Tüm yazılarMicrosoft Security

Kaspersky'den Microsoft Defender for Endpoint'e Geçiş Rehberi (2026)

·~10 dk okuma
Microsoft Defender for Endpoint üç fazlı geçiş süreci akış diyagramı (Hazırlık, Kurulum, Katılım) — Microsoft resmi belgelerinden

Xen Bilişim ekibi · Microsoft CSP Direct Partner (2016+) · MS-102 / SC-200 / AZ-104 sertifikalı danışmanlar

Özet (TL;DR): Kaspersky, ABD Ticaret Bakanlığı kararıyla 29 Eylül 2024'ten itibaren ABD'li kullanıcılara imza ve kod tabanı güncellemesi veremiyor; bu belirsizlik ve lisans yenileme baskısı birçok Türk kurumunu uç nokta korumasını değiştirmeye itti. Zaten Microsoft 365 E5 veya Business Premium kullanan kurumlar için en doğal seçenek, lisansa dahil gelen Microsoft Defender for Endpoint. Geçiş, Microsoft'un resmi olarak tanımladığı üç fazda yapılır: Hazırlık → Kurulum → Katılım. Kritik nokta, Defender Antivirüs'ü önce pasif modda devreye alıp cihazları Defender for Endpoint'e kaydetmek, doğrulamadan sonra mevcut antivirüsü kaldırmaktır. Bu rehber, karşılıklı dışlama (exclusion) ayarları, Intune/GPO ile kayıt ve doğrulama adımları dahil eksiksiz geçiş yolunu anlatır.

Uç nokta korumanızın sözleşmesi mi bitiyor? Mevcut Microsoft 365 lisanslarınızda Defender for Endpoint zaten dahil olabilir — çift ödeme yapıyor olabilirsiniz. Lisans envanterinizi çıkaralım ve uçtan uca geçiş teklifi alın.

Neden şimdi geçiş gündemde?

ABD Ticaret Bakanlığı (BIS), Haziran 2024'te Kaspersky Lab'in ABD'deki satışını ve dağıtımını yasakladı. Takvim iki aşamalıydı: 20 Temmuz 2024 itibarıyla ABD'li kişilerle yeni sözleşme yapılması, 29 Eylül 2024 itibarıyla ise antivirüs imza ve kod tabanı güncellemelerinin sağlanması durduruldu. Bu karar ABD'ye özgüdür; Türkiye'de Kaspersky kullanımına yönelik bir yasak bulunmuyor. Ancak güncelleme almayan bir antivirüs, yeni tehditlere karşı zamanla etkisizleşir — bu teknik gerçek, ABD sınırlarından bağımsızdır. ABD veya AB merkezli grup şirketlerine bağlı Türk kuruluşları, tedarik zinciri ve uyum gereksinimleri nedeniyle standart bir uç nokta koruması istediğinde bu konu doğrudan masaya geliyor.

İkinci itici güç maliyet. Türkiye'de KOBİ ve orta ölçekli kurumların büyük kısmı Kaspersky veya ESET gibi ayrı bir antivirüs lisansı için yıllık ödeme yapıyor. Oysa aynı kurumların çoğu, e-posta ve Office için zaten Microsoft 365 aboneliği taşıyor. Microsoft 365 E5 Defender for Endpoint Plan 2'yi, Microsoft 365 E3 Plan 1'i, Business Premium ise Defender for Business'ı lisansa dahil sunuyor. Yani birçok kurum, kullanmadığı bir korumayı satın almış durumda ve paralelde ayrı bir antivirüse para ödüyor. Bu tabloyu görmek için önce lisans envanterini çıkarmak, geçişin en kârlı adımı oluyor. Konsolidasyonun mantığını Microsoft 365 fiyat artışı ve SKU analizi yazımızda ayrıntılı ele aldık.

Hangi lisans size Defender for Endpoint'i getirir?

Doğru geçiş kararı, hangi planı halihazırda taşıdığınızı bilmekle başlar. Microsoft'un servis tanımına göre dağılım şöyle (kaynak: Microsoft Defender service description, 2026-07 itibarıyla):

  • Defender for Endpoint Plan 1 (P1): Yeni nesil koruma, saldırı yüzeyi azaltma (ASR), cihaz denetimi, uç nokta güvenlik duvarı, ağ koruması. Microsoft 365 E3/A3/G3 içinde gelir; ayrıca bağımsız lisans olarak alınır.
  • Defender for Endpoint Plan 2 (P2): P1'in tüm yetenekleri + uç nokta algılama ve yanıt (EDR), otomatik araştırma ve düzeltme, tehdit ve güvenlik açığı yönetimi, tehdit istihbaratı ve 6 ay veri saklama. Microsoft 365 E5/A5/G5, Windows 10/11 Enterprise E5 ve Microsoft Defender Suite içinde gelir.
  • Defender for Business: 300 kullanıcıya kadar KOBİ'ler için tasarlanmış, EDR dahil sadeleştirilmiş bir pakettir ve Microsoft 365 Business Premium'a dahildir. Aynı kiracıda karışık lisans desteklenmez; Business Premium + eklenen P2 senaryosunda tenant varsayılan olarak Defender for Business deneyimini kullanır.

Pratik kural: Ciddi bir SOC/EDR ihtiyacınız varsa (tehdit avı, olay müdahalesi, uzun veri saklama) hedefiniz Plan 2 olmalı. Kurumsal uç nokta güvenliği stratejinizi Microsoft Security çözümleri tarafında bütünüyle planlıyoruz.

Ön gereksinimler ve planlama

Geçişe başlamadan önce şu kalemleri netleştirin:

  • Lisans ve rol: Kullanıcılara P1/P2 lisansı atanmış ve provizyon tamamlanmış olmalı. Portala erişim için Güvenlik Yöneticisi ve Güvenlik Operatörü rolleri planlanmalı.
  • İşletim sistemi envanteri: Windows 10/11, Windows Server 2012 R2+, macOS, Linux, Android ve iOS desteklenir. Cihazları güncel yama seviyesine getirin.
  • Ağ ve proxy: Cihazların Defender for Endpoint bulut hizmetine ulaşabilmesi gerekir. Kimlik doğrulamalı proxy desteklenmez; PAC, WPAD veya statik proxy kullanın ve SSL denetimi (intercepting proxy) için ilgili URL'lere istisna tanımlayın.
  • Yönetim kanalı: Cihaz kaydını Microsoft Intune, Configuration Manager veya Grup İlkesi (GPO) ile mi yapacaksınız? Karar, kayıt paketini nasıl dağıtacağınızı belirler.
  • Temel performans verisi: Geçiş öncesi cihazların CPU/bellek profilini alın; iki koruma geçici olarak yan yana çalışırken karşılaştırma yapabilesiniz.

Türkiye tarafında dikkat edilmesi gereken bir gerçek: Microsoft'un Türkiye'de bir Azure bölgesi yok. Defender for Endpoint bir bulut hizmetidir ve veri deposu olarak coğrafi bölge seçilir (ör. Avrupa). Bu, KVKK yurt dışına aktarım değerlendirmesi açısından önemlidir; buna aşağıda değiniyoruz.

Faz 1 — Hazırlık (Prepare)

Microsoft'un resmi geçiş metodolojisi üç fazdan oluşur (kaynak: Migrate to Microsoft Defender for Endpoint). İlk faz zemin hazırlığıdır:

  1. Cihazları güncelleyin. Windows ve antimalware platform sürümlerini güncel tutun; eski sürümler pasif mod ve kayıt davranışını bozabilir.
  2. Defender for Endpoint'i edinin ve provizyonu doğrulayın. Lisansları atayın, kiracı örneğini oluşturun. Microsoft Defender portalında Varlıklar > Cihazlar ekranı "cihaz yok" gösteriyorsa provizyon tamamdır.
  3. Rolleri ve izinleri planlayın. Güvenlik ekibine Microsoft Defender portalına erişim verin.
  4. Proxy ve internet ayarlarını yapılandırın. Cihazların hizmete erişimini test edin.
  5. Temel performans verisini toplayın.

Bu fazda henüz hiçbir cihaza dokunmuyorsunuz; Kaspersky/ESET aktif modda çalışmaya devam ediyor. Amaç, kayıt başlamadan önce ortamı hazır hale getirmek.

