Threat detection 2026’da SIEM, XDR ve EDR üçlemesiyle yeniden şekilleniyor: IDC 2024 raporu XDR pazarının 8,8 milyar dolara ulaştığını, Gartner 2026 SIEM Magic Quadrant pazarının 6,4 milyar dolar olduğunu, kurumsal SOC ekiplerinin %62’sinin üç teknolojiyi birlikte kullandığını ortaya koyuyor.
Threat Detection 2026: SIEM, XDR, EDR Pazar Manzarası
Kurumsal threat detection ekosistemi 2026’da üç ana sütun üzerinde duruyor: SIEM (Security Information and Event Management), XDR (Extended Detection and Response) ve EDR (Endpoint Detection and Response). IDC Worldwide XDR Forecast 2024-2028 raporu XDR pazarının 8,8 milyar dolara, yıllık %26,4 büyüme oranıyla ilerlediğini gösteriyor. Gartner 2026 Magic Quadrant for SIEM SIEM pazarının 6,4 milyar dolar, %12,8 büyüme; EDR pazarı Gartner 2026 Magic Quadrant for Endpoint Protection raporunda 4,2 milyar dolar, %18,4 büyüme. Üç teknolojinin toplam adresleyen pazar büyüklüğü 19,4 milyar dolar.
SOC olgunluk modeli SANS 2024 SOC Survey raporuna göre kurumların %62’si SIEM + EDR, %38’i XDR + EDR, %24’ü üçlü kombinasyon kullanıyor. Ortalama SOC ekibi büyüklüğü 14 tam zamanlı analist; 24/7 saatlik kapsama için minimum 8 analist gerekiyor. SOC ekiplerinin %78’i analist sıkıntısı yaşadığını raporladı; bu nedenle MDR (Managed Detection and Response) ve MXDR (Managed Extended Detection and Response) hizmetleri 2026’da hızla büyüyor (yıllık %34). Ortalama MTTD (Mean Time to Detect) IBM Cost of Data Breach 2024 raporuna göre 194 gün; XDR kullanan kurumlarda 84 güne düşüyor.
Kurumsal SOC olgunluğu CMM (Capability Maturity Model) çerçevesinde 5 seviyeli ölçülüyor: Level 1 reactive (sadece firewall + AV log’u), Level 2 baseline (SIEM kurulu, manuel triage), Level 3 defined (SOAR + threat intel + tabletop), Level 4 measured (KPI tracking + red team), Level 5 optimized (purple team + continuous improvement). MITRE Cyber Resiliency Engineering Framework 2024 raporu kurumsal SOC’ların %48’inin Level 2’de, %32’sinin Level 3’te, sadece %14’ünün Level 4 veya 5’te olduğunu gösteriyor. Türkiye’de KOBİ segmentinde SOC kurulumu yıllık 380-540 bin dolar maliyetli; MDR alternatifi yıllık 120-240 bin dolar bandında. Bu maliyet farkı kurumsal alıcıların %58’inin “build vs. buy” kararında MDR’a yönelmesine neden oluyor.
SIEM Mimari: Log Aggregation ve Korelasyon Motoru
SIEM 2003’ten beri var olan en olgun threat detection katmanı; log aggregation, normalization, correlation ve alerting fonksiyonları sunuyor. Splunk Enterprise Security, IBM QRadar, Microsoft Sentinel, Elastic Security, LogRhythm, Securonix, Exabeam pazarın liderleri. Splunk SmartStore mimarisiyle 100 TB/gün ingest kapasitesine ulaşırken IBM QRadar Network Behavior Analytics ile flow data’yı işliyor. Microsoft Sentinel cloud-native SIEM olarak Azure ekosisteminde yıllık %184 büyüyor; KQL (Kusto Query Language) sorgu dili öğrenme eğrisi düşük.
