Çoğu kurumsal güvenlik aracı endpoint hakkında ne kadar bilgi toplarsa toplasın, sonunda sadece raporlar. Bir incident sırasında IT ekibi telefonu açıp kullanıcıyı arar, kullanıcıdan cihazı kapatmasını ister. Saatler geçer, saldırgan hâlâ ağdadır.
Aynı problem dağıtık operasyonda da var. Yeni bir politika tüm cihaz envanterine uygulanmak istendiğinde, klasik araçlar dosya iter, kullanıcının yeniden başlatmasını umar, hangi cihazda işin tamamlandığını günlerce öğrenemez.
Bu boşluk pasif izleme ile aktif yönetim arasındaki uçurumdur. ETM uzaktan eylem yetenekleri bu uçurumu kapatır: ajan üzerinden cihaza güvenli kanal üzerinden komut iletilir, sonuç canlı döner, audit izi tutulur.
TR7 ETM, cihazın izlenmesinden yönetilmesine kadar tek bir ajan üzerinden çalışır; eylem her zaman politika ve audit altındadır.
Operatör veya SOC analisti, envanterin mevcut durumunu sorgulamak için yapılandırılmış sorgu çalıştırır: 'şu yazılım hangi cihazlarda yüklü?', 'şu IP'ye bağlanan kim var?', 'son 5 dakikada hangi cihazda Cihaz Tehdit Koruması (EDR) yeniden başlatıldı?'. Yanıt saniyeler içinde toplanır.
Yetkili operatör belirli cihazlara veya tüm cihaz envanterine komut iletebilir: servis yeniden başlat, yazılım yamasını yükle, yapılandırma değiştir, dosya al, dosya yerleştir. Tüm eylemler audit izine kaydedilir.
Bir incident veya yüksek risk tespitinde cihaz ağdan ayrılabilir — internet erişimi engellenir, sadece ETM yönetim kanalı açık tutulur. Saldırganın yanal hareket alanı kapatılır; cihaz uzaktan incelenmeye devam eder.
Her komut için yetkili kullanıcı kimliği, eylem nedeni ve hedef seçimi audit edilir. Yüksek riskli eylemler için onay zinciri tanımlanabilir; bir operatörün talebi başka bir operatör tarafından onaylanmadan uygulanmayabilir.
Uzaktan eylem ETM'in incident response, operasyon ve compliance ekipleri için aktif yönetim katmanıdır.
Yapılandırılmış sorgu dili ile binlerce cihaz tek seferde sorgulanır. 'Hangi cihazlarda disk şifreleme kapalı?', 'Şu sürümdeki sürücüyü kullanan cihazlar hangileri?', 'Son 24 saatte yeni bir admin hesabı oluşturulan cihazlar var mı?' türünden sorgular saniyeler içinde yanıt döner.
Operatör onayıyla cihaz üzerinde önceden tanımlı script veya kontrollü sistem komutu çalıştırılabilir. Servis yeniden başlatma, log toplama, geçici düzeltme uygulama, registry/plist değişikliği yapma gibi rutin operasyonlar uzaktan yapılır.
Yamalama paketleri, yapılandırma dosyaları veya forensik için gerekli log/dump dosyaları cihaza yüklenip alınabilir. Tüm transfer ETM'in güvenli kanalı üzerinden yapılır; doğrudan dosya paylaşımı kurmaya gerek kalmaz.
SOC analisti veya politika otomasyonu, belirli bir süreci tek bir cihazda veya cihaz envanteri genelinde sonlandırabilir. Şüpheli yazılımın yayılması, beklenmeyen bir hizmetin çalışması veya yüksek kaynak tüketen bir sürecin önlenmesi anında mümkündür.
Bir cihaz incident, Cihaz Tehdit Koruması (EDR) alarm veya politika ihlali nedeniyle ağdan izole edilebilir. İzolasyon sırasında internet erişimi, dahili ağ kaynakları ve servis bağlantıları engellenir; yalnızca ETM yönetim kanalı açık kalır. SOC cihazı uzaktan incelemeye devam eder.
Yeni güvenlik duvarı kuralı, yeni sertifika güvenilirliği veya değişen denetim politikası tek bir merkezi tanımdan tüm cihaz envanterine iletilir. Her cihazda uygulanma durumu canlı izlenir; başarısız uygulamalar otomatik yeniden denenebilir veya operatöre raporlanır.