Faz 2 — Kurulum (Setup): Pasif mod ve karşılıklı dışlamalar

Bu faz, geçişin en kritik ve en çok hata yapılan bölümüdür. Sıra şöyle:

  1. Microsoft Defender Antivirüs'ü etkinleştirin ve pasif moda alın. Grup İlkesi'nde Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Microsoft Defender Antivirus altında "Microsoft Defender Antivirus'ü kapat" ilkesinin devre dışı olduğundan emin olun. Windows Server için pasif modu manuel ayarlarken HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection altında ForceDefenderPassiveMode DWORD değerini 1 yapın.
  2. Kurcalama korumasını (tamper protection) açın. Microsoft Defender portalı > Ayarlar > Uç Noktalar > Genel > Gelişmiş özellikler altında tüm kuruluş için önerilir.
  3. Defender for Endpoint yeteneklerini yapılandırın. Bulut tabanlı korumayı açın, örnek gönderimini "tüm örnekleri otomatik gönder" olarak ayarlayın, istenmeyen uygulama (PUA) algılamayı etkinleştirin. P2'de EDR ilkelerini Intune'da, otomatik araştırma ve düzeltmeyi Defender portalında yapılandırın.
  4. Karşılıklı dışlamaları tanımlayın. Defender for Endpoint süreçlerini Kaspersky/ESET'in istisna listesine; mevcut çözümü de Microsoft Defender Antivirüs'ün istisna listesine ekleyin. Bu adım atlanırsa iki ürün birbirini tarar, ciddi performans kaybı ve yanlış pozitifler yaşanır.
  5. Cihaz gruplarını, koleksiyonları ve OU'ları hazırlayın. Pilot grupla başlamak için gerekli.

Pasif mod neden önemli? Çünkü mevcut antivirüsünüz hâlâ aktif koruma sağlarken Defender Antivirüs arka planda çalışıp Defender for Endpoint'e sinyal beslemeye başlar. Böylece koruma boşluğu oluşmadan geçiş yapılır.

Faz 3 — Katılım (Onboard) ve eski çözümü kaldırma

Ortam hazır olduğunda cihazları gerçek anlamda Defender for Endpoint'e bağlarsınız:

  1. Cihazları kaydedin (onboard). Üretim ortamı için Intune, Configuration Manager veya Grup İlkesi önerilir. Yerel betik yalnızca 10 cihaza kadar kavram kanıtı içindir, üretimde kullanılmamalıdır. macOS/Linux için Intune, JAMF, Puppet, Ansible veya Chef; Android/iOS için Intune kullanılır.
  2. Algılama testi çalıştırın. Kaydın başarılı olduğunu doğrulamak için Microsoft'un yayımladığı zararsız algılama testini çalıştırın.
  3. Pasif modu PowerShell ile doğrulayın. Yönetici olarak açtığınız PowerShell'de Get-MpComputerStatus | select AMRunningMode komutunu çalıştırın; sonuç "Passive mode" olmalı.
  4. Microsoft Defender Antivirüs güncellemelerini alın. Pasif modda bile güvenlik istihbaratı ve ürün güncellemeleri güncel tutulmalıdır.
  5. Mevcut antivirüsü kaldırın. Cihazlar kaydedildikten ve doğrulandıktan sonra Kaspersky/ESET'i kaldırın. Kaldırma tamamlanınca Microsoft Defender Antivirüs çoğu durumda otomatik olarak aktif moda geçer.
  6. Çalıştığını doğrulayın. Defender portalında Uç Noktalar > Cihaz envanteri üzerinden koruma durumunu izleyin. Cihaz Sağlığı Raporu (Device Health Report) ile antivirüs modunu ve motor sürümünü toplu takip edebilirsiniz.

Kaydettikten sonra sensör "inactive" görünürse bu ayrı bir sorun sınıfıdır; adım adım kontrol listesini Defender for Endpoint sensor inactive çözümü yazımızda ele aldık.

Yaygın hatalar ve çözümleri

Defender Antivirüs pasif modda takılı kaldı

Mevcut antivirüsü kaldırdıktan sonra Microsoft Defender Antivirüs aktif moda geçmiyorsa, önce eski çözümün gerçekten tamamen kaldırıldığını (artık servis/sürücü kalıntısı olmadığını) doğrulayın. Sunucularda ForceDefenderPassiveMode anahtarı hâlâ 1 ise bu değeri temizleyin. Microsoft'un pasif mod sorun giderme kılavuzunu takip edin.

