştırma iki olay üretti, ana olay bir cmd.exe tetikleyicisine karşı 11 uyarı, 9 yapıt, bir Engellendi eylemi ve 12 MITRE alt tekniği kaydetti.
EICAR yazmada karantinaya alındı. Cmd tabanlı fidye yazılımı simülasyonu, yukarıda belirtildiği gibi varsayılan politika altında geçti. Linux'ta, beş davranışsal testin tümü çalıştırıldı ve Linux önlemesi varsayılan olarak kapalı olduğu için raporlama modunda önem derecesi 44'te ilişkili bir olay kaydetti. Davranışsal motor, İzin Verici, Normal ve Agresif hassasiyetle 340'tan fazla özellikte belgelenmiş ayarlanabilir bir yürütme öncesi katman olan HyperDetect'tir.
MITRE eşlemesi açık bir güçtü. Tek bir Windows olayı 12 alt teknik ve tek bir Linux olayı 14'ten fazla gösterdi, alt teknik ayrıntı düzeyi (T1059.001 ve T1564.004 gibi) doğrudan kullanıcı arayüzünde gösterildi, diğer araçların gösterme eğiliminde olduğu taktik düzeyinde eşlemeden daha derin.
Ağ tespiti, dağıtmadığımız kendi VM'sini gerektiren ayrı lisanslı bir sensör aracılığıyla çalışır ve kimlik kapsamı altı yerel bağlayıcıyı (Office 365, Active Directory, Azure AD, Intune, Google Workspace, Okta) kapsar.
Yanıt ve iyileştirme
İşlem düzeyinde auto-reddetme varsayılan olarak açıktır ve bir İzole Et eylemi doğrudan tespit detayları panelinde bulunur, ancak tek test ana makinesinde canlı olarak tetiklemedik. Karantina, geri yükleme, alma, boşaltma ve silme eylemleriyle dört dosya (EICAR artı üç davranışsal tespit) tuttu.
Fidye Yazılımı Azaltma, entropi tabanlıdır ve Birim Gölge Kopyası'ndan bağımsız, 30 güne kadar saklama ile tescilli bir bellek içi yedekleme çalıştırır, bu da onu VSS devre dışı bırakma saldırılarına karşı dirençli tutar.
Sophos CryptoGuard gibi özel bir geri alma motoru yerine bir azaltma ve geri yükleme mekanizmasıdır ve varsayılan politika altında düşük entropili cmd simülasyonunu yakalamadı.
Yanıt otomasyonu, Akıllı Görünümler aracılığıyla izlenen beş durumlu bir iş akışı ve özel kurallarda bir auto-yanıt geçişi kullanır, bu nedenle iş akışı takibi mevcuttur ancak tam bir playbook tasarımcısı yoktur. Av, özel kural oluşturucuyu, aramayı, kendi kayıtlı görünümlerine sahip Threats Xplorer çalışma tezgahını, üç sekmeli bir olay görünümünü (grafik, olaylar, yanıt) ve bir karma veya IP listesini bir görev olarak uç noktalara iten bir IOC taramasını kapsar.
Performans
Windows ajanı, yedi işlemde yaklaşık 1174 MB yerleşik olarak ölçüldü, ana hizmet tek başına kabaca 1005 MB, diskte 1655 MB ve boşta CPU %1'e yakın; Defender pasif moda alındı, bu nedenle çakışma olmadı.
Linux ajanı, sekiz modüler işlemde yaklaşık 1264 MB olarak ölçüldü. Her ikisi de CrowdStrike'ın ayak izinin kabaca on katıdır, modern 8 GB üstü uç noktalarda işlevsel ancak 4 GB donanımda bir değerlendirme konusudur; modüler işlem tasarımı, bir modül çökmesini RAM maliyetiyle izole eder. Tarama, dört hassasiyet modu (Agresif, Normal, İzin Verici, Özel), üç tarama türü ve önyükleme sektörleri, işletim sistemi, kayıt defteri ve arşivler için kapsam geçişleri sunar.
Tarama motoru, Merkezi Taramayı (bulut destekli) azaltılmış bir tespit oranında çevrimdışı çalışan bir Hibrit Tarama yedeğiyle eşleştirir.
Entegrasyon
SIEM kapsamı üç katmanda çalışır: HEC üzerinden yerel bir Splunk bağlayıcısı, QRadar, Elastic ve Sentinel için genel bir syslog ileticisi ve bir Event Push Service API'si; Bitdefender'ın kendine ait yerleşik bir SIEM motoru yoktur.
API, REST yerine JSON-RPC 2.0'dır, HTTP Basic ile kimlik doğrulanır, saniyede 10 istek sınırıyla sekiz hizmet sunar, OAuth ve resmi SDK yoktur, bu nedenle REST şeklindeki entegrasyon betiklerinin özel bir zarfa ihtiyacı vardır. Üçüncü taraf istihbarat, manuel bir IOC taraması (CSV karma, IP veya alan adı listeleri) aracılığıyla içe aktarılır; otomatik STIX, TAXII veya MISP besleme aboneliği yoktur, ancak Bitdefender kendi telemetrisini dışa aktarmak için betikler sağlar. Biletleme, Atlassian ve HALOPSA'yı kapsar, yerel ServiceNow bağlayıcısı yoktur.
