Microsoft Defender Vulnerability Management (MDVM), Microsoft Defender for Endpoint için gelişmiş açık (vulnerability) yönetimi add-on'udur. Microsoft Threat Intelligence beslemeleri kullanarak sürekli taramalı CVE tespiti, hardware/firmware analizi, sertifika yaşı izleme ve compliance baseline kontrolleri sağlar.
Defender for Endpoint P2'deki vulnerability mı, MDVM mı?
Microsoft Defender for Endpoint Plan 2 zaten temel Threat & Vulnerability Management içerir. MDVM add-on olarak gelişmiş özellikleri ekler:
| Özellik | Defender P2 Built-in | + MDVM Add-on |
| OS & uygulama CVE tespiti | ✓ | ✓ |
| Risk skoru ve önceliklendirme | ✓ | ✓ |
| Hardware & firmware vulnerability | — | ✓ |
| Browser eklentisi denetimi | — | ✓ |
| Dijital sertifika analizi | — | ✓ |
| Network share permission denetimi | — | ✓ |
| Authenticated scanning (kimlikli) | — | ✓ |
| Compliance baseline (CIS, STIG) | — | ✓ |
| Threat hunting query'leri | Sınırlı | Genişletilmiş |
Karar: KOBİ ve orta segment için Defender P2 built-in yeterli. Yasal regülasyon (BDDK, KVKK denetimi), kritik altyapı (enerji, sağlık), savunma sanayii MDVM zorunlu.
MDVM'nin açtığı 7 gelişmiş özellik
1. Hardware & Firmware Vulnerability
BIOS, UEFI, BMC firmware versiyonları taranır, bilinen açıklar (örn. Intel ME, AMD PSP) tespit edilir. Donanım yenileme veya firmware update önceliği belirlenir.
2. Browser Eklenti Denetimi
Chrome, Edge, Firefox tarayıcılarındaki kurulu eklentilerin envanteri çıkarılır. Bilinen kötü amaçlı veya açık içeren eklentiler işaretlenir, otomatik kaldırma politikası uygulanabilir.
3. Dijital Sertifika Analizi
Sistem ve uygulama sertifikaları tarafından kullanılan TLS/SSL sertifikalarının yaşı, geçerlilik süresi, kriptografi algoritması (zayıf SHA-1 vs SHA-256) takip edilir. Yakında sona erenler ve zayıf algoritma kullananlar uyarı verir.
4. Network Share Permission Analizi
SMB / NFS ağ paylaşımlarının izinleri taranır. Aşırı geniş izinler (Everyone Read), açık paylaşımlar tespit edilir. Lateral movement riski azaltılır.
5. Authenticated Scanning
Düşük yetkili kullanıcı hesabıyla yapılan ağ taraması yerine, kimlikli (admin yetki) tarama ile sistem içindeki açıklar daha derin tespit edilir. Yamalanmamış patch'ler, yanlış yapılandırılmış servisler bulunur.
6. Compliance Baseline (CIS, STIG, Microsoft)
Sistemler CIS Benchmark, DISA STIG, Microsoft Security Baseline gibi standartlara karşı puanlandırılır. Sapma noktaları listelenir. KVKK, ISO 27001, PCI-DSS denetimi için belge oluşturma kolaylığı.
7. Otomatik Patch Dağıtımı (Intune ile)
MDVM tarafından tespit edilen kritik açıklar Microsoft Intune'a sinyal gönderir. Intune otomatik patch deployment paketi oluşturur, cihazlara dağıtır. CVE → patch otomasyonu sağlanır.
Tipik kullanım senaryoları
Banka / Finans
BDDK ve PCI-DSS denetimleri için sürekli compliance baseline raporu. Sertifika yaşı izleme ile şube SSL sertifikalarının zamanında yenilenmesi. Network share denetimi ile finansal veri erişimi sıkılaştırılır.
Sağlık / Hastane
HIPAA + KVKK uyumluluk için CIS Benchmark puanlandırması. Hasta verisi içeren network share'lerin permission denetimi. Tıbbi cihaz firmware vulnerability takibi (eski cihazlar açık olabilir).
Üretim / Endüstriyel
OT (Operational Technology) cihazlarının firmware açıkları. PLC, SCADA cihazlarının BIOS/firmware güncellik durumu. Authenticated scanning ile OT ağ taraması.
Savunma sanayi / Devlet
DISA STIG compliance puanlama. Authenticated scanning derin denetim. Sertifika yaşı + algoritma denetimi (zayıf SHA-1 sertifikalar bulunur).
Lisans modeli ve önkoşul
MDVM add-on ürünüdür — tek başına satılmaz. Önkoşul:
- Microsoft Defender for Endpoint Plan 1 ($3/ay) VEYA
- Microsoft Defender for Endpoint Plan 2 ($5.20/ay) VEYA
- Microsoft 365 E5 (Defender P2 dahil)
Tipik kombinasyonlar:
- Defender P1 + MDVM: $3 + $3 = $6/ay (KOBİ - orta segment)
- Defender P2 + MDVM: $5.20 + $3 = $8.20/ay (orta - büyük segment)
- M365 E5 + MDVM: $59.85 + $3 = $62.85/ay (kapsamlı kurumsal)
Server için ayrı SKU
Sunucu (Windows Server, Linux Server) tarafı için Defender Vulnerability Management Add-on Server ayrı satılır. Endpoint (kullanıcı bilgisayarı) lisansı sunucuyu kapsamaz.
Türkiye'de KDV ve maliyet (örnek 100 kullanıcı)
- 100 × MDVM yıllık $36 = $3,600/yıl
- + Defender P2 zorunlu: 100 × $62.40 = $6,240/yıl
- Toplam $9,840/yıl + KDV %20 = $11,808/yıl
- Aylık eşdeğer (KDV dahil): $984/ay — 100 kullanıcılı kurumsal sınıf güvenlik + advanced vulnerability management
ROI — Bir CVE saldırısının maliyeti
2024 IBM Cost of Data Breach raporuna göre Türkiye'de ortalama veri ihlali maliyeti $5M+. MDVM ile sürekli vulnerability yönetimi, %30+ daha hızlı tespit + %50+ daha düşük etki. Tek bir saldırıyı engellemek bile yıllık $11K yatırımı 100x geri öder.
İlgili ürünler: