EDR’dan XDR’a Geçiş Nasıl Olmuştur? 

EDR Dönemi: Uç Nokta Odaklı Tehdit Algılama 

Endpoint Detection and Response (EDR), antivirüs teknolojisinin ardından devrim niteliğinde güvenlik operasyonlarının modernleşmesinde ilk büyük sıçramayı temsil etti. 
EDR çözümleri, bir organizasyondaki uç noktalardan (endpoint – bilgisayar, sunucu, mobil cihaz vb.) gelen telemetrileri analiz ederek davranışsal tehdit algılaması yapmaktadır. 

EDR’ın Temel Özellikleri: 

• Process, registry, file ve network aktivitelerinin sürekli izlenmesi 

• Zararlı davranış tespiti (ör. PowerShell abuse, DLL injection) 

• Tehdit avcılığı (Threat Hunting) ve olay analizi 

• İzolasyon, karantina, dosya temizleme gibi müdahale (response) yetenekleri 

EDR, antivirüs çözümlerinin ötesine geçerek, “görünürlük + analiz + müdahale” üçlüsünü uç nokta seviyesinde sağlamıştır. 
Tehditler sadece endpoint’lerde sınırlı kalmadı; identity, e-posta, SaaS uygulamaları ve cloud ortamları da saldırı vektörlerine dönüştü. İşte bu durum, EDR mimarisinin tek başına yetersiz kaldığı noktayı işaret etmekteydi. 

EDR Neden Yetersiz Kalmaya Başladı? 

Saldırılar yalnızca cihaz tabanlı yapılmak dışına çıkmıştı. Modern siber saldırılar genellikle çok katmanlı ilerlemektedir: 

1. E-posta veya sosyal mühendislik ile kimlik ele geçirme, 

2. Kimliği kullanarak kurumsal uygulamalara sızma, 

3. Endpoint’de kalıcılık sağlama, 

4. Cloud veya network üzerinden lateral movement atağıdır. 

EDR bu zincirin sadece üçüncü adımını yani endpoint aktivitesini görmekteydi. Kimlik, eposta veya bulut telemetrilerine erişimi olmadığı için saldırının olay örgüsünü oluşturamamaktaydı. 

Bu eksiklik, güvenlik ekiplerini çok sayıda izole uyarı (alert fatigue) ve sınırlı görünürlük sorunuyla karşı karşıya bırakmaktaydı. 
Bu noktada Microsoft ve diğer üreticiler, tüm güvenlik sinyallerini tek bir platformda toplayarak daha kapsamlı ve ilişkilendirilmiş (correlated) analiz yapma vizyonuyla XDR yaklaşımını geliştirdi. 

XDR’ın Doğuşu: “Extended Detection and Response” 

Extended Detection and Response (XDR), EDR’in doğal evrimidir. 
“Extended” kelimesi burada, uç nokta ötesinde diğer güvenlik katmanlarını da kapsama anlamına gelmektedir. 

XDR’ın Temel Mantığı: 

XDR, yalnızca endpoint’lerden değil, aynı zamanda: 

• Identity – Azure AD, Entra ID 

• Email – Defender for Office 365 

• Cloud Apps: Defender for Cloud Apps 

• Network: Defender for Network / Firewall 

• Cloud Workloads: Defender for Cloud 
  kaynaklarından gelen verileri tek bir yerde toplar. 

Bu veriler, korelasyon motorları ve tehdit istihbaratı ile birleştirilerek “tekil olaylar yerine saldırı hikayesi” ortaya çıkarmaktadır. 
XDR, “birçok alarmı tek bir olay (incident)” altında birleştirerek analistin bağlamsal bir saldırı görünümü elde etmesini sağlamaktadır. 

XDR Oluşumunun Gerekliliği? 

Modern siber tehditler artık yalnızca bir antivirüs veya firewall ile durdurulamayacak kadar karmaşık hale gelmiştir. Kurumların altyapısı; uç noktalar, e-posta sistemleri, kimlik servisleri, bulut uygulamaları ve sunucular arasında dağınık şekilde yer almaktaydı. 
Bu karmaşık yapı, güvenlik ekiplerinin farklı konsollar ve araçlar arasında kaybolmasına neden olmaktadır. Microsoft Defender XDR, bu sorunu çözmek için tasarlanmış birleşik (unified) bir tehdit tespit, araştırma ve müdahale platformu olarak bu gerekliliğe karşı doğan bir çözüm olmuştur. 
Amaç, tüm Defender bileşenlerinden (Endpoint, Identity, Office 365, Cloud Apps, Cloud) gelen sinyalleri tek bir merkezde toplayarak, tehditleri korelasyonlu, bağlamsal ve otomatik olarak analiz etmektir. 

