Acronis Advanced Security + EDR Bölüm 9: SSS (Sıkça Sorulan Sorular) & Terimler Sözlüğü

SSS (Sıkça Sorulan Sorular) & Terimler Sözlüğü

Bu bölümde, Acronis Advanced Security + EDR çözümüne ilişkin sıkça sorulması muhtemel bazı soruları kısa cevaplarla ele alıyoruz. Ardından, makale boyunca geçen teknik terimlerin bir sözlüğünü sunarak, kavramların anlaşılmasını kolaylaştırmayı hedefliyoruz.

Sıkça Sorulan Sorular

Soru 1: Acronis Advanced Security + EDR mevcut antivirüs çözümümüzün yerini mi alıyor?
Cevap: Hayır, Acronis Advanced Security + EDR, mevcut antivirüsünüzü tamamlayıcı bir çözüm olarak çalışabilir. Özellikle Windows sistemlerde Acronis EDR, Microsoft Defender Antivirus ile entegre şekilde çalışır ve onu değiştirmez. Bu sayede Defender’ın temel antivirüs koruması devam ederken, Acronis ilave EDR yetenekleri (davranış analizi, MITRE tabanlı olay yakalama, rollback vb.) sağlar. Acronis platformunun kendi entegre anti-malware motoru da vardır ve istenirse Defender yerine kullanılabilir; ancak birlikte çalışabilme özelliği sayesinde çift katmanlı koruma elde edilebilir. Özetle, Acronis EDR geleneksel antivirüsün ötesinde yetenekler sunar ama temel antivirüs fonksiyonunu da entegre olarak içerir.

Soru 2: EDR, MDR ve XDR arasındaki fark nedir? Acronis bunların hangisini sağlıyor?
Cevap: EDR (Endpoint Detection & Response), uç noktalarda (PC, sunucu) kötü amaçlı etkinlikleri tespit etme ve yanıt verme teknolojisidir. MDR (Managed Detection & Response) ise EDR/XDR fonksiyonlarının bir hizmet olarak 24/7 uzman ekiplerce yönetilmesidir – yani teknoloji + insan hizmeti birleşimidir. XDR (Extended Detection & Response), EDR’nin ötesine geçerek ağ trafiği, bulut uygulamaları, e-posta gibi farklı kaynaklardan da veri toplayan ve hepsini entegre analiz eden bir yaklaşımdır. Acronis Advanced Security + EDR, isminden de anlaşılacağı üzere bir EDR çözümüdür ve uç nokta odaklıdır. Ancak Acronis, bu EDR’yi platformunun diğer bileşenleriyle entegre ederek XDR yönünde genişletmektedir (örneğin e-posta güvenliği, yedekleme gibi verileri de katarak daha geniş görünürlük sağlar). Ayrıca Acronis, isteyen müşterilere bir MDR hizmeti (Acronis MDR) sunarak EDR operasyonunu kendi uzmanlarının yönetmesini sağlayabilir. Kısaca: Acronis Advanced Security + EDR = teknoloji; Acronis MDR = hizmet; Acronis XDR = teknolojinin daha da genişletilmiş sürümü (EDR’nin dahil olduğu, henüz ayrı bir paket olarak satılıyor).

Soru 3: Rapid Rollback tam olarak nasıl çalışıyor ve gerçekten işe yarıyor mu?
Cevap: Rapid Rollback, Acronis’in entegre yedekleme ve anlık koruma teknolojilerini kullanarak bir saldırının sistemde yaptığı değişiklikleri hızla geri alan bir mekanizmadır. Saldırı tespit edildiğinde, Acronis önce ilgili zararlı süreçleri durdurur, ardından saldırganın eklediği kayıtlar/dosyaları siler ve son olarak etkilenen dosyaları saldırı öncesi halinden geri yükler. Bu, pratikte fidye yazılımları gibi tehditlerin şifrelediği dosyaları anında kurtarmak veya zararlı bir değişikliği (örn. registry’de kalıcılık) eski haline getirmek anlamına gelir. Rapid Rollback’in başarılı olabilmesi için Acronis’in saldırı öncesinde ya da sırasında ilgili verilerin yedeğine sahip olması gerekir. Acronis Active Protection, kritik dosyaların değişimlerini anlık olarak yakalayabildiği için çoğu durumda rollback için gerekli veriyi hazır eder. Gerçek dünyada Rapid Rollback, küçük-orta çaplı fidye saldırılarında oldukça etkili bulunmuştur – birçok MSP, müşterilerinin dosyalarını bu sayede kurtarabildiklerini raporlamıştır. Ancak altyapınızda düzenli yedekleme yoksa veya saldırı yedekleri de yok ettiyse, rollback sınırlı kalabilir. Bu yüzden Acronis çözümünü kullanırken backup planlarınızı mutlaka etkin tutmalısınız. Doğru uygulandığında Rapid Rollback, saldırıların etkisini neredeyse sıfıra indirgeyen çok güçlü bir özelliktir.