Tehdit istihbaratı
Bitdefender Labs, Operation Saffron VPN kapatması ve bir FamousSparrow APT analizi dahil aktif araştırma yayınlar, bir konsol haber widget'ında canlı olarak gösterildi.
Bulut beslemesi, Arrakis CDN üzerinden saatlik ajan içerik kontrolleri ile yeni göstergeleri yaklaşık beş dakika içinde yeniler. Uyarı zenginleştirme güçlüydü, dahili bir taksonomiyi (Windows'ta HPC.Malicious ve Linux'ta sızıntı ön ekli bir aile gibi) MITRE eşlemesi, tespit eden teknoloji ve modül ve üst süreç zinciri ile eşleştirdi.
İki zenginleştirme yolu IntelliZone eklentisinin arkasındadır: tam tehdit aktörü atfı (temel XDR, aktör profilleri değil MITRE teknik etiketleri taşır) ve VirusTotal gibi harici itibar sorgulamaları. Atıfta bulunulan üçüncü taraf doğrulaması güçlüdür: AV-Comparatives EDR 2026 yüzde yüz telemetri sertifikası ve bir AV-TEST 105/105 dayanıklılık puanı.
Raporlama
Rapor kütüphanesi, güvenlik operasyonları, uyumluluk ve kapasiteyi (anti-phishing, kötü amaçlı yazılım etkinliği, ilk 10 listeleri, uç nokta ve yama durumu, lisans kullanımı, risk yönetimine bağlı bir Risk Göstergeleri raporu ve engellenen uygulamalar) kapsayan 10'dan fazla yerleşik şablon, ayrıca özel bir Fidye yazılımı etkinliği raporu taşır. Raporlar şimdi veya hedef grup kapsamıyla saatlik, günlük veya haftalık zamanlamada çalışır.
Dışa aktarma, her biri bağımsız olarak seçilebilen bir PDF özeti, bir CSV detay dosyası ve e-posta teslimatlı bir ZIP arşivini kapsar. Yerel JSON veya XML dışa aktarma yoktur, bu nedenle yapılandırılmış otomasyon genel API üzerinden gider.
5.Trend Micro Vision One
Trend Micro Vision One, uç nokta, e-posta, ağ, kimlik, bulut ve risk yönetimini kapsayan 15 modüllü bir bulut platformudur, XDR sensörü ve Apex One önleme ajanı ayrı bileşenler olarak sağlanır.
Kurulum ve katılım
Vision One yalnızca buluttur, şirket içi konsolu yoktur; ancak platform, Activate ekranındaki bir bağlayıcı aracılığıyla mevcut şirket içi Apex Central ve Deep Security Manager dağıtımlarını köprüler, bu nedenle hibrit ortamlara salt bulut bir üründen daha iyi uyar.
Dağıtım, koruma iki ajan gerektirdiği için kıyaslamadaki en karmaşık olanıdır. Vision One Endpoint Security sensörü (9,3 MB'lik bir önyükleyici) hızlıca kurulur ancak yalnızca telemetri sağlar; konsol, bir Standart Uç Nokta Koruması (Apex One) örneği oluşturulup ayrı ajanı dağıtılana kadar kötü amaçlı yazılım önleme ve davranış izlemeyi desteklenmiyor olarak işaretler.
Bu ikinci paket 890 MB'dir, kıyaslamadaki en büyük ve CrowdStrike'ınkinin kabaca on katıdır ve çekirdek düzeyindeki sürücüleri nedeniyle yeniden başlatma gerektirir. Baştan sona, değere ulaşma süresi kurulum ve yeniden başlatma için 15 ila 20 dakika sürdü, ölçülen en uzun süre; sensörün kendisinin Çalışıyor durumuna ulaşması 23 dakika daha sürdü ve bir indirme klasörü yakalaması iki ikili dosyayı yan yana doğruladı. Lisanslama işletim sistemi başına ayrıntılıdır, bu nedenle Linux test edilen kapsamın dışında kaldı.
Yönetim konsolu
Sol gezinme, beş aracın en geniş portföyü olan 15 modülü kapsar. E-posta ve İşbirliği Güvenliği ve Kimlik Güvenliği ayrı üst düzey modüllerdir, Ağ Güvenliği Deep Discovery Inspector NDR cihazı tarafından beslenir ve Siber Risk Pozlama Yönetimi, güvenlik açığı yönetimini, saldırı yolu tahminini ve kimlik avı simülasyonunu tek bir yerde birleştirir. Bir Companion AI asistanı, tek bir sohbet paneli yerine konsol genelinde bulunur.