Microsoft Defender XDR Mimarisi

Defender XDR, Microsoft 365 Defender platformunun kalbidir. 
Tüm Defender servislerinden gelen sinyaller, Microsoft Security Graph üzerinde birleşir. Bu yapı sayesinde sistem, her saldırı zincirinin (kill chain) adımlarını birbirine bağlayabilir. 

Veri Kaynakları 

Defender XDR aşağıdaki bileşenlerden telemetri toplar: 

• Microsoft Defender for Endpoint → Process, file, registry, network event’leri 

• Microsoft Defender for Office 365 → Phishing, spam, URL, attachment analizleri 

• Microsoft Defender for Identity → Domain controller log’ları, LDAP ve Kerberos anomalileri 

• Microsoft Defender for Cloud Apps (CASB) → SaaS uygulama davranışları, OAuth token’ları 

• Microsoft Defender for Cloud → Azure, AWS, GCP kaynak güvenliği 

Veri Akışı 

1. Sensorlar uç noktalarda olayları toplar. 

2. Olaylar Microsoft Security Graph API üzerinden buluta gönderilir. 

3. Bulut tarafında AI tabanlı korelasyon motoru, olayları analiz eder. 

4. Korelasyon sonucu: “Incident (olay)” seviyesinde birleşik uyarılar oluşturulur. 

Defender XDR’in Ana Özellikleri 

Investigation and Response:  

Defender XDR ekosisteminde; oluşan tehditleri, alarmları ve olayları (incident) analiz etmek, ilişkilendirmek, incelemek ve aksiyon almak için tasarlanmış merkezi bileşendir. 

Incident and Alert Investigations 

Microsoft Defender XDR, kuruluş genelinde konumlanan tüm asset’lerin (endpoint, identity, email, cloud services vb.) toplanan uyarı ve olay verilerini tek bir merkezde birleştirir. Bu sayede, farklı Defender bileşenlerinden gelen veriler bir araya getirilip incident olarak gruplandırılır. 

Bir incident, aynı saldırı veya tehdit zincirine ait çoklu uyarıların ilişkilendirilmiş halidir. Defender XDR, bu olayları tehditin ciddiyetine ve kuruma olası etkisine göre önceliklendirir. 

Böylece analistler, hangi olayların öncelikli müdahale gerektirdiğini hızlı şekilde belirleyebilir. 

Hunting

b.1 Advanced Hunting: Advanced Hunting, Microsoft Defender XDR platformunun gelişmiş sorgulama (query) modülüdür. Temelinde, Kusto Query Language (KQL) adlı güçlü bir veri sorgulama dili bulunur. 
Bu yapı sayesinde SOC analistleri, endpoint, identity, e-posta ve cloud telemetrilerini tek bir sorguda ilişkilendirerek analiz edebilir. 

Kısaca, Advanced Hunting: 

• Büyük veri üzerinde gerçek zamanlı analiz yapılmasını sağlar, 

• Olaylar arasında bağlamsal korelasyon kurar, 

• IOC (Indicator of Compromise) veya davranışsal anomali tespitlerini destekler, 

• Ve özel kurallar (custom detection) oluşturularak sürekli izleme yapılmasına imkân tanır. 

Advanced Hunting, aşağıdakilerden gelen daha geniş bir veri kümesini kontrol eden sorguları destekler: 

• Microsoft Defender for Endpoint 

• Microsoft Defender for Office 365 

• Microsoft Defender for Cloud Apps 

• Microsoft Defender for Identity 

• Microsoft Sentinel 

Hunting Verisinin Kaynağı: Defender XDR’in hunting motoru, aşağıdaki telemetri tablolarından beslenir: 