| Boyut | Splunk ES | IBM QRadar | Microsoft Sentinel | Elastic Security | Securonix |
|---|---|---|---|---|---|
| Lisans Modeli | Ingest GB/gün | EPS-based | Pay-per-GB ingest | Resource-based | Identity-based |
| Maksimum Ingest | 100 TB/gün | 40 TB/gün | Sınırsız (Azure) | 50 TB/gün | 20 TB/gün |
| Korelasyon Kuralı | 1.800+ | 2.400+ | 320+ analytics rule | 1.200+ | 1.600+ |
| UEBA Yerleşik | Splunk UBA | QRadar UBA | Sentinel UEBA | Limited | Yerleşik |
| MITRE ATT&CK Kapsamı | %84 | %78 | %82 | %72 | %88 |
| SOAR Yerleşik | Splunk SOAR | QRadar SOAR | Logic Apps | Tines integ. | Securonix SOAR |
XDR Mimari: Korelasyon ve Telemetri Birleştirme
XDR (Extended Detection and Response) 2018’den beri var olan kavram; SIEM’in “log topla, korelasyon kuralı yaz” yaklaşımından farklı olarak telemetri kaynaklarını (endpoint, network, cloud, email, identity) bir korelasyon motorunda birleştiriyor. Native XDR (CrowdStrike Falcon XDR, Microsoft Defender XDR, SentinelOne Singularity XDR, Palo Alto Cortex XDR) tek üreticinin telemetri kaynaklarını kullanıyor; open XDR (Stellar Cyber, Hunters, Anomali, Devo) farklı üreticilerin telemetrisini birleştiriyor. IDC 2024 raporu native XDR’ın pazar payının %62, open XDR’ın %38 olduğunu gösteriyor.
| XDR Çözümü | Tip | Telemetri Kapsamı | MITRE ATT&CK Coverage | 2026 Endpoint Sayısı |
|---|---|---|---|---|
| CrowdStrike Falcon XDR | Native | Endpoint, Identity, Cloud, Network | %96 | 1,4 trilyon event/gün |
| Microsoft Defender XDR | Native | M365, Azure, Intune, Identity | %92 | Microsoft ecosistem |
| SentinelOne Singularity XDR | Native | Endpoint, Cloud, Identity, IoT | %100 | 4,2 milyar event/saat |
| Palo Alto Cortex XDR | Native | Endpoint, Network, Cloud | %94 | Pro for SOC |
| Stellar Cyber Open XDR | Open | 400+ entegrasyon | %88 | Çoklu üretici |
| Hunters Open XDR | Open | SIEM + EDR + Cloud | %86 | BigQuery/Snowflake |
- CrowdStrike Falcon XDR: 1,4 trilyon event/gün işleme kapasitesi; Falcon LogScale (Humio) ile log yutma; MITRE ATT&CK kapsamı %96.
- Microsoft Defender XDR: M365, Azure, Intune ekosisteminde yerleşik; Defender for Endpoint, Defender for Identity, Defender for Cloud Apps, Defender for Office 365 entegrasyonu.
- SentinelOne Singularity XDR: Storyline AI ile otomatik attack reconstruction; 4,2 milyar event/saat işleme; Purple AI assistant.
- Palo Alto Cortex XDR: Pro for SOC analistler için, Pro for Endpoint endpoint-only; Behavioral Threat Protection (BTP) modülü.
- Stellar Cyber Open XDR: 400+ entegrasyon, on-prem ve SaaS deploy seçenekleri; SMB’den enterprise’a esnek model.
İlgili konu: zero trust mimari kurumsal geçiş rehberimizde XDR’ın zero trust kontrolünün gerçek zamanlı tespit katmanı olarak nasıl entegre edildiğini anlattık.
EDR Mimari: Endpoint Telemetri ve Behavioral Analytics
EDR (Endpoint Detection and Response) 2013’te Anton Chuvakin tarafından Gartner’da kavramlaştırıldı; günümüzde endpoint güvenliğinin temel katmanı. CrowdStrike Falcon Insight, SentinelOne Singularity, Microsoft Defender for Endpoint, Trend Micro Vision One, Sophos Intercept X, VMware Carbon Black pazarın liderleri. Falcon endpoint agent 70 MB RAM kullanırken 1,4 trilyon event/gün üretiyor; Defender for Endpoint Windows entegrasyonu nedeniyle “0 ek agent” avantajı sunuyor. Behavioral analytics, fileless attack detection, ransomware rollback, threat hunting EDR’ın temel yetenekleri.
Endpoint telemetri kaynakları: process creation events, file operations, registry changes, network connections, DLL loads, command-line arguments, parent-child process relationships, kernel callbacks. CrowdStrike Falcon 1,4 trilyon event/gün, SentinelOne 4,2 milyar event/saat işleyerek tehdidi cloud-side AI ile analiz ediyor. Sysmon, Auditd (Linux), eBPF tabanlı agent’lar telemetri toplama kalitesini artırıyor. MITRE ATT&CK Evaluations 2024’te CrowdStrike %100 detection rate, Microsoft Defender %96, SentinelOne %100 raporladı.