İki niteleyici, genişliği yumuşatır. İlk olarak, birkaç yetenek Önizleme, Ön sürüm veya Yakında etiketleri taşır (politika birleştirme, Günlük Denetimi, Bütünlük İzleme, Sandbox Analizi), bu nedenle platform tamamen konsolide olmaktan ziyade yol haritasının ortasındadır.
İkincisi ve daha önemlisi, tek bölme iddiası testte çöktü: mshta, rundll32 ve LSASS dökümü testleri, Apex One davranış izleme tarafından engellendi ancak Uç Nokta Uyarıları, Gözlemlenen Saldırı Teknikleri tablosu veya Workbench'te hiçbir kayıt oluşturmadı.
Konsol birleşik görünür, ancak Apex One ve Vision One sensörü iki iş hattı olarak çalışır ve Workbench'te çalışan bir analist davranış izleme engellemelerini görmez.
Tespit
16 Windows testi çalıştırdık ve sonuçlar, üç farklı görünürlük seviyesine sahip üç mekanizmaya bölündü.
İmza tabanlı tespit güçlüydü ve tamamen günlüğe kaydedildi: EICAR, üç kanalda (uç nokta bildirimi, OAT ve Uç Nokta Uyarıları) tespit edildi ve engellendi ve bir mimikatz ikili dosyası, zengin ATT&CK zenginleştirmesi ile yürütme öncesinde karantinaya alındı.
Zenginleştirme, beş aracın en deriniydi, yalnızca MITRE tekniğini değil, mimikatz için belirli yazılım kimliğini artı Trend'in kendi istihbarat ve model tanımlayıcılarını etiketledi. Kendi kendine kurcalama koruması tuttu: Apex One gerçek zamanlı tarayıcısını durdurmaya yönelik dört girişimin tümü hizmet kontrolü düzeyinde reddedildi.
Silo, sessiz engellemeler olarak ortaya çıktı. mshta, rundll32 ve comsvcs LSASS dökümü testlerinin tümü uç noktada durduruldu, ancak hiçbiri herhangi bir konsol paneline ulaşmadı, bu nedenle bir analist başarılı bir engellemeye rağmen hiçbir olay görmezdi.
Birkaç test tamamen atlandı: kodlanmış PowerShell, bir certutil indirme, AMSI atlatma, olay günlüğü temizleme, Defender devre dışı bırakma ve dar kayıt defteri Çalıştır ve zamanlanmış görev kalıcılığı senaryolarının tümü tespit edilmeden geçti. Trend'in kalıcılık kuralları, genel kayıt defteri veya görev oluşturma yerine adlandırılmış yüksek doğruluklu modelleri (sethc, mimikatz) tercih eder. Net etkili kapsam, 8 atlama ile yaklaşık 16'da 8'e ulaştı.
Vision One'ın öne çıktığı yer korelasyondu. Tek bir Workbench içgörüsü, yanal hareket ve APTSimulator testleri indikçe test penceresi boyunca 2 uyarı ve 1 aşamadan (Orta, puan 40) 147 uyarı ve 6 aşamaya (Kritik) büyüdü, süreç ağacını ve öldürme zincirini otomatik olarak yeniden oluşturdu.
Ödünleşim gecikmedir: imza uyarıları Uç Nokta Uyarılarına yaklaşık 4 dakikada ulaştı, ancak Workbench içgörüleri 30 ila 90 dakika gecikti. Bu pencere, gerçek zamanlı yanıt değil, inceleme sınıfı SOC çalışmasına uygundur. Davranışsal bir olayın Workbench'te görünmesinden önceki 90 dakikalık bir gecikme, olay sonrası adli bilişim için uygundur. SOC'nizin bu konsoldan canlı saldırılara yanıt vermesi bekleniyorsa bu bir sorundur.
Yanıt ve iyileştirme
Ana makine izolasyonu, uç nokta envanteri eylem menüsünden kullanılabilir, ancak canlı olarak tetiklenmedi.
En net boşluk fidye yazılımı kurtarmasıdır: Vision One, Hasar Temizliği (kötü amaçlı yazılım yapıtlarını kaldırma) sunar ancak şifrelenmiş dosya geri alması yoktur, CrowdStrike ile aynı zayıflık ve Sophos CryptoGuard ile Acronis yedekleme geri yüklemesinin tersi. Karantina ve yerleşik bir SOAR katmanı (Güvenlik Playbook'ları, Vaka Yönetimi, API Otomasyon Merkezi) gezinmede mevcuttur; playbook motoru derinlemesine kullanılmadı.