Tablo Adı Açıklama DeviceProcessEvents Cihaz üzerindeki process oluşturma ve komut satırı aktiviteleri DeviceNetworkEvents Giden/gelen bağlantılar, IP ve domain etkileşimleri DeviceFileEvents Dosya oluşturma, silme, indirme ve çalıştırma işlemleri EmailEvents Alınan ve gönderilen e-postalar, ekler ve URL bilgileri IdentityLogonEvents Azure AD veya on-prem kimlik oturum açma kayıtları DeviceRegistryEvents Windows registry değişiklikleri DeviceImageLoadEvents Belleğe yüklenen DLL veya sürücü dosyaları CloudAppEvents SaaS uygulamalardaki kullanıcı aktiviteleri 

Bu tablolar, analistin saldırı zincirinin farklı noktalarındaki verileri tek bir korelasyonel sorguda analiz etmesine olanak verir. 

b.2 Custom Detection Kuralları:  

Advanced Hunting sorguları yalnızca analiz için değil, otomatik uyarı (alert) üretimi için de kullanılabilir. Bunun için hazırlanan sorgular “Custom Detection Rule” olarak kaydedilir. 

Avantajları: 

Belirli bir tehdit senaryosu sürekli izlenir, 

Koşul sağlandığında Defender otomatik olarak alert oluşturur, 

Bu alert, ilgili cihaz, kullanıcı veya e-posta objesiyle bağlanarak incident zincirine dahil edilir. 

Örnek kullanım: 

Belirli PowerShell pattern’lerini sürekli izlemek 

USB’den çalışan executable dosyaları algılamak 

Şüpheli domain bağlantılarını gerçek zamanlı olarak yakalamak 

Action Center and Submissions:  

Action Center, Microsoft Defender XDR’in Automated Investigation and Response (AIR) yetenekleri tarafından oluşturulan tüm incelemeleri (investigation) görüntüleyebileceğiniz bölümdür. 
Bu alan, Defender portalındaki otomatik kendini iyileştirme (self-healing) mekanizmasının sonuçlarını merkezi biçimde izleme olanağı sunar. 

Security ekipleri, burada sistemin belirli olaylara otomatik olarak verdiği yanıtları (örneğin cihaz izolasyonu, dosya karantinası veya kullanıcı kısıtlaması gibi) görebilir ve bu eylemleri onaylayabilir veya reddedebilir. 
Ayrıca her bir cihazda uygulanan işlemler, eylemlerin durumu (başarılı, bekliyor, reddedildi vb.) ve tetiklenme kaynakları ayrıntılı olarak listelenir. 

Submission:  

Defender XDR’in Submission Portalı, şüpheli dosyaların, e-posta eklerinin veya URL’lerin Microsoft Defender’a gönderilerek analiz edilmesini sağlar. 
Bu özellik sayesinde güvenlik ekipleri, potansiyel zararlı içerikleri doğrudan Microsoft’un bulut tabanlı analiz motoruna yükleyebilir. 

Portal üzerinden: 

• Gönderilen içeriklerin analiz durumunu (in progress, completed, failed) izleyebilir, 

• Microsoft tarafından yapılan tehdit analizi sonuçlarını (örneğin “Malicious”, “Clean”, “Suspicious”) görüntüleyebilirsiniz. 

Threat intelligence 

Microsoft Defender XDR, tehdit istihbaratı bileşeni aracılığıyla kurumunuzu etkileyebilecek yeni saldırı teknikleri, yaygın kötü amaçlı yazılımlar, kampanyalar ve tehdit aktörleri hakkında güncel bilgiler sunar. 
Bu bilgiler, Microsoft’un global tehdit izleme ağı olan Microsoft Threat Intelligence Center (MSTIC) tarafından sağlanır ve Defender XDR arayüzüne entegre biçimde sunulur. 

Threat Intelligence sayfası üzerinden analistler, hızla değişen tehdit ortamındaki: 

• Yeni ortaya çıkan saldırı tekniklerini, 

• Sık karşılaşılan zararlı yazılım türlerini, 

• Belirli tehdit gruplarının (threat actors) yürüttüğü kampanyaları 
  detaylı biçimde inceleyebilirler. 

Assets 

Microsoft Defender XDR, kurumsal ağınızdaki tüm cihazları merkezi olarak görüntüleyebilmeniz için kapsamlı bir Cihaz Envanteri (Device Inventory) modülü sunar. 
Bu modül, uyarı (alert) üretilen veya Defender sensörleri tarafından tespit edilen tüm cihazları listeler ve her birinin güvenlik durumunu detaylı biçimde gösterir. 