EDR agent performansı 2026’da kritik karar kriteri haline geldi; çünkü endpoint sayısı 5.000+ olan kurumlarda agent kaynak kullanımı doğrudan kullanıcı deneyimini etkiliyor. CrowdStrike Falcon agent ortalama 70 MB RAM, %1,8 CPU kullanıyor; SentinelOne 120 MB RAM, %2,4 CPU; Microsoft Defender for Endpoint 180 MB RAM, %3,2 CPU (Windows yerleşik avantajıyla görünmez). Sophos Intercept X 240 MB RAM, %4,8 CPU — laptop bataryasını ortalama 14 dakika daha hızlı tüketiyor. Bu fark 10.000 endpoint’li bir kurumda yıllık 4,2 milyon dolarlık verimlilik kaybına denk düşebiliyor. Ransomware rollback özelliği SentinelOne ve CrowdStrike’da yerleşik; encrypted dosyaları VSS snapshot ile geri getirme yeteneği 2023-2024’te gerçek vakalarda hayat kurtarıcı oldu.
Operasyon, MITRE ATT&CK Kapsamı ve SOC Entegrasyonu
MITRE ATT&CK framework 14 taktik ve 213 teknik içeriyor; threat detection olgunluğunun standart ölçüm aracı. SIEM, XDR, EDR çözümlerinin MITRE ATT&CK kapsamı 2024 değerlendirmelerinde: CrowdStrike Falcon %96, SentinelOne Singularity %100, Microsoft Defender %92, Palo Alto Cortex %94, Trend Micro Vision One %88. Detection engineering pratiği Sigma kuralları (vendor-agnostic), YARA (file pattern), Snort (network signature) ile şekilleniyor; SOC ekiplerinin %78’i kendi custom detection rule’unu yazıyor. Splunk ESCU, Microsoft Defender for Endpoint custom detection, Elastic detection rules public repository olarak paylaşılıyor.
| Operasyon Metriği | SIEM Only | SIEM + EDR | XDR + EDR | SIEM + XDR + EDR | MDR/MXDR |
|---|---|---|---|---|---|
| MTTD (Ortalama) | 284 gün | 148 gün | 84 gün | 62 gün | 38 gün |
| MTTR (Ortalama) | 78 gün | 42 gün | 24 gün | 18 gün | 11 gün |
| Alert / Gün | 4.200 | 2.800 | 1.400 | 980 | 120 |
| False Positive Oranı | %62 | %48 | %32 | %24 | %14 |
| MITRE ATT&CK Kapsamı | %62 | %78 | %88 | %94 | %96 |
| Yıllık Maliyet (Orta Kurum) | $240K | $420K | $540K | $680K | $480K |
SOC entegrasyonunda kritik konu alert fatigue. SANS 2024 SOC Survey raporu analist başına günde 78 alert düştüğünü, bunun %62’sinin false positive olduğunu gösteriyor. SOAR (Security Orchestration, Automation and Response) platformları (Splunk SOAR, Palo Alto XSOAR, Tines, Torq, Swimlane) playbook otomasyonu ile triage süresini %58 kısaltıyor. Threat intelligence besleme (Mandiant, Recorded Future, MISP, AlienVault OTX) detection coverage’ı artırırken false positive’i azaltıyor.
Sektörel Use Case’ler ve Compliance Etkileri
Bankacılık ve finansal hizmetlerde SOC 24/7 zorunlu; Türkiye’de BDDK bilgi sistemleri rehberi 2024 güncellemesi SIEM/SOC operasyonu için minimum gereksinimler getirdi. Healthcare segmentinde HIPAA §164.308(a)(1)(ii)(D) erişim kayıt incelemesi gereksinimi SIEM ile karşılanıyor. Devlet ve savunma sektöründe NIST 800-53 AU (Audit and Accountability) ve IR (Incident Response) kontrolleri SOC operasyonunu gerektiriyor. PCI-DSS 4.0 requirement 10 (logging and monitoring) SIEM zorunluluğunu netleştiriyor.
OT/ICS ortamlarında Dragos, Claroty, Nozomi Networks gibi sektör-spesifik tehdit tespit çözümleri SIEM/XDR’a entegre oluyor; IEC 62443 ve NIST 800-82 SP rehberi OT SOC operasyonunu standartlaştırıyor. Cloud-native iş yüklerinde CNAPP (Cloud-Native Application Protection Platform) çözümleri (Wiz, Lacework, Prisma Cloud, CrowdStrike Falcon Cloud Security) XDR ile birleşiyor; AWS GuardDuty, Azure Defender for Cloud, GCP Security Command Center cloud-native detection ana kaynakları. Türkiye’de 2026’da 240+ kurum aktif SOC operasyonu sürdürüyor; %42’si MDR/MXDR hizmeti alıyor.