Performans
Çalışma zamanı ayak izi ölçülen en ağırdı: 14 işlemde yaklaşık 621,8 MB RAM, boşta CPU %9,7'ye yakın, CrowdStrike'ın ajanının kabaca 4,5 katı ve diğerlerinin oldukça üzerinde. Ağırlık, Apex One kötü amaçlı yazılım önleme, davranış izleme ve Vision One sensörünü paralel hizmetler olarak çalıştırmaktan gelir. Olumlu tarafta, Apex One çevrimdışı çalışabilir: önleme katmanı bir internet kesintisi sırasında çalışmaya devam ederken, sensörün görünürlüğü duraklar. İsteğe bağlı tarama bir CPU sınırı kaydırıcısı sunar ancak ölçülmedi.
Entegrasyon
Vision One, yerleşik bir SIEM (Veri Kaynağı ve Günlük Yönetimi ile Ajan SIEM ve XDR modülü ve bir XDR Data Explorer sorgu arayüzü) sunar, bu nedenle ayrı bir Splunk dağıtımı gerektirmez ve ayrıca yerel Splunk, Sentinel ve QRadar bağlayıcılarını korur. REST API, OAuth2 ve yayınlanmış bir Python SDK (pytmv1) ile bölge kapsamlıdır, CrowdStrike'ın geliştirici yüzeyi ile aynı seviyede.
Farklılaştırıcı, üçüncü taraf tehdit istihbaratıdır: TAXII beslemeleri ve MISP, özel bir sayfadan yerel olarak desteklenir, bunu yapan beş araçtan tek olanıdır, bu da MISP'nin standart olduğu Avrupa CERT ekosistemleri için önemlidir. Özel IOC'ler (karma, IP, alan adı, URL), Şüpheli Nesne Yönetimi aracılığıyla yönetilir. Biletleme bağlayıcıları (ServiceNow, Jira, Slack, Teams) belgelenmiştir ancak konsolda doğrulanmadı.
Tehdit istihbaratı
Trend'in araştırma ayak izi olgundur, Trend Research ve yıllık Pwn2Own yarışmasına sponsor olan ve açıklanan güvenlik açıklarında alana liderlik eden Zero Day Initiative tarafından desteklenir. Tehdit beslemesi testte iyi performans gösterdi, mimikatz'ı genel bir kimlik bilgisi dökücü yerine belirli yazılım kimliğiyle tanıdı, Smart Protection Network bulut sorgulaması ikili dosyayı inişinden yaklaşık bir dakika sonra yakaladı. Attack Surface Discovery, kayıttan dakikalar sonra ana makinede iki CVE'yi auto-tespit etti ve 8 faktörlü bir risk puanı üretti.
Uyarı zenginleştirme, MITRE eşlemesi, yazılım kimlikleri, Trend'in istihbarat ve model tanımlayıcıları, bir süreç ağacı ve bir zaman çizelgesini birleştirerek imza tabanlı tespitler için beş arasında en güçlüsüydü. Aynı silo uyarısı geçerlidir: davranış izleme engellemeleri asla konsola ulaşmaz, bu nedenle asla herhangi bir zenginleştirme almazlar. Düşman atfı, CrowdStrike'ın kataloğu gibi adlandırılmış düşman yerine kampanya ve aile odaklıdır (FIN7, APT41, Earth).
Raporlama
Önceden oluşturulmuş şablonlar, Siber Risk Genel Bakış panosunun yanında yönetici, operasyonlar ve uyumluluk raporlamasını (PCI DSS, HIPAA, ISO 27001) kapsar, özel ve zamanlanmış raporlar ve çok formatlı dışa aktarma (PDF, Excel, CSV) artı e-posta teslimatı ile. Companion AI, pano widget'larını konuşma yoluyla sorgulayabilir ve test sırasında Türkçe yanıt verdi, diğer konsolların aynı düzeyde sunmadığı bir zenginleştirme yolu.
6. Stellar Cyber Open XDR
Stellar Cyber, 400'den fazla önceden oluşturulmuş bağlayıcı aracılığıyla mevcut herhangi bir güvenlik aracından telemetri alan, satıcıdan bağımsız bir mimari üzerine inşa edilmiş lider Açık XDR platformudur.1 Kuruluşların mevcut EDR, NGFW veya kimlik araçlarını değiştirmesini gerektirmek yerine, Stellar Cyber mevcut yığının üzerine oturur ve tüm girdilerde birleşik tespit, inceleme ve yanıt sağlar.