Genel Görünüm ve Kullanım 

Cihaz envanteri sayfasında, ağınızdaki cihazlar varsayılan olarak son 30 gün içinde görülen varlıklara göre listelenir. 
Bu görünüm üzerinden analistler anında: 

• Cihazın adı ve domain bilgisi, 

• Risk seviyesi, 

• İşletim sistemi platformu, 

• Maruziyet (exposure) ve kritik öncelik (criticality) düzeyleri 
  gibi temel verileri görebilir. 

Bu bilgiler, SOC ekibinin hangi cihazların daha yüksek risk taşıdığını tek bakışta anlamasına yardımcı olur. 

Onboarding Süreci ve Sensör Verileri 

Defender’a yeni dahil edilen cihazlar, sensör verilerini göndermeye başladıkça envanter listesinde görünür hale gelir. 
Bu liste, onboarding ilerlemesini izlemenize ve cihazların Defender sensörleriyle doğru iletişim kurduğundan emin olmanıza yardımcı olur. 

Applications: 

Günümüz siber saldırıları, kuruluşların hem bulut hem de şirket içi altyapılarında konumlandırılmış uygulamaları hedef alarak giderek daha karmaşık hale geliyor. 
Saldırganlar genellikle uygulama erişim izinlerini istismar ederek privilege escalation, lateral movement ve data exfiltration gibi adımlarla saldırılarını derinleştiriyor. 

Bu nedenle kurumların, ortamlarında kullanılan uygulamaların uyumluluk durumu ve güvenlik davranışları üzerinde tam görünürlük sağlaması büyük önem taşır. 
Bir uygulamanın anormal davranışlar sergilediği durumları hızla tespit edip, bu aktivitelerin veri ve kullanıcı güvenliğine risk oluşturduğu anlarda müdahale etmek gerekir. 

App Governance Özellikleri 

Microsoft Defender for Cloud Apps içinde yer alan App Governance, Microsoft Entra ID, Google Workspace ve Salesforce üzerinde kayıtlı OAuth tabanlı uygulamaları yönetmek için geliştirilmiş güvenlik ve politika yönetimi bileşenidir. 

App Governance sayesinde kuruluşlar: 

• Uygulamaların Microsoft 365 ve diğer bulut servislerine nasıl eriştiğini, 

• Hangi verileri kullandığını ve paylaştığını, 

• Hangi kullanıcıların bu uygulamalara yetki verdiğini 
  detaylı biçimde izleyebilir. 

Bu özellik, riskli veya uyumsuz uygulamaların proaktif biçimde engellenmesi, kısıtlanması ve denetlenmesi için yönetişim (governance) politikaları oluşturmanıza imkân tanır. 

Endpoint: 

Vulnerability Management: 

Microsoft Defender Vulnerability Management (DVM), uçtan uca zafiyet yönetimi sağlayarak hem güvenlik hem de BT ekiplerine tek bir merkezden görünürlük, analiz ve düzeltme (remediation) imkânı sunar. 
Bu platform; Windows, macOS, Linux, Android, iOS ve ağ cihazları dâhil olmak üzere çok katmanlı ortamlarda aktif olarak çalışır. 

DVM; Microsoft tehdit istihbaratı, saldırı olasılığı tahminleri, cihaz risk değerlendirmeleri ve iş bağlamı (business context) verilerini birleştirerek, kuruluşunuzdaki en büyük zafiyetleri önceliklendirir ve risk azaltıcı öneriler sunar. 

Defender Vulnerability Management Temel Özellikleri 

1. Sürekli Varlık Keşfi ve İzleme 

Defender’ın dahili (built-in) ve agentsiz (agentless) tarama teknolojileri, cihazlar kurumsal ağa bağlı olmasa dahi ortamı sürekli olarak izler. 
Bu sayede, tüm yazılım, donanım, dijital sertifika ve tarayıcı eklentilerinin güncel envanteri tek bir panelde toplanır. 

Bu görünürlük; yazılım değişikliklerini, yeni kurulumları, kaldırmaları ve yamaları (patches) takip ederek güvenlik ekiplerine dinamik bir varlık haritası sunar. 