Soru 4: Acronis EDR hangi platformları destekliyor? Sadece Windows mu çalışıyor?
Cevap: Acronis Advanced Security + EDR öncelikle Windows uç noktaları ve sunucuları desteklemek üzere geliştirilmiştir ve en kapsamlı özellik seti Windows üzerinde sunulur. 2024 yılı itibariyle Acronis, macOS sistemler için de EDR desteğini devreye almıştır. Yani artık Mac bilgisayarlarda da şüpheli dosya ve süreç tespiti, MITRE eşleme gibi kabiliyetler mevcuttur (ancak Windows’daki kadar olgunluğu yeni gelişiyor). Linux tarafında ise durum biraz farklı: Acronis’in anti-malware ajanı Linux için vardır (isteğe bağlı antivirüs ve yedekleme yapabilir), ancak tam EDR telemetri ve incident yönetimi desteği Linux’ta henüz kısıtlıdır. Linux için EDR fonksiyonunun gelecekteki güncellemelerde eklenmesi planlanmaktadır (topluluk forumlarında talep edildiği bilinmektedir). Özetle: Windows (7/10/11, Server versiyonları) – tam destek; macOS – destek var ama daha basit; Linux – şimdilik sınırlı (temel anti-malware). Ayrıca Acronis, sanal makineler ve bulut iş yükleri (Azure/AWS instance’ları) üzerinde de ajanını çalıştırarak benzer korumaları sağlar. Mobil cihazlar için ise Acronis EDR ajanı yoktur (Acronis mobil yedekleme sunar sadece).

Soru 5: Çözümün yönetimi zor mu? Günlük operasyon yükü nasıl?
Cevap: Acronis Advanced Security + EDR, bulut tabanlı bir konsoldan yönetildiği ve kullanımı modern arayüzlerle desteklendiği için, diğer kurumsal EDR ürünlerine kıyasla öğrenmesi ve işletmesi nispeten kolay bir çözümdür. MSP’ler düşünülerek tasarlandığı için, aynı anda yüzlerce müşteriyi bile yönetmeyi akıcı hale getiren çoklu kiracı arayüzü bulunur. Günlük operasyon yüküne gelirsek: eğer çözüm düzgün yapılandırıldıysa, alert fatigue yaratmadan sadece önemli olaylar size bildirilecektir. Günlük iş akışı genelde konsoldaki gösterge panelini kontrol etmek, yeni incident var mı bakmak, birkaç olayı incelemek ve kapatmak şeklinde olacaktır. Küçük/orta ölçekli bir ortamda tam zamanlı bir kişiyi sadece Acronis EDR izlemesi için atamak gerekmez; var olan sistem yöneticileri/siber güvenlik personeli işin bir parçası olarak bunu yürütebilir. Tabii ortam büyüdükçe bir SOC yapısı gerekebilir – bu noktada Acronis MDR hizmeti devreye alınarak 7/24 izleme dışarıdan da sağlanabilir. Özetle, yönetim zorluğu yüksek değildir; iyi bir başlangıç konfigürasyonuyla sistem çoğu şeyi otomatik halleder ve siz kritik durumlara odaklanırsınız. Yine de, çözümü maksimum verimle kullanmak için operatörlerin Acronis portalının özelliklerini (raporlama, arama, politika ayarları vb.) öğrenmesi önerilir.

Soru 6: Acronis çözümüyle elde edilen koruma bağımsız testlerde kendini kanıtladı mı?
Cevap: Evet, Acronis Advanced Security + EDR son dönemde çeşitli bağımsız kuruluşlar tarafından değerlendirildi ve başarılı sonuçlar aldı. Örneğin AV-TEST 2024’te Acronis Cyber Protect Cloud (Advanced Security + EDR paketiyle) çözümünü kapsamlı bir EDR testine tabi tuttu ve Advanced Approved EDR sertifikasyonunu verdi. Bu testlerde Acronis, APT tarzı iki senaryodaki çok sayıda saldırı tekniğini başarıyla tespit etti, yalnızca bir iki noktada ufak eksik kaldı. Ayrıca SE Labs 2024 raporunda, Acronis Advanced Security + EDR %100 saldırı tespit doğruluğu sağlayarak AAA’ya yakın bir skor elde etti, fakat birkaç meşru nesneyi yanlış alarm olarak işaretlemesi nedeniyle toplamda “AA” ödülü aldı. Buna rağmen, tüm hedefli saldırı adımlarını izlemesiyle övgü topladı. Bu gibi sonuçlar, Acronis’in nispeten yeni sayılabilecek EDR ürününün bile üst seviyede bir koruma sağladığını gösteriyor. Aynı zamanda Acronis, temel anti-malware motoruyla yıllardır VB100, AV-Comparatives gibi testlerde de sertifikalara sahip (ICSAlabs onayı, OPSWAT Platinum sertifikası vs. bulunmaktadır). Kısacası, evet – Acronis çözümü bağımsız testlerde kendini ispatlamış ve ödüller kazanmıştır.