İki ürün birbirini tarıyor, performans düştü

Neredeyse her zaman eksik karşılıklı dışlamadan kaynaklanır. Faz 2'deki istisna listelerinin iki yönlü de tanımlandığını kontrol edin.

Kayıt başarısız / cihaz portalda görünmüyor

Genelde ağ/proxy engeli veya kimlik doğrulamalı proxy kullanımıdır. Kimlik doğrulamalı proxy desteklenmez; PAC/WPAD/statik proxy'ye geçin ve gerekli hizmet URL'lerine izin verin.

Business Premium'da EDR deneyimi beklediğim gibi değil

Business Premium, Defender for Business deneyimini kullanır. Karışık lisans desteklenmediği için P2 deneyimine geçmek isterseniz tüm kullanıcıları P2 (veya Microsoft Defender Suite) ile lisanslayıp Microsoft Desteğinden geçiş talep etmeniz gerekir.

KVKK ve Türkiye'ye özgü değerlendirmeler

6698 sayılı KVKK'nın 12. maddesi, veri sorumlusuna "kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri alma" yükümlülüğü getirir. Güncel imza almayan bir antivirüs, bu "gerekli teknik tedbir" ölçütünü zamanla karşılayamaz hale gelir; dolayısıyla güncelleme alamayan bir uç nokta korumasını sürdürmek yalnızca teknik değil, uyum açısından da risktir. EDR (Plan 2), olay tespit ve müdahale kabiliyetiyle bu tedbir beklentisini güçlendirir.

İkinci konu veri konumu. Defender for Endpoint bulut telemetrisini seçtiğiniz coğrafi bölgede (Türkiye'de Azure bölgesi bulunmadığından tipik olarak Avrupa) saklar. KVKK kapsamında yurt dışına aktarım değerlendirmesini ve varsa standart sözleşme/uygun güvence gereksinimini kurumun hukuk ve uyum birimiyle birlikte netleştirin. Yerel gerçeklerden bir diğeri lisans maliyetinin dövizle değişmesidir: Kaspersky/ESET yenilemesinde her yıl kur farkına maruz kalmak yerine, zaten sahip olduğunuz Microsoft 365 lisansındaki Defender'a konsolide olmak öngörülebilirlik sağlar.

Geçişin teknik tarafını konuşmak ister misiniz? Pilot grup tasarımından karşılıklı dışlama şablonlarına kadar 15 dakikalık ücretsiz teknik görüşme ayarlayalım — WhatsApp'tan yazın veya uzmanla görüşün.

Saha vakası: 500 uç noktalı üretim şirketi

Marmara bölgesinde faaliyet gösteren, yaklaşık 500 uç noktalı bir üretim firması, Kaspersky lisans yenilemesi yaklaşırken ABD'li ana ortağının tedarikçi güvenlik anketinde "standart uç nokta koruması" beklentisiyle karşılaştı. Firma zaten Microsoft 365 E5 taşıyordu; yani Defender for Endpoint Plan 2 için ayrı bir lisans satın almasına gerek yoktu.

Süre: yaklaşık 4 hafta. Karar noktaları: (1) 40 cihazlık pilot grupla başlayıp üretim hattındaki OT-yakını istasyonları en sona bırakmak; (2) kayıt kanalı olarak mevcut Intune ortamını kullanmak, eski GPO tabanlı Kaspersky dağıtımını paralelde tutmak; (3) karşılıklı dışlamaları önce pilotta doğrulayıp şablonlaştırmak; (4) mevcut antivirüsü yalnızca pasif mod PowerShell doğrulaması geçen cihazlarda kaldırmak. Sonuç: koruma boşluğu oluşmadan geçiş tamamlandı, ayrı antivirüs lisansı kaleminin yenileme maliyeti ortadan kalktı. Xen ekibinin rolü: pilot tasarımı, dışlama şablonları ve pasif-mod doğrulama betiğinin hazırlanması. Uyarı: OT/üretim ağındaki eski istasyonlarda uyumluluk her zaman önceden test edilmeli; her ortam bu kadar temiz M365 E5 tablosuyla gelmez, lisans envanteri sürprizli çıkabilir.