2. Gelişmiş Zafiyet ve Konfigürasyon Analizi 

DVM, sadece zafiyetleri göstermekle kalmaz; aynı zamanda yanlış yapılandırmaları (misconfigurations) da analiz eder. 
Başlıca değerlendirme yetenekleri şunlardır: 

• Security Baselines Assessment 
  Kuruluşun güvenlik uyumluluğunu ölçmek için CIS, STIG gibi uluslararası benchmark’lara göre özelleştirilebilir güvenlik profilleri oluşturur. 

• Software Visibility 
  Tüm yazılım envanterini, kurulum/ kaldırma geçmişini ve mevcut yamaları görüntüler. 

• Network Share Assessment 
  İç ağ paylaşım yapılandırmalarını tarar ve yanlış izinlendirmelere yönelik düzeltme önerileri sunar. 

• Authenticated Windows Scan 
  Yönetilmeyen (unmanaged) Windows cihazlarını uzaktan kimlik doğrulama ile tarayarak zafiyet tespiti yapar. 

• Threat Analytics & Event Timeline 
  Olay zaman çizelgesi üzerinden her bir zafiyetin geçmişini ve etkilediği varlıkları gösterir. 

• Browser Extensions Assessment 
  Kurum genelinde tarayıcı eklentilerini listeler, izinleri ve risk seviyelerini analiz eder. 

• Digital Certificates Assessment 
  Sertifika envanterini tek ekranda gösterir; süresi dolmak üzere olan veya zayıf algoritmalarla imzalanan sertifikaları tespit eder. 

• Hardware & Firmware Assessment 
  Donanım ve BIOS seviyesindeki zafiyetleri üretici, model ve işlemci bazında gösterir; maruziyet düzeylerini listeler. 

3. Risk Tabanlı Akıllı Önceliklendirme (Risk-Based Intelligent Prioritization) 

Defender Vulnerability Management, Microsoft’un tehdit istihbaratı ve saldırı olasılığı tahmin motorunu kullanarak zafiyetleri gerçek risk etkisine göre sıralar. 
Bu önceliklendirme sayesinde, kuruluşlar kaynaklarını en yüksek etkiye sahip riskleri azaltmaya yönlendirebilir. 

Temel kriterler: 

• Emerging Threats: 
  Halihazırda internette aktif olarak istismar edilen (exploited in the wild) zafiyetlere öncelik verir. 

• Active Breach Correlation: 
  Zafiyet yönetimi ile EDR telemetrisini birleştirir, aktif ihlalle ilişkili açıklıkları öne çıkarır. 

• High-Value Assets Protection: 
  Kritik iş uygulamaları, gizli veriler veya yüksek ayrıcalıklı kullanıcılar barındıran cihazlara odaklanır. 

Tüm bu veriler tek bir görünümde (dashboard) birleşerek, CVE kimlikleri, etkilenen cihaz sayısı ve düzeltme önerileriyle birlikte gösterilir. 

4. Düzeltme (Remediation) ve İzleme 

Defender Vulnerability Management, güvenlik ve BT ekiplerinin ortak çalışmasına olanak tanır. 
İyileştirme süreci hem otomatik hem manuel aksiyonlarla yönetilir: 

• Remediation Request (Düzeltme Talebi): 
  Belirli bir güvenlik önerisinden doğrudan Microsoft Intune üzerinde düzeltme görevi oluşturulabilir. 

• Block Vulnerable Applications: 
  Riskli uygulamalar belirli cihaz gruplarında otomatik olarak engellenebilir. 

• Alternative Mitigations: 
  Yamalar dışında yapılandırma değişiklikleri gibi alternatif azaltma adımları önerilir. 

• Real-Time Status Tracking: 
  Düzeltme faaliyetlerinin durumu anlık olarak izlenir ve raporlanır. 

Navigasyon Alanları ve Görünüm 

Defender Vulnerability Management arayüzü, risk görünürlüğünü kolaylaştırmak için farklı sekmelerle yapılandırılmıştır: 

Alan Açıklama Dashboard Kuruluşun genel risk puanı, tehdit farkındalığı, cihaz güvenlik skoru, süresi dolan sertifikalar, en riskli yazılımlar ve düzeltme aktiviteleri gibi özet bilgiler sunar. Recommendations Zafiyetlerle ilişkili güvenlik önerilerini listeler; her öğe için CVE detayları, yamalar ve istisna (exception) seçenekleri yer alır. Remediation Oluşturulmuş düzeltme görevlerini ve hariç tutulan önerileri gösterir. Inventories Yazılım, donanım, sertifika ve eklenti envanterlerini tek görünümde birleştirir. Weaknesses Kuruluşta tespit edilen tüm CVE’leri listeler. Event Timeline Zafiyetle ilişkili olayları kronolojik olarak gösterir. Baselines Assessment Güvenlik standartlarıyla uyum durumunu gerçek zamanlı izler. 