Eylem uygulanacak cihazlar statik gruplara değil, dinamik kriterlere göre seçilebilir. 'tüm Linux cihazları', 'finansman ekibi cihazları', 'son 1 saatte uyumsuzluk tespit edilen cihazlar' gibi canlı sorgu sonuçları doğrudan hedef listesine dönüşür.
Yüksek riskli eylemler — cihaz envanteri genelinde dosya silme, çekirdek servis yeniden başlatma, ağdan izolasyon — için ikili veya çoklu onay zinciri tanımlanabilir. Bir operatörün talebi, başka bir yetkili operatör tarafından onaylanmadan uygulanmaz.
Komut gönderildikten sonra her cihazın yanıtı canlı görüntülenir: başarılı, başarısız, çevrimdışı, beklemede. Operatör hangi cihazda işin tamamlandığını saniyeler içinde görür; tamamlanmamış işler için yeniden deneme veya manuel müdahale yönlendirilir.
Kim, ne zaman, hangi cihaza, hangi komutu, hangi gerekçeyle gönderdi — her eylem audit izine yazılır. Komut çıktısı ve cihazın yanıtı korelasyonlu saklanır. Audit kaydı SIEM'e aktarılabilir, denetim süreçlerinde kanıt olarak kullanılabilir.
Uzaktan eylem, güvenlik ve operasyon ekiplerinin günlük iş akışlarına entegre olur — komut palet'i, otomasyon, audit ve raporlama dahil.
Hangi operatör hangi cihaz grubuna, hangi eylemleri uygulayabilir tanımlanabilir. SOC analisti incident response eylemlerine erişebilir; IT operatörü yamalama ve yapılandırma eylemlerine erişebilir; sınırlı operatörler yalnızca sorgu çalıştırabilir.
Sık tekrarlayan eylemler playbook olarak saklanabilir: 'Cihaz Tehdit Koruması (EDR) ajanı durduğunda → cihazı izole et + SOC'a bildir + son 24 saatlik log dump al'. Playbook ETM olaylarına tetikleyici olarak bağlanabilir.
Komut sırasında çevrimdışı olan cihaz için eylem kuyruğa alınır. Cihaz tekrar bağlandığında bekleyen komutlar otomatik uygulanır; sonuç operatöre raporlanır. Kuyrukta bekleme süresi politika ile sınırlandırılabilir.
Eylemler etki yüzeyine göre risk seviyesine ayrılır. Düşük riskli sorgular tek operatör tarafından çalıştırılabilir; yüksek riskli toplu eylemler için ikinci onay gerekir. Risk seviyeleri kurum politikasıyla yapılandırılabilir.
Her uzaktan eylem audit kaydı SIEM'e iletilebilir. Compliance ekipleri ETM eylemlerini düzenleyici raporlama için kullanabilir; özellikle finans ve sağlık sektörlerinde insider müdahale denetimi için kritik.
Komut gönderme, hedef seçme ve sonuç toplama mimarisi on binlerce cihaza tek seferde komut uygulanmasını destekler. Cihaz başına yanıt zamanı paralel hattan bağımsızdır.
SOC analisti Cihaz Tehdit Koruması (EDR) alarmı aldığında, etkilenen cihazı tek tıkla ağdan ayırır. Saldırganın yanal hareket alanı kapanır; cihaz uzaktan forensik için açık kalır. Manuel telefon süreçleri ve saatlerce gecikme ortadan kalkar.
Yeni bir CVE açıklandığında, IT ekibi yamalama playbook'unu çalıştırır; etkilenen cihazlar canlı sorgu ile bulunur, yama dosyası iletilir, kurulum durumu raporlanır. Saatler süren manuel iş, dakikalara iner.
Soruşturma için cihazdan log dosyası, memory dump veya yapılandırma snapshot'ı uzaktan alınır. Cihaz kullanıcının elinden çıkmadan, kullanıcının iş akışı bozulmadan, soruşturma materyali güvenli kanal üzerinden gelir.
Denetim sırasında 'tüm cihazlarda disk şifreleme aktif mi?' veya 'tüm cihazlarda Cihaz Tehdit Koruması (EDR) ajanı çalışıyor mu?' sorularına saniyeler içinde yanıt verilir. Manuel envanter raporları yerine canlı kanıt zinciri sunulur.
ETM Uzaktan Eylem'i kendi ortamınızda canlı görelim — playbook tasarımı dahil bir kurulum oturumu planlayalım.