Terimler Sözlüğü

  • EDR (Endpoint Detection & Response): Uç nokta tespit ve yanıt sistemi. Amaç, bilgisayar ve sunucularda zararlı etkinlikleri anlık olarak tespit etmek ve gerekli karşı önlemleri (izolasyon, temizleme gibi) almaktır. Acronis Advanced Security + EDR bu kategoriye giren bir çözümdür.
  • MDR (Managed Detection & Response): Yönetilen tespit ve yanıt hizmeti. EDR altyapısını 7/24 izleyen ve işleten dış kaynak/SOC hizmetini ifade eder. Acronis MDR, Acronis’in MSP’lere sunduğu yönetilen güvenlik operasyonları servisidir.
  • XDR (Extended Detection & Response): Genişletilmiş tespit ve yanıt. Uç nokta haricinde ağ, bulut uygulamaları, sunucu, email gibi farklı vektörlerden gelen tehdit verilerini de entegre analiz eden, daha kapsamlı bir yaklaşım. Acronis XDR paketi, EDR’yi diğer Acronis güvenlik hizmetleriyle birleştirerek bu kapsamı sunar.
  • IOC (Indicator of Compromise): Buluşma göstergesi. Bir sistemin tehlikeye girdiğinin kanıtı olabilecek nesne veya veriler (örn. zararlı dosya hash’i, şüpheli bir IP adresi, loglarda anormal bir giriş). Acronis EDR, IOC arama ve izleme yeteneğine sahiptir.
  • IOA (Indicator of Attack): Saldırı göstergesi. Henüz başarıya ulaşmamış ama saldırı girişimini işaret eden davranışsal emareler (örn. bir süreç başka bir sürecin hafızasına kod enjekte etmeye çalışıyor, bu bir IOA’dır). EDR çözümleri, IOA’ları tespit ederek proaktif önlem alır.
  • MITRE ATT&CK: Saldıgan taktik, teknik ve prosedürlerini sınıflandıran endüstri standardı bir bilgi tabanı. EDR ürünleri tespit ettikleri olayları MITRE ATT&CK taktik/teknik kodlarıyla etiketleyerek saldırının ne yaptığını belirtir. Acronis EDR de olayları MITRE çerçevesinde sunar (ör. “T1059 – Command-Line Interface”).
  • Isolation (İzolasyon): Bir güvenlik olayı anında etkilenen ucu ağdan izole etme işlemi. EDR’nin yanıt aksiyonlarından biridir, Acronis’de “Ağ izolasyonu” komutuyla sağlanır. Böylece cihaz sadece yönetim sunucusuyla konuşur, diğer ağ etkileşimleri kesilir.
  • Rollback (Geri Alma): Bir saldırganın yaptığı değişiklikleri geri çevirme işlemi. Rapid Rollback, Acronis’in patentli teknolojisiyle saldırı etkilerini (şifreleme, silme vb.) hızla geri almayı ifade ediyor. Klasik backup restore işleminden daha hızlı ve seçici bir kurtarma yöntemi.
  • Forensic Backup (Adli Yedekleme): Bir olay anında veya sonrasında, sistemin birebir imajının alınarak kanıt niteliğinde saklanması. Acronis, EDR entegre yedeklemeyle forensic amaçlı imaj alabilir; bu, incident response sonrası derinlemesine analiz yapmaya olanak tanır.
  • Policy (Politika): Güvenlik çözümünün davranışını belirleyen ayarlar bütünü. Acronis’de koruma planları/politikaları ile hangi modüllerin aktif olacağı, hangi kuralların uygulanacağı merkezi olarak tanımlanır. Örn. “EDR Policy” EDR’nin açık olduğunu ve ilgili alt ayarları içeren politika.
  • Baseline (Temel Çizgi): Normal ve beklenen durumun referans noktası. Baseline güvenlik politikası, asgari uygulanması gereken ayarları ifade edebilir. Davranışsal analizde baseline, sistemin normal davranış profilidir, bunun dışına çıkan anomali sayılır.
  • SIEM (Security Info and Event Management): Güvenlik bilgi ve olay yönetimi platformu. Farklı kaynaklardan logları toplayıp korelasyonla analiz eder (ör. Splunk, QRadar). Acronis EDR, SIEM’lere CEF formatında log gönderebilir ve entegre edilebilir.