Kaynak: Stellar Cyber
Temel özellikler:
- Açık mimari: Herhangi bir EDR, NGFW, kimlik sağlayıcı veya bulut platformundan alım yapan 400+ bağlayıcı
- SIEM, NDR, XDR ve UEBA'yı kapsayan tek lisans
- Kaynaklar arası saldırı zinciri korelasyonu için Interflow olay modelleme
- Yapay zeka odaklı önceliklendirme, uyarı korelasyonu ve vaka oluşturma
- İlk inceleme ve vaka özetleme için ajan yapay zeka yetenekleri
Sınırlamalar:
- Platform, 50–500 çalışanı olan kuruluşlar ve orta pazar güvenlik ekipleri için optimize edilmiştir; kurumsal ölçekte özelleştirme ve gelişmiş adli derinlik, CrowdStrike ve Palo Alto'nun gerisinde kalabilir
- Açık XDR'nin alım genişliği, dikkatli bağlayıcı yapılandırması gerektirir; tespit kalitesi, kaynak araçlardan gelen telemetri kalitesine bağlıdır
- Daha uzun pazar varlığına sahip yerel XDR satıcılarından daha küçük iş ortağı ve entegrasyon ekosistemi
7. SentinelOne Singularity XDR
SentinelOne Singularity XDR, uç nokta katmanında yapay zeka odaklı tespit ve yanıtıyla bilinen, tek bir birleşik veri gölü aracılığıyla bulut iş yüklerine, kimliğe ve ağa genişletilmiş yerel bir XDR platformudur.
Purple AI, SentinelOne'ın doğal dil tehdit avı arayüzüdür, analistlerin Singularity Data Lake'i sade İngilizce sorgulamasına ve inceleme özetleri, tehdit avı sonuçları ve önerilen iyileştirme adımları almasına olanak tanır.
Temel özellikler:
- Analist müdahalesi olmadan fidye yazılımı için otonom tehdit tespiti ve tek tıklamayla geri alma
- Otomatik kök neden analizi ve saldırı anlatısı oluşturma için Storyline
Sınırlamalar:
- Bazı kullanıcılar, geliştirici uygulamaları da dahil olmak üzere meşru araçların aşırı agresif şekilde engellendiğini, manuel istisna yönetimi gerektiğini bildirmektedir
- Büyük ölçekli dağıtımlar sırasında yönetim konsolunda ajan çoğaltma sorunları bildirilmiştir
8. Cisco XDR
Cisco XDR, kullanımdan kaldırılan Cisco SecureX'in yerini alan bulut yerel bir XDR platformudur. Cisco XDR, Cisco'nun güvenlik portföyünden ve üçüncü taraf entegrasyonlardan telemetriyi ilişkilendirir. Cisco'nun tespit ve yanıt yeteneklerini değerlendiren kuruluşlar, tamamen kullanımdan kaldırılmış olan SecureX'i değil, Cisco XDR'yi referans almalıdır.
Platform, Cisco Secure Firewall, Catalyst anahtarları ve uç nokta ajanları arasındaki yerel telemetri korelasyonunun entegrasyon yükünü önemli ölçüde azalttığı, halihazırda Cisco'nun ağ ve güvenlik altyapısını kullanan kuruluşlar için doğal bir uyumdur.
Temel özellikler:
- Cisco'nun güvenlik portföyü genelinde yerel entegrasyon (uç nokta, ağ, e-posta, kimlik)
- Cisco ekosisteminin ötesine kapsamı genişleten üçüncü taraf entegrasyonlar
- Önceliklendirilmiş uyarı korelasyonu ile otomatik olay incelemesi
- Cisco Talos tehdit istihbaratı ile entegrasyon
Sınırlamalar:
- Değer, Cisco'nun mevcut güvenlik portföyüne yatırım yapmış kuruluşlar için önemli ölçüde daha yüksektir; Cisco dışı altyapı çalıştıran kuruluşlar daha az yerel entegrasyon faydası görecektir
- Cisco XDR nispeten yeni bir üründür; bazı alanlardaki özellik derinliği, daha köklü yerel XDR platformlarının gerisinde kalır
- Cisco güvenlik lisanslarıyla free olarak dahil edilen SecureX'in aksine, Cisco XDR ayrı bir ücretli lisans gerektirir; mevcut Cisco müşterileri için anlamlı bir maliyet değişikliği
9. Exabeam New-Scale Güvenlik Operasyonları Platformu
Exabeam daha önce bir SIEM ve XDR platformu olarak konumlandırılmıştı. Ocak 2026 itibarıyla Exabeam, birincil teklifini, geleneksel SIEM ve XDR işlevlerinin ötesine geçen genişletilmiş yetenekleri yansıtan New-Scale Güvenlik Operasyonları Platformu (New-Scale Fusion olarak satılır) olarak pazarlamaktadır.2
Temel özellikler:
- New-Scale Fusion platformu: Birleşik bir mimaride SIEM, UEBA ve XDR
- Yapay zeka ajanı izleme için Ajan Davranış Analitiği (ABA) (Ocak 2026)
- Riskli çalışan yapay zeka aracı etkileşimlerini tespit etmek için Yapay Zeka Kullanım Güvenliği
- MITRE ATT&CK'ye eşlenmiş 50'den fazla önceden oluşturulmuş tehdit senaryosu ile davranışsal analitik
- 500'den fazla güvenlik ve BT veri kaynağıyla entegrasyon
- Yaygın tehdit türleri için önceden paketlenmiş içerikle sonuç tabanlı kullanım senaryoları
Sınırlamalar:
- SIEM+XDR'den New-Scale'e platform yeniden markalaşması, tedarikte kafa karışıklığı yaratır; alıcılar, temel lisanslamaya karşı eklentilere hangi yeteneklerin dahil olduğunu doğrulamalıdır
- ABA ve Yapay Zeka Kullanım Güvenliği yeni piyasaya sürülmüştür; kritik kullanım senaryoları için bunlara güvenmeden önce üretim olgunluğu ve tespit kapsamı doğrulanmalıdır
10. Microsoft Defender XDR
Microsoft Defender XDR, Microsoft Defender for Endpoint, Defender for Identity, Defender for Office 365 ve Microsoft Sentinel genelindeki sinyalleri birleşik bir olay inceleme deneyiminde ilişkilendiren yerel bir XDR platformudur.