Configuration Management: 

Endpoint Security Policies: Microsoft Defender for Endpoint (MDE), uç noktaların güvenlik ayarlarını doğrudan Microsoft Defender portalı üzerinden yönetebilmeniz için Endpoint Security Policies (Uç Nokta Güvenlik Politikaları) bileşenini sunar. 

Bu özellik, güvenlik yöneticilerinin belirli cihaz gruplarına özel güvenlik profilleri oluşturmasına, dağıtmasına ve izleme süreçlerini tek merkezden yönetmesine olanak tanır. 

Güvenlik Politikalarının Amacı 

Security policies (güvenlik politikaları), cihazlarda uygulanacak güvenlik yapılandırmalarını merkezi olarak belirleyen profillerdir. 
Bir güvenlik yöneticisi olarak, Defender portalı üzerinden belirli cihaz gruplarına antivirüs, disk şifreleme, firewall veya EDR gibi ayarları uygulayabilir, bu politikaları izleyip gerektiğinde düzenleyebilirsiniz. 

Erişim Gereksinimleri 

Endpoint Security Policies sayfası yalnızca: 

• Tüm cihazlara erişim yetkisi olan, 

• “Core security settings (manage)” izinine sahip kullanıcılar tarafından görüntülenebilir. 

Bu izinlere sahip olmayan roller (örneğin Security Reader) sayfayı göremez. 
Kullanıcı, Intune Role-Based Access Control (RBAC) kapsamında tanımlıysa, Defender portalındaki görünüm Intune yetkilerine göre filtrelenir. 
Bu nedenle, güvenlik yöneticilerine Intune içindeki “Endpoint Security Manager” yerleşik rolünün atanması önerilir. 

Endpoint Security Policies Türleri 

Aşağıda, Microsoft Defender for Endpoint üzerinden yönetilebilen başlıca politika türleri yer almaktadır: 

Politika Türü Açıklama Antivirus Yönetilen cihazlarda antivirüs ayarlarını merkezi olarak yapılandırır. Disk Encryption Windows BitLocker veya macOS FileVault gibi yerleşik şifreleme özelliklerini yönetir. Firewall macOS ve Windows 10/11 cihazlarda işletim sistemi düzeyinde güvenlik duvarı kurallarını yönetir. Endpoint Detection & Response (EDR) Defender for Endpoint entegrasyonu sonrası cihazların EDR ayarlarını yapılandırır ve onboarding işlemlerini yönetir. Attack Surface Reduction (ASR) PowerShell, makro, WMI ve script tabanlı saldırı risklerini azaltan ASR kurallarını yönetir. 

Email and Collaboration  

Microsoft Defender XDR platformunun bir parçası olarak, kullanıcı iletişimi ve belge paylaşımına yönelik tehditleri izlemek, önlemek ve analiz etmek için kullanılır. 
Amaç, phishing, malware, spam, URL ve ek tabanlı saldırılara karşı tam koruma sağlamaktır. 

1. Temel Amacı 

“Email & Collaboration” modülü, Defender for Office 365 (MDO) servisini merkez alır ve şu güvenlik alanlarını kapsar: 

• Exchange Online (E-posta) 

• SharePoint Online (Dosya paylaşımı) 

• OneDrive for Business (Kişisel depolama) 

• Microsoft Teams (İş birliği ve mesajlaşma) 

Bu kaynaklarda gerçekleşen tüm mesaj, dosya, bağlantı ve kullanıcı etkileşimleri, Defender tarafından izlenir, analiz edilir ve tehdit istihbaratıyla değerlendirilir. 

2. Öne Çıkan Özellikler 

a. Threat tracker 

Saved Queries (Kayıtlı Sorgular), Microsoft Defender portalında sizin daha önce oluşturduğunuz tehdit arama sorgularını (queries) kaydedip tekrar kullanmanızı sağlayan bir özelliktir. 
Bu özellik özellikle Threat Explorer (Tehdit Gezgini) arayüzüyle entegre çalışır. 

