Tek Cümlede Fark
Defender for Endpoint Plan 1 $3.00
Sadece preventive koruma: next-gen antivirus, attack surface reduction, web content filtering, USB device control, manual response. EDR + automated investigation yok. Saldırı geçerse sonrası analiz/müdahale yetenek sınırlı.
Defender for Endpoint Plan 2 $5.20
Plan 1 + EDR + tespit + response: Endpoint Detection and Response, Automated Investigation & Remediation, Advanced Hunting (KQL), Threat & Vulnerability Management, Live Response, Microsoft Threat Experts. Saldırı sonrası araştırma + otomatik izolasyon + threat hunting için standart seçim.
Detaylı Özellik Karşılaştırması
| Özellik | Plan 1 | Plan 2 |
|---|
| — Preventive Koruma — |
| Next-generation antivirus (NGAV) | ✓ | ✓ |
| Attack Surface Reduction (ASR rules) | ✓ | ✓ |
| Network protection (web content filter) | ✓ | ✓ |
| Controlled folder access (ransomware koruma) | ✓ | ✓ |
| Device-based conditional access (Entra ID P1+ ile) | ✓ | ✓ |
| USB device control | ✓ | ✓ |
| — EDR (Detection & Response) — |
| Endpoint Detection and Response (EDR) | — | Dahil |
| Behavioral monitoring + alert generation | kısmi | Tam |
| Process tree + timeline visualization | — | Dahil |
| Automated Investigation & Remediation | — | Dahil |
| Automated Attack Disruption (BEC, ransomware) | — | Dahil |
| Live Response (uzaktan PowerShell + script) | — | Dahil |
| Manual response (cihaz izole, dosya quarantine) | ✓ | ✓ |
| — Threat Hunting + TVM — |
| Advanced Hunting (KQL sorgu, 30 gün retention) | — | Dahil |
| Custom detection rules (KQL ile alert) | — | Dahil |
| Threat & Vulnerability Management (TVM) | — | Dahil |
| Microsoft Threat Experts (opt-in) | — | Dahil (ücretsiz) |
| Threat Analytics (sektörel istihbarat raporları) | kısıtlı | Tam |
| — Yönetim + Raporlama — |
| Defender for Endpoint portal (security.microsoft.com) | ✓ | ✓ |
| API erişim (alert, action, hunting) | kısıtlı | Tam |
| Sentinel entegrasyonu (SIEM) | ✓ | ✓ |
| Power BI dashboard template | ✓ | ✓ |
| — Genel — |
| Kullanıcı/ay (yıllık taahhüt) | $3.00 | $5.20 |
| Yıllık kullanıcı başı maliyet | $36 | $62.40 |
| M365 E3 ile dahil mi? | — (add-on $3) | — (add-on $5.20) |
| M365 E5 ile dahil mi? | — (Plan 2 dahil) | Dahil |
| M365 Business Premium ile dahil mi? | Defender for Business dahil — Plan 1+2 hibrit (max 300 user) |
⚠️ Defender for Business ile karıştırma
Defender for Business ($3) KOBİ-spesifik bir SKU (max 300 user). Plan 1 + Plan 2 özelliklerinin önemli bölümünü tek pakette sunar (basit EDR + Automated Investigation + cihaz envanteri). Ancak Advanced Hunting + Microsoft Threat Experts + tam TVM yok. 300+ kullanıcı veya gelişmiş SOC için DfE Plan 1/2 yolu doğru.
Plan 2'de Olup Plan 1'de Olmayan 5 Kritik Özellik
1. Endpoint Detection and Response (EDR)
Cihazda saldırı geçtiyse (kullanıcı kötü amaçlı dosya çalıştırdı, fishing'e tıkladı, lateral movement başladı) sonrası analiz + müdahale. Process tree görselleştirme, timeline (X cihaz Y saat önce şu komutları çalıştırdı), file/registry/network event korelasyonu. Plan 1'de NGAV var ama saldırı sonrası "ne oldu?" sorusuna detaylı cevap yok. KVKK Madde 12 + ISO 27001 + PCI DSS denetiminde EDR genelde 'uygun teknik tedbir' kanıtı.