Platformun birincil rekabet avantajı ekosistem entegrasyonudur: Entra ID, Intune, Azure ve tam Microsoft 365 yığınına yerel bağlantı, üçüncü taraf bir XDR ile aynı kapsamı elde etmek için gereken entegrasyon çalışmasını ortadan kaldırır. Microsoft Sentinel, temel SIEM ve veri gölü olarak hizmet verir.
Temel özellikler:
- Uç nokta, kimlik, e-posta ve bulut genelindeki sinyalleri ilişkilendiren birleşik olay görünümü
- 500'den fazla veri bağlayıcısı ile SIEM ve SOAR katmanı olarak Microsoft Sentinel
- Doğal dil incelemesi ve rapor taslağı hazırlama için Security Copilot entegrasyonu
Sınırlamalar:
- Tespit etkinliği Windows'ta güçlüdür, ancak macOS ve Linux uç noktalarında daha zayıftır. Microsoft olmayan yığın ortamları, katmanlı kapsam gerektirebilir
- Platformun yönetişimi, birden fazla konsolda gezinmeyi gerektirir (Defender portalı, Sentinel çalışma alanı, Entra yönetici merkezi), bu da tek konsollu rakiplere kıyasla analist bilişsel yükünü artırır
- Lisanslama katmanları (E3, E5, Defender eklentileri, Copilot for Security) karmaşıktır; toplam maliyet dikkatli bir eşleme gerektirir
11. Palo Alto Cortex XDR
Palo Alto Networks Cortex XDR, birleşik bir tespit ve yanıt katmanı sağlamak için uç nokta, ağ ve bulut telemetrisini Palo Alto'nun güvenlik duvarı ve Prisma altyapısıyla entegre eden yerel bir XDR platformudur.
Cortex XSIAM, Palo Alto'nun ajan SOC pazarına tam platform yanıtıdır. Cortex XDR, uç nokta ve ağ için tespit ve yanıtı yönetirken, Cortex XSIAM, 10.000'den fazla dedektör ve 2.600'den fazla ML modeli tarafından desteklenen, 500'den fazla önceden oluşturulmuş otomasyon playbook'u ile SIEM, XDR, SOAR ve saldırı yüzeyi yönetimini tek bir platformda birleştirir.3
Temel özellikler:
- MITRE ATT&CK Tur 6'da %100 teknik düzeyinde tespit
- Tek bir ajandan uç nokta, ağ, bulut ve kimlik genelinde davranışsal tehdit koruması
- Uyarıları kök neden ve etki alanı ile tek bir saldırı hikayesinde birleştiren olay görünümleri
- Birleşik ağ ve uç nokta görünürlüğü için Palo Alto güvenlik duvarları ve Prisma SASE ile yerel entegrasyon
Sınırlamalar:
- En iyi değer, Palo Alto ekosistemi (güvenlik duvarları, Prisma) içinde elde edilir; mevcut Palo Alto altyapısı olmayan kuruluşlar daha yüksek dağıtım yüküyle karşılaşır
- Cortex XDR, sürekli olarak XDR fiyatlandırma yelpazesinin premium ucunda derecelendirilir; PRO lisanslama dahil olmak üzere modelin toplam sahip olma maliyeti erkendir
Ortak Özellikler
İncelenen tüm platformlar, standart yetenekler olarak aşağıdakileri içerir:
- Çapraz alan telemetri alımı: Tüm platformlar, bir uç noktadan ve en az bir ek güvenlik alanından (ağ, bulut, kimlik veya e-posta) veri alır. Kapsam genişliği ve derinliği değişir; alıcılar, kısa liste oluşturmadan önce belirli telemetri kaynaklarını her satıcının bağlayıcı kataloğuyla eşlemelidir.
- Birleşik olay tespiti: Tüm platformlar, her araçtan bireysel uyarılar göstermek yerine, çok kaynaklı telemetriyi birleştirilmiş olaylarda ilişkilendirir. Bu, onu bağımsız EDR'den ayıran temel XDR değer önerisidir.
- MITRE ATT&CK uyumu: Tüm platformlar, çerçeveye karşı tutarlı tehdit kategorizasyonu ve boşluk analizi sağlayan MITRE ATT&CK taktik ve tekniklerine tespitleri eşler.
