Çoğu kurumsal erişim sistemi cihaz hakkında bilgiyi yalnızca bağlantı kurulduğu anda toplar: IP, OS adı, belki TLS parmak izi, belki MDM token'ı. Sonrasında o veriye dokunulmaz. Saatler süren bir oturum boyunca cihazın durumunun değişmediği — yamaların uygulanmadığı, Cihaz Tehdit Koruması (EDR) ajanının kapanmadığı, yeni bir yazılımın kurulmadığı, USB sürücünün takılmadığı — varsayılır.
Bu varsayım modern saldırı modeliyle uyumlu değil. Bir cihaz oturum açıldıktan sonra kompromize olabilir, Cihaz Tehdit Koruması (EDR) durdurulabilir, zararlı yazılım yüklenebilir, yapılandırma değiştirilebilir. Klasik sistem bunu görmez çünkü hiç bakmaz.
Sürekli telemetri bu modeli kırar. Cihazdan periyodik olarak — saniye veya dakikalar mertebesinde — telemetri toplanır; durum değişikliği kayda alınır, eşik aşıldığında politika tetiklenir.
TR7 ETM ajanı cihazın iç durumunu sürekli ölçer ve TR7 stack'inin geri kalanıyla canlı olarak paylaşır.
Windows, macOS ve Linux için aynı kapasitede bir ETM ajanı sunulur. Operasyon ekibi farklı işletim sistemleri için farklı araç zincirleri yönetmek zorunda kalmaz; tek platformdan tüm cihaz envanteri izlenir.
Ajan yapılandırılmış aralıklarda — sektör ve risk seviyesine göre saniyeler veya dakikalar mertebesinde — telemetri toplar. Veri zamanla ilişkilendirilir; durum değişikliği bir 'olay' olarak yorumlanır, anlık fotoğraf olarak değil.
Yazılım envanteri, çalışan süreçler, açık portlar, yapılandırma dosyaları, sertifika depoları, yerel kullanıcı hesapları, donanım envanteri, disk şifreleme, ağ arayüzleri, güvenlik ajanı durumu, kayıt defteri/registery anahtarları, sistem günlük olayları — onlarca veri kategorisi tek ajan altında.
Belirlenen eşikler aşıldığında, kritik bir yapılandırma değiştiğinde veya beklenmedik bir süreç başladığında ETM olay üretir. AAM bu olayı erişim kararına bağlayabilir, SIEM'e gönderebilir veya operatör uyarısı çıkarabilir.
Sürekli telemetri yalnızca veri toplama değil; veriyi erişim ve operasyon kararlarına bağlayan canlı bir görünürlük katmanıdır.
Cihaz üzerinde kurulu yazılım listesi, sürüm bilgisi, sağlayıcı ve kurulum zamanı sürekli izlenir. Yetkisiz yazılım kurulumu, eski sürüm kullanımı ve onaylı yazılım envanteri dışındaki uygulamalar ETM tarafından görünür kılınır. Lisans uyumluluğu ve güvenlik politika uyumluluğu aynı veriden beslenir.
Cihazın güvenlik politikası ile uyumlu hale gelmesinden sonra değişen yapılandırma adımları — yerel güvenlik duvarı kuralları, yetkilendirme dosyaları, denetim politikaları, registry/plist değişiklikleri — sürekli takip edilir. Baseline'dan sapma erişim kararına veya operatör uyarısına çevrilebilir.
Disk SMART verileri, bellek hata sayıları, CPU sıcaklığı ve ağ arayüz hataları sürekli ölçülür. Donanım sorunları erişim kararından önce operasyon ekibine sinyallenir; arıza nedeniyle kötü kullanıcı deneyimi yaşanmadan önce müdahale alanı açılır.
Cihaz üzerinde çalışan Cihaz Tehdit Koruması (EDR), antivirüs, host firewall ve DLP ajanlarının durumu sürekli denetlenir. Bu ajanların kapatılması, devre dışı bırakılması veya kilitlenmesi anlık olay olarak ETM'e ulaşır. AAM erişim kararı için bu sinyal birinci sınıf girdi haline gelir.
Sistem diski yanı sıra ikincil disklerin şifreleme durumu da görünür kılınır. Platform-yerel disk şifreleme çözümlerinden (Windows, macOS, Linux için) gelen durum ETM tarafından normalize edilir ve tek bir politika girdisine dönüşür. Şifrelemenin kapatılması anında yakalanır.
