← Tüm terimler
Kimlik Tehdidi Tespiti ve Yanıtı (ITDR)

Kimlik tehdidi tespiti ve yanıtı (ITDR) nedir?

ITDR; kimlik bilgisi hırsızlığı, hesap ele geçirme ve ayrıcalık kötüye kullanımı gibi kimliklere yönelik saldırıları kimlik sistemleri genelinde tespit etme ve yanıtlama pratiğidir.

Son güncelleme: 13 Temmuz 2026

ITDR nasıl işler

ITDR, kimlik altyapısının kendisini — dizinler, kimlik sağlayıcılar ve kimlik doğrulama akışları — izlenmesi gereken bir saldırı yüzeyi olarak ele alır. Oturum açma olaylarını, dizin değişikliklerini ve izin düzenlemelerini toplar; ardından bunları kimlik saldırılarından önce gelen veya onlara eşlik eden desenler açısından analiz eder.

Tipik tespitler şunlardır: Bir hesabın makul olmayan bir sürede iki uzak konumdan oturum açtığı imkânsız seyahat; kaba kuvvet ve parola püskürtme desenleri; yeni veya yönetilmeyen cihazlardan oturum açmalar; kullanıcıyı anlık bildirim istekleriyle bunaltan MFA yorgunluğu saldırıları; ani ayrıcalık yükseltmeleri ve federasyon veya MFA ayarlarındaki şüpheli değişiklikler.

Yanıt tarafı tespiti kontrol altına almaya dönüştürür: Yeniden kimlik doğrulama veya ek doğrulama zorunlu kılma, aktif oturumları ve belirteçleri iptal etme, hesabı devre dışı bırakma ve güvenlik ekiplerini soruşturma için gereken bağlamla uyarma.

ITDR neden önemlidir

Kimlik, en yaygın ilk erişim vektörü haline geldi. Çalınan kimlik bilgileri, oltalama ve MFA atlatma, modern ihlallerin büyük bölümünde rol oynar; saldırgan geçerli kimlik bilgileriyle oturum açtığında, geleneksel ağ ve uç nokta araçları meşru görünen bir etkinlik görür. Kötü niyetli davranış yalnızca kimlik telemetrisinde görünürdür — oturum açmanın nereden ve hangi cihazdan geldiği, hesabın sonrasında ne yaptığı.

MFA ve koşullu erişim gibi önleyici kontroller saldırının maliyetini yükseltir ama ortadan kaldırmaz; ortadaki düşman oltalama kitleri ve oturum belirteci hırsızlığı, kararlı saldırganların içeri girebildiğini gösterir. ITDR tam da bu durumlar için tespit katmanı sağlar.

Ayrıca kimlik altyapısının kendisini de korur: Federasyon ayarlarını kurcalamak, sahte MFA yöntemleri kaydetmek veya arka kapı yönetici hesapları oluşturmak, ancak kimlik odaklı izlemenin güvenilir biçimde yakaladığı yüksek etkili tekniklerdir.

Pratikte ITDR yeteneği oluşturmak

Pratik bir başlangıç noktası hijyendir: Hangi hesapların ayrıcalıklı olduğunu bilmek, atıl olanları kaldırmak ve kimlik sistemlerinin eksiksiz günlük üretmesini sağlamak. Tespit, ancak altındaki telemetri kadar iyidir.

Sonra oturum açma ve dizin olaylarını merkezileştirin, mevcut araçlardaki kimlik saldırısı tespitlerini etkinleştirin ve yanıt playbook'larını önceden tanımlayın — hangi uyarılar oturumları sonlandırmayı gerektirir, hangileri hesapları devre dışı bırakmayı, kararı kim verir. Riskli bir oturum açmada ek doğrulamayı zorunlu kılmak gibi ilk kontrol altına alma adımını otomatikleştirmek, bir analisti beklemeden zaman kazandırır. Hesap ele geçirme gibi senaryolara karşı düzenli masa başı tatbikatları playbook'ları güncel tutar.

Kimlik sağlayıcılar bu tabloya faydalı sinyaller katar; Monosign gibi platformlar yeni cihazdan oturum açma, imkânsız seyahat ve kaba kuvvet girişimleri gibi olayları görünür kılarak bir ITDR iş akışını besleyebilir.

Sık sorulan sorular

ITDR; EDR veya SIEM'den nasıl farklıdır?
EDR uç noktaları izler, SIEM her yerden günlükleri toplar; ancak ikisi de kimlik katmanında uzmanlaşmamıştır. ITDR özellikle kimlik sistemlerine ve kimlik bilgisi kötüye kullanımı, belirteç hırsızlığı, dizin kurcalama gibi saldırı desenlerine odaklanır. Pratikte ITDR her ikisini tamamlar ve tespitlerini genellikle SIEM'e aktarır.
İmkânsız seyahat tespiti nedir?
Bir hesabın, aradaki sürede aşılamayacak kadar uzak iki konumdan oturum açmasını işaretler — örneğin bir saat içinde İstanbul ve Singapur. Genellikle kimlik bilgisi ele geçirilmesine veya vekil sunucu kullanımına işaret eder ve ek doğrulama ya da oturum iptali için klasik bir tetikleyicidir.
Küçük kuruluşların ITDR'ye ihtiyacı var mı?
Tehditler her ölçek için geçerlidir — kimlik bilgisi hırsızlığı ayrım yapmaz. Yine de küçük ekiplerin özel bir ITDR ürününe nadiren ihtiyacı olur: Mevcut kimlik sağlayıcılarındaki yerleşik kimlik koruması tespitlerini etkinleştirmek ve basit bir yanıt playbook'u tanımlamak en olası senaryoları kapsar.