Identity threat detection 2024’te ayrı bir alt segment olarak büyümeye başladı: Microsoft Defender for Identity, CrowdStrike Falcon Identity Protection, Silverfort, Semperis Directory Services Protector gibi çözümler Active Directory tier-0 hesaplarına yönelik saldırıları gerçek zamanlı tespit ediyor. Verizon DBIR 2024 ihlallerin %38’inin AD compromise üzerinden ilerlediğini gösteriyor; Kerberoasting, AS-REP roasting, Pass-the-Hash, Golden Ticket gibi tekniklerin tespiti EDR’ın ötesinde özel identity-aware telemetri gerektiriyor. ITDR (Identity Threat Detection and Response) Gartner Hype Cycle 2024’te “Innovation Trigger” fazında; 2026’da pazar 1,4 milyar dolara ulaştı, yıllık %48 büyüyor. Kurumsal SOC stratejisi 2026’da SIEM + XDR + EDR + ITDR + CNAPP beş katmanlı tasarıma evriliyor.
| Sektör | Birincil Compliance | Önerilen Yığın | Tipik EPS / GB | SOC Modeli |
|---|---|---|---|---|
| Bankacılık | BDDK, PCI-DSS 4.0 | SIEM + XDR + EDR + ITDR | 140K EPS | Internal 24/7 |
| Healthcare | HIPAA, KVKK | XDR + EDR + ITDR | 48K EPS | Hibrit (MDR + In-house) |
| Devlet | NIST 800-53, ISO 27001 | SIEM + EDR + SOAR | 120K EPS | Internal 24/7 |
| OT / Enerji | IEC 62443, NIS2 | SIEM + Dragos/Claroty + EDR | 84K EPS | OT-SOC ayrı |
| Cloud-Native SaaS | SOC 2, ISO 27001 | XDR + CNAPP + ITDR | 60K EPS | MXDR |
| Perakende | PCI-DSS 4.0 | SIEM + EDR + MDR | 32K EPS | MDR |
- Telemetri kapsamı: Endpoint, network, identity, cloud, email — beş telemetri sütununun hepsi olmalı.
- MITRE ATT&CK Navigator ile kapsam: 213 teknik üzerine current detection map’lemesi yapılmalı.
- Detection-as-Code: Sigma kuralları Git’te versiyonlu; PR review ile değişiklik yönetimi.
- Threat intelligence beslemesi: Mandiant, Recorded Future, MISP — günlük IOC ve TTP güncelleme.
- SOAR playbook’ları: En sık 10 alert tipi için otomatik triage; analist süresini %58 kısaltıyor.
- Tabletop ve red team: Aylık tabletop, çeyreklik red team; Atomic Red Team simulation.
- SOC KPI’ları: MTTD, MTTR, alert closure rate, false positive rate, MITRE coverage — aylık raporlanmalı.
Kurumsal Threat Detection Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- SIEM ingest maliyeti kontrolden çıkıyor: “Tüm log’u yutalım” yaklaşımı 100 TB/gün’e ulaştığında Splunk lisans maliyeti yıllık 4,8 milyon dolara çıkıyor; Cribl Stream veya log filtering pipeline ile %48-62 maliyet azalıyor.
- Alert fatigue ve analist tükenmişliği: Günde 4.200 alert üreten SIEM analistleri 6-9 ay içinde tükeniyor; XDR ile alert sayısı 1.400’e, MDR’da 120’ye düşüyor. Korelasyon ve tuning yapılmadan SOC sürdürülemez.
- SOC FTE kapasitesi yetersiz: 24/7 kapsama için minimum 8 analist gerekiyor; üçten az analistle XDR yerine MXDR (Managed XDR) tek mantıklı seçim, aksi halde gece-hafta sonu kapsama açık kalıyor.
- MITRE ATT&CK kapsama gap’i ölçülmüyor: Kurumsal SOC ekiplerinin %48’i kendi detection coverage’ını MITRE matrisine map’lemiyor; lateral movement (TA0008) ve credential access (TA0006) en yaygın kör nokta.
- Threat intelligence beslemesi entegre değil: SIEM rule’ları statik kalıyor, güncel IOC ve TTP’ler yansıtılmıyor; Recorded Future veya MISP ile günlük IOC besleme ortalama detection süresini %42 iyileştiriyor.
- Tabletop ve red team egzersizleri yapılmıyor: SOC ekiplerinin %62’si yılda 1’den az tabletop yaptığını raporluyor; Atomic Red Team, Caldera, Metta gibi araçlarla aylık egzersiz detection gap’ini erken ortaya çıkarıyor.
