Microsoft Defender'daki Yeni Özelliklere Genel Bakış (RSA 2026 Duyuruları)
Microsoft, RSA Konferansı 2026'da, Microsoft Defender ekosistemini önemli ölçüde güçlendirecek bir dizi yeni özelliği tanıttı. Bu yeniliklerin çoğu şu anda önizleme aşamasındadır ve operasyonel ekiplerin güvenlik olaylarını yönetme, saldırı yüzeyini azaltma ve tehditleri proaktif olarak ele alma biçimini dönüştürmesi beklenmektedir. Bu makale, bu temel güncellemeleri teknik bir perspektifle incelemektedir.
1. Security Copilot'ta Yapay Zeka Destekli Triage Ajanları
En önemli yeniliklerden biri, Security Copilot içine entegre edilen yapay zeka destekli triage (önceliklendirme) ajanlarıdır. Bu ajanlar, gelen güvenlik uyarılarını otomatik olarak analiz etmek ve sınıflandırmak için tasarlanmıştır. Geleneksel sistemlerde analistlerin manuel olarak ele aldığı yüksek hacimli uyarı yükünü azaltmayı hedefler.
Çalışma Prensibi ve Faydaları
Bu ajanlar, geçmiş olay verilerini, tehdit istihbaratını ve anomali tespit modellerini kullanarak uyarıların gerçek tehlike seviyesini (gerçek pozitif mi, yanlış pozitif mi) belirler. Bu, SOC (Güvenlik Operasyon Merkezi) ekiplerinin kritik olaylara daha hızlı odaklanmasını sağlar.
- Otomatik Sınıflandırma: Gelen uyarılar, önceden tanımlanmış risk skorlarına göre etiketlenir (örn: Kritik, Yüksek, Bilgi).
- Bağlam Zenginleştirme: Ajanlar, ilgili varlıklar, kullanıcı geçmişleri ve bilinen saldırı vektörleri ile uyarıya ek bağlam sağlar.
- Önceliklendirme Önerileri: Analiste, bir sonraki adım için önerilen eylemleri sunar.
Not: Şu anda önizlemede olan bu özelliklerin tam entegrasyonu ve ince ayarı için kapsamlı testler gereklidir. Başlangıçta, Copilot'un önerilerini doğrulamak için insan gözetimi şarttır.
2. Kimlik Güvenliği Olayları için Birleşik Gösterge Tablosu
Microsoft, özellikle kimlik güvenliği (Identity Security) odaklı yeni bir gösterge tablosu sunarak, Azure AD/Entra ID ile ilgili güvenlik olaylarının tek bir merkezden izlenmesini kolaylaştırmaktadır. Bu, özellikle karmaşık hibrit ortamlarda kimlik tabanlı tehditlerin görünürlüğünü artırır.
Temel Metrikler
Bu yeni pano, aşağıdaki kritik metrikleri konsolide eder:
- Başarısız Oturum Açma Girişimlerinin Eğilimleri.
- Riskli Kullanıcı Sayısı ve Risk Puanı Dağılımı.
- Çok Faktörlü Kimlik Doğrulama (MFA) Uygulama Yüzdesi.
- Mevcut Kimlik Sertleştirme Ayarlarının Durumu.
3. Saldırı Tahminlerine Dayalı Otomatik Sertleştirme (Automated Hardening)
Bu özellik, Defender for Cloud ve Defender for Endpoint'in proaktif yeteneklerini birleştirerek, saldırı yüzeyini otomatik olarak azaltmayı amaçlar. Sistem, potansiyel saldırı yollarını tahmin eder ve riskli yapılandırmaları otomatik olarak düzeltir.
Uygulama Adımları (Konsept)
Bu özelliği etkinleştirmek, genellikle Defender for Cloud'daki 'Secure Score' veya 'Attack Path Simulation' araçlarıyla entegrasyon gerektirir. Teknik olarak, bu bir dizi otomasyon kuralı (Logic Apps veya Defender Otomasyonları) aracılığıyla uygulanır.
# Örnek Otomasyon Tetikleyicisi (Konseptsel)
IF AttackPathPrediction.Severity > High AND Remediation.IsAutomatic = True
THEN Execute Auto-Remediation Policy 'Block_Lateral_Movement_Policy'
ELSE Create High Priority Incident in Security Copilot
4. Microsoft Teams Sesli Arama İzleme
Güvenlik ve uyumluluk açısından önemli bir adım olarak, Microsoft Teams üzerinden yapılan sesli aramaların izlenmesi ve analiz edilmesi özelliği eklenmiştir. Bu, özellikle düzenlenmiş sektörlerde (finans, sağlık) kritik öneme sahiptir.
Yasal Uyarı: Teams sesli arama izleme özelliğinin etkinleştirilmesi, yerel veri gizliliği ve kayıt yasalarına (GDPR, HIPAA vb.) sıkı sıkıya uyum gerektirir. Kurum içi yasal danışmanlık alınmadan aktif edilmemelidir.
Bu yeni özellikler, Microsoft Defender'ın sadece reaktif bir tehdit yanıt sistemi olmaktan çıkıp, proaktif ve yapay zeka odaklı bir güvenlik platformuna dönüştüğünü göstermektedir.