Cihaz sertifika depolarındaki değişiklikler — yeni güvenilen kök sertifikası eklenmesi, müdahale belirtisi gösteren imzalama olayları — sürekli kayda alınır. Bu telemetri özellikle TLS interception ve gizli proxy tespiti için kıymetli sinyaldir.
Yeni yerel kullanıcı oluşturulması, mevcut hesabın admin grubuna eklenmesi veya parola politikasının değişmesi gibi olaylar telemetriye dahildir. Cihazın yetkilendirme yüzeyindeki değişiklikler kurumsal kontrol katmanından kaçmaz.
Aktif ağ arayüzleri, IP yapılandırmaları, DNS sunucu ataması, varsayılan rota ve VPN tüneli durumu sürekli ölçülür. Beklenmeyen bir tunel, alışılmadık DNS atması veya iki ağdan eşzamanlı erişim ETM tarafından görünür kılınır.
Cihazda çalışan süreç ağacı, başlatma zamanı, üst süreç ilişkileri ve açık ağ portları kaydedilir. Anormal bir hizmetin başlatılması veya beklenmeyen bir portun dinlemeye başlaması olay olarak yansır.
Üç farklı işletim sisteminden gelen veri tek bir veri modelinde normalize edilir. Operatör Windows ve Linux için ayrı sorgu yazmak zorunda kalmaz; aynı politika tüm cihaz envanterine uygulanabilir.
Sürekli telemetri sadece teknik bir kapasite değil; veri saklama, tüketim ve karar entegrasyonu için bütün bir operasyonel modeldir.
Her veri kategorisi için ayrı bir toplama aralığı tanımlanabilir. Kritik kategoriler — güvenlik ajanı durumu, disk şifreleme — saniyeler mertebesinde; düşük yoğunluklu kategoriler — yazılım envanteri — saatlik veya günlük olabilir. Operasyon ekibi cihaz ve ağ yüküne göre dengeyi belirler.
Telemetri yalnızca depolanmakla kalmaz; durum değişiklikleri için eşik tanımlanabilir. Cihaz Tehdit Koruması (EDR) ajanı çalışmaktan vazgeçtiğinde, yeni bir kullanıcı admin grubuna eklendiğinde veya disk şifreleme kapatıldığında ETM olay üretir.
Telemetri AAM tarafına aktarıldığında bir cihazın güven seviyesi sürekli olarak güncellenmiş olur. Login sonrasında durumu bozulan cihaz için AAM ek MFA isteyebilir veya oturumu sonlandırabilir.
Telemetri ham haliyle veya olay düzeyinde SIEM'e aktarılabilir. Kurumsal SIEM platformlarına uzun süreli kayıt için akış sağlanır. Olay korelasyonu uygulama erişim katmanıyla birlikte yapılabilir.
Toplanacak veri kategorileri ve detay seviyesi politika ile yönetilir. Aşırı veri toplanmaması, kişisel bilgi içeren alanların maskelenmesi ve saklama süresinin sınırlandırılması yapılandırılabilir. KVKK ve sektörel düzenleyiciler için uygun konfigürasyon yapılabilir.
Telemetri toplama ve değerlendirme katmanı, on binlerce uç noktayı tek bir TR7 kümesinden yönetmek üzere ölçeklenir. Veri yoğunluğuna göre saklama, sorgulama ve geçmişe dönük inceleme planlanır.
Login anında güvenli olan cihazda saldırgan Cihaz Tehdit Koruması (EDR) ajanını durdurursa, ETM bu durumu saniyeler içinde yakalar. AAM otomatik olarak ek MFA tetikleyebilir, oturumu askıya alabilir veya tam blok uygulayabilir.
Finans veya sağlık verilerine erişen bir kullanıcıya, oturum sırasında yeni bir USB sürücü taktığında ETM bunu olay olarak yansıtır. Politikaya bağlı olarak veri kopyalama önleyici ek kontroller devreye girebilir veya operatör uyarısı çıkar.
Bir cihazın güvenilen root sertifikalarına yeni bir sertifika eklenmesi TLS interception belirtisi olabilir. ETM bu değişikliği anlık olay olarak kaydeder; güvenlik ekibi inceleme başlatabilir veya cihaz at-risk sınıfına alınır.
Onaylı yazılım envanteri dışında kalan, lisanssız veya eski sürüm uygulamalar sürekli raporlanır. Operasyon ekibi yamalama planlarını gerçek envantere göre yapar; denetim süreçleri için kanıt zinciri hazır olur.
ETM Sürekli Telemetri'yi kendi ortamınızda görelim — cihaz envanterinize göre uyarlanmış canlı bir kurulum gezisi planlayalım.