- Otomatik yanıt eylemleri: Tüm platformlar, uç noktaları izole etme, IP'leri engelleme ve kimlik bilgilerini iptal etme gibi otomatik veya yarı otomatik yanıtları destekler, ancak otomasyon derecesi ve kapsanan alanlar önemli ölçüde değişir.
- Tehdit istihbaratı entegrasyonu: Tüm platformlar tehdit istihbaratı beslemelerini içerir veya entegre eder. CrowdStrike (Adversary Intelligence), Palo Alto (Unit 42) ve Cisco (Talos), küresel kapsama sahip tescilli tehdit araştırma ekipleri işletir.
- Uyumluluk günlüğü ve raporlama: Tüm platformlar, tespit ve yanıt etkinliğinin denetime hazır günlüklerini tutar. SIEM ile entegre platformlar daha geniş uyumluluk kapsamı sağlar.
XDR vs EDR vs SIEM
Bu üç kategori, satıcı pazarlamasında önemli ölçüde örtüşür, ancak her biri farklı bir kapsam sorununu çözer.
- EDR (Uç Nokta Tespit ve Yanıt), dizüstü bilgisayarlar, sunucular ve iş istasyonları gibi uç nokta cihazlarındaki tehditleri izler ve bunlara yanıt verir. Uç nokta ajanından telemetri toplar, davranışsal anormallikleri tespit eder ve analistlerin bireysel cihazlardaki tehditleri incelemesini ve kontrol altına almasını sağlar.
- XDR, EDR'yi birden çok güvenlik katmanında genişletir. EDR'nin uç noktayı kapsadığı yerde, XDR, uç noktalardan, ağlardan, bulut iş yüklerinden, kimlik sistemlerinden ve e-postadan telemetriyi birleşik bir tespit ve yanıt platformunda alır ve ilişkilendirir. Çapraz alan korelasyonu, XDR'nin ayrı araçlarda ilgisiz gürültü olarak görünen saldırı zincirlerini ortaya çıkarmasına olanak tanır.
- SIEM (Güvenlik Bilgisi ve Olay Yönetimi), tehdit tespiti, uyumluluk raporlaması ve geçmişe dönük inceleme için ortam genelinden günlük verilerini toplar ve saklar. Geleneksel SIEM pasiftir: kural eşleşmelerinde uyarır ve sorgular için veri depolar. Modern SIEM platformları, Microsoft (Sentinel + Defender XDR) ve CrowdStrike (Falcon Next-Gen SIEM) gibi satıcıların SIEM'i bir XDR tespit motorunun altındaki veri katmanı olarak ele almasıyla XDR ve SOAR ile yakınsamaktadır.
Yerel XDR vs Açık XDR
XDR pazarı, temelde farklı satın alma kararlarını yönlendiren iki farklı mimari modele resmi olarak ayrılmıştır.
- Yerel XDR, satıcının kendi uç nokta, ağ, bulut ve kimlik ürünlerini birleşik bir tespit ve yanıt katmanında entegre eden tek satıcılı bir platformdur. CrowdStrike Falcon, Microsoft Defender XDR ve SentinelOne Singularity, yerel XDR platformlarıdır. Avantaj, derin entegrasyon ve tek bir veri modelidir; ödünleşim, bir satıcı ekosistemine satın alma yapıyor olmanızdır.
- Açık XDR satıcıdan bağımsızdır: yığındaki mevcut herhangi bir güvenlik aracından telemetri alır ve söküp değiştirme gerektirmeden bu girdilerin üzerinde birleşik tespit, inceleme ve yanıt sağlar.
Yapay Zeka Odaklı XDR
- Yapay zeka destekli tespit, imza tabanlı kurallardan kaçan tehditleri tanımlamak için düşman davranışı üzerinde eğitilmiş makine öğrenimi modellerini kullanır. Anomaly tespiti, eş grup davranış analizi ve saldırı göstergeleri (IOA'lar) birincil mekanizmalardır. CrowdStrike'ın IOA çerçevesi, SentinelOne'ın Storyline'ı ve XSIAM'daki Palo Alto'nun 2.600'den fazla ML modeli, bu yaklaşımın olgun uygulamalarını temsil eder.
- Doğal dil incelemesi, analistlerin platform verilerini sorgulamasına ve sade dilde inceleme özetleri oluşturmasına olanak tanır. SentinelOne Purple AI, Microsoft Security Copilot, CrowdStrike Charlotte AI ve Exabeam'ın doğal dil sorgulaması, analistlerin manuel olarak tespit sorguları yazmak yerine "son 72 saatte hangi yanal hareket gerçekleşti" gibi sorular sormasına olanak tanır.
