Klasik antivirus yetersiz. Microsoft Defender for Endpoint (MDE) davranış bazlı tespit (EDR), bulut-yardımlı analiz, otomatik soruşturma + iyileştirme, attack surface reduction içeren bir XDR platformudur. KOBİ\'lerin Defender\'ı çoğu kez "lisans var ama aktif değil" durumda — bu yazıda Intune ile filo onboardingini anlatıyoruz.
Lisans: Defender for Endpoint Plan 1 M365 Business Premium'da dahil. Plan 2 (advanced threat hunting + Live Response) E5'te. Standalone Plan 1 $3/cihaz/ay, Plan 2 $5.20/cihaz/ay.
Defender for Endpoint Yetenekleri
| Yetenek | Klasik AV | MDE Plan 1 | MDE Plan 2 |
|---|
| Antivirus / antimalware | ✓ | ✓ | ✓ |
| Behavior-based detection | ⚠ | ✓ | ✓ |
| Cloud-delivered protection | ✗ | ✓ | ✓ |
| Attack Surface Reduction | ✗ | ✓ | ✓ |
| Web Content Filtering | ✗ | ✓ | ✓ |
| Automated Investigation + Response | ✗ | ✓ | ✓ |
| EDR + threat hunting | ✗ | ⚠ sınırlı | ✓ full |
| Live Response shell | ✗ | ✗ | ✓ |
| Threat Intelligence Reports | ✗ | ⚠ | ✓ |
Önkoşullar
- M365 Business Premium veya E5 lisansı (cihaz başına)
- Intune (Defender deployment için)
- Windows 10/11 Enterprise/Pro/Education veya Windows Server 2016+
- macOS / iOS / Android için ayrı destek (premium add-on bazı durumlarda)
Adım 1: Defender Tenant Onboarding
- security.microsoft.com → Settings → Endpoints.
- "You're ready to enable Defender for Endpoint" wizard'ı varsa takip et.
- Data storage location: AB (Avrupa) — KVKK için.
- Data retention: 30 / 60 / 90 / 180 gün. KOBİ için 30 gün yeter.
- Preview features: Off (production stable kalır).
- Save → tenant aktive olur (5-10 dk).
Adım 2: Intune ile Cihaz Onboarding
2.a Otomatik Connection
- Defender portal → Settings → Endpoints → Advanced features.
- "Microsoft Intune connection" → On.
- "Send full security data" → On.
- Save.
2.b Onboarding Policy Oluştur
- intune.microsoft.com → Endpoint security → Endpoint detection and response.
- Create Policy:
- Platform: Windows 10 and later
- Profile: Endpoint detection and response
- Configuration settings:
- Microsoft Defender for Endpoint client configuration package type: Onboard (Intune tarafından otomatik)
- Sample sharing: On (Microsoft'a şüpheli dosya örneği gönderme — opsiyonel)
- Telemetry: All telemetry
- Assignments: All devices veya Windows devices grubu.
- Save → cihazlar 1-4 saat içinde Defender'a kayıt olur.
Adım 3: Attack Surface Reduction (ASR) Rules
ASR, ransomware ve fileless attack için spesifik davranışları engeller. KOBİ için önerilen 14 kuraldan kritik 6'sı:
| Kural | Engellenen |
|---|
| Office app from injecting code | Word makro virüs injection |
| Office app from creating executable | Word'den .exe çalıştırma |
| Office macro from Win32 API call | Makro WinAPI çağrısı |
| Block credential stealing from LSASS | Mimikatz tarzı saldırı |
| Block executable content from email | Mail eki .exe çalıştırma |
| Block JavaScript/VBScript download executable | Drive-by download |
ASR Policy Kurulum
- Intune → Endpoint security → Attack surface reduction.
- Create policy → Windows → Attack surface reduction rules.
- Yukarıdaki 6 kuralı Block moda al.
- Önce Audit modda 1-2 hafta gözlemle (false positive tespiti) → sonra Block.
- Save + assign all Windows devices.
Adım 4: Web Content Filtering
Endpoint'lerde kategori bazlı web filtreleme:
- Defender portal → Settings → Endpoints → Web content filtering.
- Categories: Adult content, Gambling, Tor proxies, Cryptocurrency mining — Block.
- Apply to: device groups.
- Save.
Adım 5: Automated Investigation + Response
Şüpheli aktivite tespit edildiğinde Defender otomatik soruşturma yapar:
- Defender portal → Incidents: tespit edilen aktiviteler
- Her incident için "Investigation" sekmesi: kim, ne, ne zaman, nasıl yayıldı
- Automated Remediation: Defender silebilir, izole edebilir, parolaları sıfırlayabilir
- Admin approval: kritik aksiyonlar admin onayı bekler (yapılandırılabilir)
Adım 6: Threat Hunting (Plan 2)
MDE Plan 2 ile Advanced Hunting:
- Defender portal → Hunting → Advanced hunting.
- Kusto Query Language (KQL) ile sorgu:
// Son 7 gün CMD.exe ile şüpheli komut çalıştıran kullanıcılar
DeviceProcessEvents
| where Timestamp > ago(7d)
| where ProcessCommandLine contains "powershell" and ProcessCommandLine contains "-enc"
| project Timestamp, DeviceName, AccountName, ProcessCommandLine
| order by Timestamp desc
Sık Karşılaşılan Sorunlar
Sorun 1: Cihaz onboard olmuyor
Genellikle Windows 10 Home (Pro/Enterprise/Education şart). Veya cihaz Intune\'a kayıtlı değil. Çözüm: Intune enrollment\'ı kontrol et, OS sürüm yükseltmesi gerekirse.
Sorun 2: 3rd party antivirus zaten kurulu
Defender for Endpoint passive mode\'da kalır (active koruma kapalı). Aynı cihazda 2 AV olmaz. Çözüm: 3rd party kaldır, Defender primary olsun. Yeniden başlatma sonrası aktif olur.
Sorun 3: macOS / Linux cihazlar onboard olamıyor
Manuel script download + execution gerek. Intune integration sadece Windows için otomatik. macOS için MicrosoftDefenderATPOnboardingMacOs.sh script.
Sorun 4: Threat Hunting boş sonuç dönüyor
Veri toplanmaya başlaması 1-4 saat sürer. Yeni onboarded cihazlardan veri henüz gelmemiş olabilir. Devices listesinde "Active sensor" status\'unu kontrol et.
🛡️ Defender for Endpoint KOBİ Filo Onboarding
50-200 cihazlı KOBİ filosu için Intune ile tam onboarding + ASR policy + Web filtering + automated response yapılandırma + ekip eğitimi. 1 hafta tam kurulum.
MDE Filo Setup →
İlgili Rehberler