2. Automated Investigation & Remediation (AIR)
Bir alert geldiğinde Defender otomatik araştırma başlatır: process tree, network bağlantı, ilgili cihazlarda arama, dosya hash threat intelligence karşılaştırma. Sonuç otomatik karar: 'Malicious — cihaz izole + dosya quarantine + persistence remove' veya 'Suspicious — analist bak'. Otomatik kararla SOC ticket'ı %50-70 azalır. Configurable: Full Auto / Semi Auto (analist onayı) / No Auto (sadece öneri).
3. Advanced Hunting (KQL)
Tüm endpoint telemetri (process, file, network, registry, identity) KQL ile sorgulanır. 30 gün retention dahil. Örnek sorgular: 'Son 30 günde X.exe çalıştıran cihazlar', 'PowerShell base64 encoded komut', 'Bilinen C2 IP ile bağlantı kuran cihazlar'. Custom Detection Rules ile sorguyu otomatik alert haline getirme. Plan 1'de telemetri toplanır ama sorgulanamaz — sadece bulut tarafında otomatik karar.
4. Threat & Vulnerability Management (TVM)
Cihazlardaki yazılım envanteri (Windows + 3rd-party) sürekli takip edilir, açık zafiyetler (CVE) öncelikli sıralanır, güncelleme önerilir. Örnek action: 'Adobe Reader 19.x var, CVE-2024-XXXX kritik, 47 cihazı etkiliyor — patch link'. Patch yönetimi yok ama görünürlük + öncelik + risk skoru var. Microsoft Defender Vulnerability Management ($2/user) standalone alternatifi de var.
5. Microsoft Threat Experts + Live Response
Threat Experts (opt-in, ücretsiz): Microsoft uzman ekibi proaktif notification ('APT-29 benzeri davranış görüldü, şu cihazları kontrol edin'). Experts on Demand ile saatlik mühendis konuşma talebi (ek ücretli, $200-500/saat).
Live Response: Defender portal'dan uzaktan PowerShell session açma + dosya yükleme/indirme + script çalıştırma. Incident response sırasında BT mühendisi ofise gitmeden cihaza müdahale eder. Plan 1'de yok.
4 Senaryoda Hangisi Doğru?
🏥 Senaryo 1: 80 kullanıcılı sağlık kuruluşu — KVKK + EDR şart
Klinik, 80 personel (doktor + hemşire + idari). Hasta kişisel sağlık verisi (özel nitelikli kişisel veri — KVKK Madde 6). KVKK denetim riski yüksek, geçmişte 1 ransomware vakası yaşadı.
80 × $5.20 × 12 = $4.992/yıl Plan 2 (~₺200.000)
Plan 1 alternatifi: 80 × $3 × 12 = $2.880/yıl ama EDR yok, ransomware tekrarında müdahale yavaş
✓ ÖNERİLEN: Plan 2 — EDR + Automated Investigation + TVM. KVKK Madde 12 'uygun teknik tedbir' denetiminde EDR olmadan 'Microsoft Defender Antivirus var' yeterli sayılmaz. Geçmiş ransomware vakası tekrar etmesin diye Live Response + Threat Experts kritik. ROI: 1 ransomware vakası fidye + iş kaybı $50K-200K — Plan 2 farkı ₺85K/yıl bu maliyetin altında.
🏭 Senaryo 2: 250 kullanıcılı üretim KOBİ — Defender for Business yeter
Üretim + ofis 250 kişi. Müşteri KK datası işlenmiyor (B2B). Mevcut M365 Business Premium kullanıyor. Defender for Business dahil.
M365 Business Premium 250 × $22 × 12 = $66.000/yıl — Defender for Business dahil
DfE Plan 2 standalone alternatifi: 250 × $5.20 × 12 = $15.600 ek (M365 BP yerine M365 BS + DfE P2 hesabı yapılırsa $12.50 + $5.20 = $17.70 → $30 BP daha avantajlı)
⚠ ÖNERİLEN: M365 Business Premium ile Defender for Business kullan — Plan 1 + Plan 2 özelliklerinin %85'ini tek pakette sağlar. SOC ekibi yoksa Advanced Hunting kullanılmaz, Microsoft Threat Experts ihtiyacı az. Sadece SOC ekibi büyürse Plan 2 standalone değerlendir.