- Ajan Yapay Zeka: Her adımda insan müdahalesi olmadan çok adımlı inceleme ve yanıt iş akışlarını otonom olarak yürüten yapay zeka sistemleri, 2026'da XDR'de en çok pazarlanan yetenek ve en çok abartılanıdır. 30'dan fazla satıcı brifingi ve CISO görüşmesine dayanan Mart 2026 tarihli bir rapora göre, ajan SOC yeteneklerinin çoğu üretim dağıtımı, otonom iyileştirme değil, zenginleştirme, özetleme ve rapor taslağı hazırlamayı yönetmektedir. Gartner, yapay zeka SOC ajanlarını %1–5 kurumsal benimsemeye yerleştirmektedir. CrowdStrike Agentic MDR, Microsoft Security Alert Triage Agent ve Exabeam ABA, bugüne kadar duyurulan en net kapsamlı ajan yeteneklerini temsil eder; tümü, yüksek riskli kararlar için insan gözetimini korur.4
SSS'ler
Genişletilmiş Tespit ve Yanıt (XDR), birden çok güvenlik katmanından telemetriyi birleşik bir tespit, inceleme ve yanıt sisteminde alan ve ilişkilendiren bir güvenlik platformu kategorisidir. XDR, her olayı izole olarak uyarmak yerine birden çok alanı kapsayan saldırı zincirlerini ortaya çıkararak ayrı EDR, SIEM ve SOAR araçlarını yönetmeye yönelik silolu yaklaşımın yerini alır.
EDR (Uç Nokta Tespit ve Yanıt), bireysel uç nokta cihazlarındaki tehditleri izler ve bunlara yanıt verir. XDR bu kapsamı genişletir: EDR telemetrisini ağlardan, buluttan, kimlikten ve e-postadan gelen verilerle birlikte alır, ardından hepsini çapraz alan olay görünümlerinde ilişkilendirir. Pratik fark, EDR'nin bir makinede ne olduğunu göstermesidir; XDR, saldırganın o makineyi ele geçirmeden önce ve sonra tüm ortamda ne yaptığını gösterir.
Yerel XDR, satıcının kendi güvenlik ürünlerini entegre eden tek satıcılı bir platformdur. CrowdStrike, Microsoft, SentinelOne ve Palo Alto örneklerdir. Açık XDR, satıcıdan bağımsız olarak mevcut herhangi bir güvenlik aracından veri alır ve değiştirme gerektirmeden mevcut yığının üzerine oturur. Tek bir satıcıda konsolide olan kuruluşlar yerel XDR'yi değerlendirmelidir; elde tutmak istedikleri heterojen araç yığınlarına sahip kuruluşlar, Stellar Cyber gibi Açık XDR platformlarını değerlendirmelidir.
Telemetri alımı: XDR platformu, dağıtılan ajanlardan (uç nokta), ağ sensörlerinden, bulut API'lerinden, kimlik sağlayıcılardan ve e-posta güvenlik araçlarından veri toplar. Yerel XDR platformları, kendi ürün paketlerinden veri alır; Açık XDR platformları, önceden oluşturulmuş bağlayıcılar aracılığıyla herhangi bir kaynaktan veri alır.
Normalleştirme ve korelasyon: Ham telemetri, ortak bir veri şemasına normalleştirilir. Platformun tespit motoru, kaynaklar arasındaki olayları ilişkilendirir, örneğin, kimlik günlüklerinden şüpheli bir oturum açmayı uç nokta ajanından olağandışı bir işlem yürütme ve iş yükü katmanından bir bulut API çağrısıyla bağlayarak, bunları üç ayrı uyarı yerine tek bir olay olarak gösterir.
Yapay zeka destekli tespit: Düşman davranışı modelleri (genellikle MITRE ATT&CK'ye eşlenmiş) üzerinde eğitilmiş makine öğrenimi modelleri, kural tabanlı sistemlerin kaçırdığı anormallikleri tespit eder. Çoğu platform artık bir tür yapay zeka destekli önceliklendirme içerir, ancak derinlik satıcılar arasında önemli ölçüde değişir.
İnceleme ve yanıt: Analistler, alanlar genelinde tam saldırı zincirini gösteren birleşik bir olay görünümünden çalışır. Yanıt eylemleri doğrudan platformdan yürütülebilir. Bazı platformlar, yerleşik SOAR yetenekleri aracılığıyla yanıt adımlarını otomatikleştirir.
Bu araştırmayı kaynak gösterin
Yayınlayacağınız yere uygun formatı seçin. Bağlantılı sürümü CMS'inize yapıştırmak, geri bağlantıyı korur.
@misc{sezer2026,
author = {Sezer, Sena},
title = {{En İyi 11 XDR Çözümü Karşılaştırması ve Özellikleri}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/xdr-solutions}},
note = {AIMultiple. Erişim tarihi: 15 Haziran 2026}
}


















































Yorum yapan ilk kişi olun
E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir. Yorumlar orijinal dilinde bırakılır.