Sıkça Sorulan Sorular (SSS)

Kaspersky Türkiye'de yasak mı?

Hayır. ABD Ticaret Bakanlığı'nın kararı ABD'ye özgüdür; Türkiye'de Kaspersky kullanımına yönelik bir yasak yoktur. Ancak güncelleme kısıtları ve tedarik zinciri/uyum beklentileri, birçok Türk kurumunu standart bir uç nokta korumasına geçmeye yöneltiyor.

Defender for Endpoint için ekstra ödeme yapmam gerekir mi?

Çoğu durumda hayır. Microsoft 365 E5 Plan 2'yi, E3 Plan 1'i, Business Premium ise Defender for Business'ı zaten içerir. Önce lisans envanterinizi çıkarmak, çift ödeme yapıp yapmadığınızı gösterir. Bağımsız lisans veya CSP üzerinden de temin edilebilir.

Geçiş kaç günde tamamlanır?

Ortam büyüklüğüne, yönetim kanalına (Intune/GPO) ve cihaz çeşitliliğine bağlıdır. Pilot dahil, orta ölçekli bir kurumda tipik olarak birkaç hafta içinde planlanabilir; kesin süre için ortam analizi gerekir.

Geçiş sırasında koruma boşluğu oluşur mu?

Doğru yapılırsa hayır. Yöntem, mevcut antivirüs aktifken Defender Antivirüs'ü pasif modda devreye alıp cihazları kaydetmek, ancak doğrulamadan sonra eski çözümü kaldırmaktır. Bu sayede her an bir koruma aktif kalır.

Plan 1 mi Plan 2 mi almalıyım?

Yalnızca yeni nesil koruma ve saldırı yüzeyi azaltma yetiyorsa Plan 1 uygundur. EDR, otomatik araştırma-düzeltme, tehdit avı ve 6 ay veri saklama ihtiyacınız varsa Plan 2 gerekir. SOC/olay müdahalesi hedefleyen kurumlar için önerimiz Plan 2'dir.

Sunucular ve macOS/Linux cihazlar da kapsanır mı?

Evet. Windows istemci ve sunucuların yanı sıra macOS, Linux, Android ve iOS desteklenir; her biri için farklı kayıt yöntemleri (Intune, JAMF, Puppet/Ansible/Chef, Defender for Cloud entegrasyonu) mevcuttur. Sunucular için ayrı lisanslama gerekir.

Eski antivirüsü ne zaman kaldırmalıyım?

Yalnızca cihaz Defender for Endpoint'e kaydedildikten, algılama testi geçtikten ve pasif mod doğrulandıktan sonra. Erken kaldırma koruma boşluğu ve mod geçiş sorunları yaratır.

Sonuç: doğru sırayla yapılırsa risksiz bir geçiş

Kaspersky'den (veya ESET gibi başka bir çözümden) Microsoft Defender for Endpoint'e geçiş, sürpriz barındıran bir proje değil — Microsoft'un üç fazlı metodolojisi net bir yol haritası sunuyor. İşin sırrı disiplinde: pasif modu doğru kurmak, karşılıklı dışlamaları iki yönlü tanımlamak ve eski çözümü ancak doğrulamadan sonra kaldırmak. Bu üç kurala uyulduğunda koruma boşluğu oluşmadan, çoğu zaman ek lisans maliyeti de olmadan modern bir EDR platformuna geçilir.

En değerli ilk adım, geçişten önce lisans envanterini çıkarmaktır: Defender for Endpoint zaten cebinizdeyken ayrı bir antivirüse ödeme yapıyor olabilirsiniz. Kurumsal güvenlik yol haritanızı Microsoft Security ve Microsoft 365 çözümlerimizle uçtan uca planlıyoruz.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun uç nokta korumasını Kaspersky/ESET'ten Microsoft Defender for Endpoint'e taşırken lisans analizi, pilot tasarımı, kayıt ve doğrulama süreçlerinde uçtan uca destek sağlıyoruz. İletişim sayfamızdan ücretsiz bir lisans ve geçiş değerlendirmesi için bize ulaşın.

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

WhatsApp