  • PSA (Professional Services Automation): MSP’lerin kullandığı biletleme, sözleşme ve iş yönetim sistemleri (ConnectWise Manage, Autotask gibi). Acronis, PSA sistemleriyle entegre olarak otomatik ticket açabilir.
  • RMM (Remote Monitoring & Management): Uzak izleme ve yönetim araçları. MSP’ler istemcilerinin cihazlarına bu ajanları kurup yönetir. Acronis, RMM entegrasyonlarıyla ajan dağıtımını ve durum takibini kolaylaştırır.
  • False Positive / False Negative: Yanlış pozitif, güvenlik çözümünün aslında zararsız olan bir şeyi zararlı sanması; yanlış negatif ise zararlı bir şeyi atlayıp zararsız sanması durumudur. İdeal olarak EDR’nin FP ve FN oranları düşüktür. Acronis testlerde çok az FP vermiş (meşru nesneleri %77 doğrulukla ayırt etmiş) ve hiç FN olmamış (saldırı tekniklerini %100 yakalamış) raporlanmıştır.
  • MTTD / MTTR: Ortalama tespit süresi (Mean Time to Detect) ve ortalama tepki/kurtarma süresi (Mean Time to Respond/Recover). Bu metrikler SOC performansını ölçer. Entegre bir çözüm kullanmanın amacı MTTD ve MTTR’yi minimize etmektir – Acronis EDR’nin öne çıkan faydalarından biri de budur.
  • Zero-Day: Daha önce görülmemiş, imzası olmayan yeni bir açıktan faydalanan saldırı. Davranışsal ve AI tabanlı EDR’lerin ana hedefi zero-day tehditleri, imza gerekmeden yakalayabilmektir. Acronis’in çok katmanlı yaklaşımı bu konuda etkilidir.
  • DLP (Data Loss Prevention): Veri sızma önleme sistemi. Acronis Advanced DLP modülü ile entegre çalışarak, EDR’nin tespit ettiğinden farklı olarak verinin sızdırılmasına yönelik ihlalleri de önler. Örn. DLP, hassas bir dosyanın e-posta ile dışarı gönderilmesini engeller; EDR ise aynı dosyayı şifrelemeye çalışan ransomware’i engeller – ikisi farklı açıdan korur.
  • SOAR (Security Orchestration, Automation and Response): Playbook’lar aracılığıyla farklı güvenlik araçlarını bir araya getirip olaylara otomatik yanıt veren platformlar (Cortex XSOAR, D3, Shuffle etc.). Acronis, API’ları sayesinde SOAR platformlarına bağlanarak otomatik müdahale süreçlerine dahil edilebilir.
  • Backup (Yedekleme): Sistemlerin ve verilerin kopyasını alıp saklama işlemi. Acronis kökeni gereği gelişmiş bir backup çözümü de entegre sunar. Backup, siber güvenlikte kurtarma (recover) aşamasının bel kemiğidir.
  • Disaster Recovery (Felaket Kurtarma): Büyük bir kesinti veya felaket durumunda sistemlerin alternatif bir ortamda ayağa kaldırılması. Acronis Disaster Recovery, bulutta çalıştırılabilir yedek sistemler sunarak iş sürekliliğini sağlar. EDR ile birlikte, saldırı sonrasında sistem hemen bulutta çalıştırılıp iş devam ettirilebilir.
  • Anti-Malware Engine: Zararlı yazılımları tarayıp tespit eden çekirdek yazılım. Acronis’in kendi anti-malware motoru vardır ve makine öğrenimiyle geliştirilmiştir; aynı zamanda VirusTotal gibi çoklu motor sonuçlarını da kullanır.
  • Self-Protection: Güvenlik ajanlarının kendilerini kaldırma veya manipülasyona karşı koruma özelliği. Acronis ajanının self-protection mekanizması bulunur, bu sayede zararlı veya yetkisiz kullanıcılar onun işlemlerini durduramaz kolayca.

Yukarıdaki terimler sözlüğü ve SSS bölümü, Acronis Advanced Security + EDR çözümünün anlaşılmasını kolaylaştırmak amacıyla derlenmiştir. Bu teknik incelemede ele alınan kavramların özü, kısaca bu listede toparlanmıştır.

Etiketler

İlgili Yazılar