Kısa yanıt: EDR uç noktalardaki şüpheli davranışı kaydeden ve işaretleyen bir yazılımdır; onu sizin BT ekibiniz çalıştırır. XDR, aynı tespit mantığını endpoint’in ötesine — sunucu, firewall, e-posta, kimlik ve bulut katmanlarına — taşıyıp olayları tek bir zaman çizelgesinde birleştirir; bunu da yine kurum içi ekibiniz yönetir. MDR ise EDR ve XDR yeteneklerini Sophos’un 7/24 çalışan analist ekibinin devraldığı yönetilen bir hizmettir. Yani üçü rakip ürün değil, aynı omurganın üç farklı yönetim seviyesidir: Sophos Endpoint → EDR → XDR → MDR.
Bu ayrımı netleştirmek önemli, çünkü çoğu kurum yanlış katmana yatırım yapıp ya kapasitesinin altında kalıyor ya da kullanamadığı bir aboneliğin parasını ödüyor.
EDR: tespit yeteneği, ama yöneten birine ihtiyaç duyar
EDR (Endpoint Detection and Response), klasik antivirüsün durduramadığı dosyasız saldırıları, şüpheli komut satırı davranışlarını ve yanal hareket girişimlerini görünür kılar. Sophos tarafında bu yetenek, eski adıyla Intercept X olarak bilinen — Ekim 2025’teki portföy yenilemesinden sonra yalnızca Sophos Endpoint olarak anılan — koruma üzerine eklenir.
Kritik nokta şu: EDR bir tespit aracıdır, bir çözüm değildir. Ürettiği uyarıları yorumlayacak, gerçek olayı false-positive’den ayıracak ve gece yarısı gelen bir alarma müdahale edecek bir ekibe ihtiyaç duyar. Kurumunuzda güvenlik konusunda deneyimli, sürekli erişilebilir bir BT ekibi varsa EDR doğru başlangıçtır. Yoksa, satın alınan tespit kapasitesinin önemli bölümü kullanılmadan kalır.
XDR: tek konsolda bütünleşik görünürlük
XDR (Extended Detection and Response), EDR’nin endpoint’le sınırlı görüş alanını genişletir. Sophos XDR, telemetriyi endpoint’lerin yanı sıra sunuculardan, firewall’dan, e-postadan, kimlik sistemlerinden ve bulut iş yüklerinden toplayıp Sophos Data Lake’te ilişkilendirir. Birbirinden bağımsız görünen olaylar — bir phishing e-postasıyla başlayıp bir sunucuda yetki yükseltmeyle devam eden bir saldırı gibi — tek bir bütünleşik zaman çizelgesinde birleştirilir.
Bunun pratik karşılığı, bir olayın kök nedenini saatler yerine dakikalar içinde çıkarabilmektir. Ancak XDR de kendi kendini yönetmez; konsolu izleyecek ve bulguları araştıracak bir ekip gerektirir. Birden fazla Sophos ürününü (örneğin firewall ile endpoint’i) birlikte kullanan ve veriyi tek panelde toplamak isteyen kurumlar için Sophos XDR mantıklı bir orta basamaktır.
MDR: tespit değil, sonuç satın almak
MDR (Managed Detection and Response), EDR ve XDR yeteneklerinin tamamını Sophos’un küresel analist ekibinin devraldığı yönetilen hizmettir. Ekip ortamınızı 7/24 izler, anomalileri filtreler ve onaylanan bir tehdide gerektiğinde sizin adınıza aktif müdahale eder. Saldırgan gece 3’te içeri girmeye çalıştığında konsol başında bekleyen sizin ekibiniz değil, Sophos’un güvenlik operasyon merkezidir.
Sophos MDR, Secureworks’ün 2025’te Sophos’a katılmasıyla gelen Taegis platformunun olgunluğunu da içine alır. Bağımsız değerlendirmelerde konumu güçlüdür: Sophos, IDC MarketScape Worldwide MDR 2024 değerlendirmesinde Lider; Gartner Peer Insights MDR kategorisinde 4.8/5 puanla Customers’ Choice olarak listelenmiştir. (Not: MDR pazarı için bir Gartner Magic Quadrant yayımlanmamaktadır; “MDR’da MQ lideri” ifadesi teknik olarak yanlıştır.)