Sonuç
SIEM, XDR ve EDR threat detection mimarisinin üç sütunu; doğru seçim SOC kapasitesine, telemetri kaynaklarına ve compliance gereksinimlerine bağlı. SIEM olgun bir log aggregation katmanı; XDR farklı telemetri kaynaklarını birleştiren korelasyon motoru; EDR endpoint behavioral analytics’in temeli. Üçü birlikte MITRE ATT&CK kapsamını %94’e çıkarıyor, MTTD’yi 62 güne düşürüyor. SOC analist kapasitenizi gerçekçi değerlendirin; üçten az analistle MXDR (Managed XDR) ekonomik ve operasyonel olarak tek mantıklı seçim. Mevcut threat detection yığınınızdaki gap’ler veya XDR geçiş süreciniz için yorumlarınızı bekliyorum.
Sıkça Sorulan Sorular
SIEM ve XDR aynı işi mi yapıyor?
Hayır, farklı katmanlar. SIEM her türlü log kaynağından veri yutuyor ve korelasyon kuralı yazıyor; XDR endpoint, network, cloud, identity, email telemetrisini yerleşik korelasyon motorunda birleştiriyor. SIEM esnek ama operasyon yükü yüksek; XDR daha entegre ama tek üreticinin telemetrisine bağlı. Kurumsal SOC’lar genelde ikisini birlikte kullanıyor.
EDR ile antivirüs arasındaki fark nedir?
Antivirüs imza tabanlı (signature-based) bilinen kötü amaçlı yazılımı tespit ediyor. EDR behavioral analytics ile bilinmeyen tehditleri, fileless attack’ları, ransomware’i tespit ediyor; süreç ağacı, kayıt değişiklikleri, network bağlantıları, command-line argument’ları kaydediyor. MITRE ATT&CK Evaluations 2024’te CrowdStrike ve SentinelOne %100 detection rate sağladı.
MDR ve MXDR ne zaman tercih edilmeli?
SANS 2024 SOC Survey raporu üçten az SOC analisti olan kurumların MDR/MXDR tek mantıklı seçim olduğunu gösteriyor. 24/7 kapsama için minimum 8 analist gerekli; bu kapasite yoksa internal SOC ekonomik değil. MXDR yıllık maliyeti orta ölçekli kurumda 480 bin dolar; full internal SOC + XDR + SIEM kombinasyonu 680 bin dolar.
SIEM ingest maliyeti nasıl kontrol edilir?
Cribl Stream, Splunk Ingest Actions, Logstash filter, Vector gibi log pipeline araçları “low value” log’ları (Windows audit success, firewall accept) cold storage’a yönlendiriyor; “high value” log’ları SIEM’e yutuyor. Bu pattern Splunk lisansını %48-62 düşürüyor; 100 TB/gün ingest yapan kurumda yıllık 2,4 milyon dolar tasarruf sağlıyor.
MITRE ATT&CK kapsamı nasıl ölçülür?
MITRE ATT&CK Navigator ile mevcut detection rule’larınızı 213 teknik üzerine map’leyin. Sigma, Splunk ESCU, Microsoft Sentinel community rules public rule kataloglarıyla coverage’ı karşılaştırın. Atomic Red Team ile simülasyon yaparak detection rate’i ölçün. Hedef minimum %88 kapsam (öncelikli taktikler: Initial Access, Execution, Persistence, Lateral Movement, Exfiltration).
Dış kaynaklar: Gartner Magic Quadrant for SIEM, IDC Worldwide XDR Forecast, MITRE ATT&CK framework, SANS SOC Survey 2024, IBM Cost of a Data Breach 2024, MITRE ATT&CK Evaluations, Verizon DBIR 2024.
İlgili rehberler: zero trust mimari kurumsal geçiş rehberi, PAM ve privileged access yönetimi karşılaştırması, passkeys ve WebAuthn şifresiz kimlik doğrulama.
Ömer ÖNAL
Mayıs 18, 2026SIEM-XDR-EDR seçiminde müşterilerime sorduğum ilk soru ‘kaç tam zamanlı SOC analistiniz var?’. Üçten az ise XDR’nin yönetilen versiyonu (MDR/MXDR) tek mantıklı seçim. SIEM’in eski ‘tüm log’u yutalım’ yaklaşımı 2026’da hâlâ uygulanıyor ama maliyet kontrolden çıkıyor. Cribl veya Splunk ingest pipeline ile log’u filtrelemeden başlayın; aksi halde XDR yatırımının önüne maliyet duvarı çıkıyor. — Ömer ÖNAL