Saved Queries, sık kullanılan tehdit filtrelerini sürekli olarak yeniden yazmadan tek tıkla görüntülemenizi sağlar. 
Örneğin, belirli bir zaman aralığında gelen phishing e-postaları veya malware ekleri içeren mesajları her defasında manuel olarak filtrelemek yerine, önceden kaydettiğiniz sorguyu kullanarak aynı görünümü hızlıca elde edebilirsiniz. 

Saved Queries’in Amacı ve Kullanım Alanları 

Saved Queries, Threat Explorer üzerinden belirlediğiniz filtreler ve görüntüleme seçenekleriyle oluşturulur. 
Bu özellik şu amaçlarla kullanılır: 

• Belirli bir zaman aralığında malware veya phishing aktivitelerini düzenli olarak gözden geçirmek, 

• Belirli bir kullanıcı grubu, domain veya e-posta kaynağı için otomatik izleme sağlamak, 

• Raporlama süreçlerinde sık kullanılan sorguları tekrar çalıştırmak, 

• Granüler uyarılar (alert) veya özel güvenlik kontrolleri için temel sorgular oluşturmak. 

Saved Queries, bu şekilde tehdit analizlerini tekrarlanabilir ve standartlaştırılmış hale getirir. 

b. Policies & Rules (Politikalar ve Kurallar) 

Bu alan, e-posta trafiğini koruyan koruma politikalarının yönetildiği yerdir. Bu kısımda kurum’un kullandığı domain adressini veya attachment için oluşturulan policy ile safe hale getirebilmekteyiz. Bu sayede Defender XDR o domainden oluşan mail trafiğini şüpheli olarak sınıflandırmayacaktır. 
Başlıca politika türleri: 

• Anti-Phishing Policies 

• Anti-Spam & Anti-Malware Policies 

• Safe Links & Safe Attachments Policies (ATP) 

• Collaboration Security Policies (SharePoint/Teams/OneDrive koruması) 

Yöneticiler bu politikaları farklı kullanıcı gruplarına atayarak özelleştirilmiş koruma sağlar. 

c. Explorer (Threat Explorer / Real-time Detections) 

Bu bölüm, e-posta tabanlı tehditlerin gerçek zamanlı olarak analiz edildiği paneldir. 
Buradan: 

• Gelen kutusuna ulaşan veya karantinaya alınan e-postaları, 

• Gönderen domain’leri, URL’leri, 

• Zararlı ekleri, 

• Etkilenen kullanıcıları 
  inceleyebilirsiniz. 

Ayrıca, Threat Explorer üzerinden geçmiş e-posta kampanyaları (ör. phishing dalgaları) analiz edilip incident oluşturulabilir. 

d. Attack Simulation Training 

Bu alt bölüm, kullanıcıların siber farkındalığını artırmak için phishing simülasyon kampanyaları yürütmenizi sağlar. 
Yöneticiler kurum içinde test e-postaları göndererek çalışanların farkındalık seviyesini ölçebilir. 

e. Collaboration Security (SharePoint, OneDrive, Teams) 

Defender, sadece e-posta trafiğini değil; iş birliği ortamlarındaki dosya ve mesaj paylaşımını da korur. 
Örneğin: 

• SharePoint veya OneDrive’a yüklenen dosya zararlıysa otomatik olarak karantinaya alınır. 

• Teams üzerinden paylaşılan bir bağlantı şüpheli ise kullanıcı erişimi engellenir. 

Bu yapı, veri sızıntısı (data exfiltration) veya iç tehdit (insider threat) vakalarını da tespit eder. 

3. Menüdeki Alt Bileşenler (Portal Yapısı) 

Defender portalında Email & Collaboration menüsüne tıkladığınızda aşağıdaki başlıklar görüntülenir: 

Alt Menü Açıklama Explorer Gerçek zamanlı e-posta tehdit analizi (Threat Explorer) Submissions Microsoft’a gönderilen dosya/e-posta analiz sonuçları Policies & Rules Anti-phishing, anti-spam, ATP, DLP ve benzeri koruma politikaları Attack Simulation Training Kullanıcı farkındalığı testleri ve raporları Collaboration Security SharePoint, Teams ve OneDrive güvenliği Quarantine Karantinaya alınan e-postaların yönetimi User Reported Messages Kullanıcılar tarafından bildirilen şüpheli iletiler