💼 Senaryo 3: 500 kullanıcılı finans firması — Plan 2 standart
Yatırım danışmanlık, 500 personel. SPK regülasyon, BDDK denetim. SOC ekibi 4 kişi (24/7 vardiya). Threat hunting + IR aktif.
500 × $5.20 × 12 = $31.200/yıl Plan 2 (~₺1.255.000)
M365 E3 + DfE Plan 2 = $36 + $5.20 = $41.20/user → 500 × $41.20 × 12 = $247.200/yıl
M365 E5 alternatifi (Plan 2 + diğer 5 bileşen dahil): 500 × $60 × 12 = $360.000/yıl
✓ ÖNERİLEN: Plan 2 standalone (mevcut M365 E3 üstüne) — SPK/BDDK denetim için EDR + Advanced Hunting + TVM şart. 4-kişilik SOC ekibi KQL ile threat hunt yapacak. Microsoft Threat Experts opt-in için kritik (managed hunting partneri). E5'e geçiş 3+ ek bileşen alındığında mantıklı (Defender for Office P2, Power BI Pro, AAD P2).
🛒 Senaryo 4: 30 kullanıcılı e-ticaret — Plan 1 yeter
30 ofis personel. KK datası 3rd-party (Iyzico/PayTR). Mevcut M365 Business Standard kullanıyor (Defender for Business yok). Bağımsız BT yok, MSP ile çalışıyor.
30 × $3 × 12 = $1.080/yıl Plan 1 (~₺43.000)
Plan 2 alternatifi: 30 × $5.20 × 12 = $1.872/yıl — fark ₺32.000/yıl
⚠ ÖNERİLEN: Plan 1 yeterli — KVKK riski düşük, SOC ekibi yok, Advanced Hunting kullanılmaz. NGAV + ASR + Web filtering + USB control 30 user için yeterli koruma. Veya M365 Business Premium'a geç ($22 + DfB dahil) — DfE Plan 1 + Intune + Conditional Access tek pakette $19/user/ay daha pahalı ama daha kapsamlı.
Karar Matrisi: 5 Soruda Cevap
📋 Defender for Endpoint Plan 1 yeterli
- SOC ekibi yok / MSP ile çalışıyorsun — Advanced Hunting kullanılmaz
- KVKK risk düşük (B2B, basit servis, KK datası 3rd-party)
- Otomatik müdahale beklemiyorsun — manuel response kabul
- Bütçe sıkı — $3/user EDR'siz minimum koruma
- Defender for Business (M365 Business Premium ile dahil) zaten kapsıyor
- 30-100 user KOBİ + saldırı geçmişi yok
🛡️ Defender for Endpoint Plan 2'ye geç
- KVKK Madde 12 / ISO 27001 / PCI DSS denetim — EDR şart
- Geçmişte ransomware/incident yaşadın — Automated Investigation + Live Response
- SOC ekibi var — Advanced Hunting (KQL) + custom detection rules
- Hassas sektör (sağlık, finans, hukuk, kamu) — TVM ile zafiyet takibi
- 300+ kullanıcı — Defender for Business limit aşıldı
- Microsoft Threat Experts ile managed hunting istiyorsun
Plan 1'den Plan 2'ye Geçiş: Neler Değişir?
Lisans değişimi Microsoft 365 admin center > Lisanslar tek tıkla. Defender agent zaten yüklü, Plan 2 lisansı atandığında ek özellikler bulut tarafında etkinleşir. Cihaza ek yazılım kurulmaz. BT tarafında 1-2 haftalık aktivasyon süreci:
- Hafta 1 — EDR + AIR ayarları: Defender portal > Settings > Endpoints > Advanced features tüm seçenekler enable. Automated Investigation level: Full / Semi / No otomasyon kararı (önerilen Semi başlangıç). EDR sensitivity tuning (false positive azaltma).
- Hafta 2 — Advanced Hunting + TVM: KQL query template'leri (built-in 50+ örnek). Custom Detection Rules — sektörel öncelikli 5-10 kural (örn. PowerShell encoded command, RDP brute force). TVM ilk cihaz envanter taraması (1-3 gün), kritik CVE'ler için patch planı.
Microsoft Threat Experts opt-in için Defender portal > Settings > General > Microsoft Threat Experts > "Apply for Targeted Attack Notification" — onay 5-15 iş günü. Live Response için cihaz Onboarding Group'unda olmalı.