MDR, kendi nöbet tutan güvenlik ekibini kurmanın maliyetli olduğu kurumlar için tasarlanmıştır. Bir SOC ekibini işe almak, eğitmek ve 7/24 vardiyada tutmak çoğu KOBİ ve orta ölçekli işletme için ulaşılabilir değildir; MDR bu operasyonu hizmet olarak sunar. MDR seçeneklerini ve fiyatlandırmasını değerlendirmek için teklif alabilirsiniz.
Hangi katman kuruma yeter?
Seçim, endpoint sayısından çok kurumun operasyonel olgunluğuna ve iç kaynağına bağlıdır:
| Kurum profili | Önerilen katman |
|---|---|
| Deneyimli, sürekli erişilebilir BT ekibi var; tek odak endpoint koruması | Sophos Endpoint + EDR |
| Birden fazla güvenlik katmanı (firewall, e-posta, sunucu) var; veriyi tek panelde toplamak isteniyor; konsolu izleyecek ekip mevcut | Sophos XDR |
| 7/24 nöbet tutacak güvenlik ekibi yok; siber sigorta veya mevzuat gereği sürekli izleme gerekiyor | Sophos MDR |
Son satır giderek daha belirleyici hale geliyor. 7545 sayılı Siber Güvenlik Kanunu’nun getirdiği yükümlülükler ve siber sigorta poliçelerinin çoğunun sürekli tehdit izleme şartı koşması, MDR’ı birçok kurum için tercihten ziyade gereklilik konumuna taşıyor. Mevcut Sophos Endpoint aboneliğinizi MDR’a yükseltmek genellikle sıfırdan kurulum gerektirmeyen bir lisans değişikliğidir.
Lisans tarafında dikkat edilmesi gerekenler
Bu katmanlar arasında geçiş bir mimari değişiklik değil, çoğunlukla bir lisans kademesi değişikliğidir. Mevcut Sophos aboneliğinizin bitiş tarihi yaklaşıyorsa, yenileme sırasında EDR’den XDR’a ya da XDR’dan MDR’a geçişi aynı işlemde değerlendirmek hem operasyonel hem maliyet açısından daha verimlidir. Birden fazla Sophos aboneliğini tek bir yenileme tarihinde toplamak da yönetimi belirgin biçimde kolaylaştırır; lisans yenileme sürecini bu birleştirmeyi göz önünde bulundurarak planlamak yerinde olur.
Sık sorulan sorular
EDR ile MDR aynı şey mi? Hayır. EDR uç noktalara kurulan bir yazılımdır; MDR ise o yazılımı (ve diğer güvenlik araçlarını) sizin yerinize çalıştıran uzman ekibi içeren bir hizmettir. EDR araç, MDR ise araç + insan + operasyon katmanıdır.
XDR almak için MDR’a da ihtiyaç var mı? Hayır. XDR’ı kendi ekibinizle yönetebilirsiniz. MDR ise XDR’ı da kapsar; yani MDR aldığınızda XDR’ın çoklu kaynak korelasyon yeteneği zaten dahildir, üstüne uzman yönetimi eklenir.
KOBİ için doğrudan MDR mantıklı mı? Çoğu durumda evet. 7/24 güvenlik ekibi kuramayan işletmeler için MDR, kendi SOC’unu işletmenin kesirli maliyetiyle sürekli izleme sağlar. Endpoint sayısı az olsa bile, gece ve hafta sonu görünürlüğü kritikse MDR değerlidir.
Mevcut antivirüsümüzü değiştirmeden bu katmanlara geçebilir miyiz? Sophos Endpoint koruması bu katmanların temelidir; EDR/XDR/MDR bunun üzerine eklenir. Mevcut çözümünüz Sophos değilse geçiş bir kurulum süreci gerektirir, ancak kademeler arası yükseltme (Endpoint → MDR gibi) tipik olarak lisans değişikliğiyle yapılır.
Kurumunuza hangi katmanın uygun olduğunu mevcut altyapınız, ekip kapasiteniz ve uyumluluk gereksinimleriniz üzerinden değerlendirmek için bir görüşme planlayabilirsiniz. Kurumsal değerlendirme ve güncel teklif talebinizi iletebilirsiniz; teknik değerlendirme görüşmeleri ön taahhüt gerektirmez.
Kaynaklar: Sophos — EDR, XDR, MDR: Key differences and how to choose · Sophos — What is XDR · Sophos MDR