Microsoft İstanbulbir microsoft iş ortağı projesi
Tüm yazılarMicrosoft Security

Microsoft Defender for Identity Nedir? Kimlik Güvenliği (2026)

·~7 dk okuma
Microsoft Defender for Identity mimari diyagramı: Defender for Identity bulutu, Microsoft Entra ID, Active Directory ve on-premises sensörler — Microsoft resmi belgelerinden

Özet (TL;DR): Microsoft Defender for Identity, kurumların Active Directory ve Microsoft Entra ID kimliklerini hedefleyen saldırıları tespit eden, araştıran ve yanıtlayan bulut tabanlı bir kimlik güvenliği çözümüdür. Etki alanı denetleyicilerine kurulan hafif sensörler ile yetki yükseltme, yatay hareket, Golden Ticket ve kimlik bilgisi ele geçirme gibi saldırıları davranışsal analizle yakalar; tüm sinyalleri Microsoft Defender portalında Defender for Endpoint ve diğer kaynaklarla birleştirir. 2026'da gelen birleşik kimlik + uç nokta sensörü (v3.x) ile artık ayrı bir ajan kurmaya gerek kalmadan, portaldan tek tıkla kimlik koruması etkinleştirilebiliyor.

Microsoft Defender for Identity nedir?

Microsoft Defender for Identity (kısaca MDI; eski adıyla Azure ATP), kurumsal hibrit ortamlarda kimlik tabanlı siber saldırıları tespit etmek için tasarlanmış bulut tabanlı bir güvenlik hizmetidir. Saldırganlar günümüzde sisteme sızmak, yetki yükseltmek ve kalıcılık sağlamak için neredeyse her zaman kullanıcı hesapları, servis hesapları ve uygulamalar gibi kimlikleri hedefler. Defender for Identity tam da bu noktada devreye girer: şirket içi Active Directory ile Microsoft Entra ID'den gelen kimlik sinyallerini sürekli izler, bunları davranışsal analiz, tehdit istihbaratı ve bilinen saldırı kalıplarıyla değerlendirir.

Çözüm, Microsoft Defender ailesinin kimlik güvenliği bileşenidir. Ürettiği uyarılar doğrudan Microsoft Defender portalında, uç nokta, e-posta, SaaS uygulamaları ve bulut iş yüklerinden gelen verilerle ilişkilendirilir. Böylece güvenlik ekipleri izole uyarılar yerine, bir saldırının tüm kapsamını gösteren birleşik olaylar (incidents) görür. Resmi açıklama için Microsoft Learn: Defender for Identity overview sayfasına bakabilirsiniz.

Neden kimlik güvenliği bu kadar kritik?

Klasik güvenlik yaklaşımı uç noktayı ve ağı korumaya odaklanırdı. Ancak modern saldırıların büyük çoğunluğu artık çalınmış bir parola, ele geçirilmiş bir servis hesabı veya kötüye kullanılan bir Kerberos bileti üzerinden ilerliyor. Bir saldırgan geçerli bir kimlik ele geçirdiğinde, çoğu güvenlik aracı bunu "meşru kullanıcı etkinliği" olarak görür.

Defender for Identity, her kullanıcı, cihaz ve hesap için davranışsal bir profil oluşturur ve bu profilden sapan etkinlikleri saldırı göstergesi olarak işaretler. Yalnızca insan kimliklerini değil; servis hesapları, senkronizasyon hesapları ve OAuth uygulamaları gibi insan dışı kimlikleri (NHI) de izler. Bu, fidye yazılımı ve gelişmiş kalıcı tehdit (APT) gruplarının en sık istismar ettiği boşlukları kapatır.

Nasıl çalışır? Mimari yapısı

Defender for Identity üç ana bileşenden oluşur:

  • Hafif sensörler: Etki alanı denetleyicileri (Domain Controller) ve AD FS / AD CS sunucularına kurulur. İlgili ağ trafiğini (Kerberos, NTLM, DNS) ve Windows güvenlik olaylarını yerel olarak yakalar ve ayrıştırır.
  • API bağlayıcıları: Microsoft Entra ID ve Okta gibi üçüncü taraf kimlik sağlayıcılarını entegre ederek hibrit ortamda uçtan uca görünürlük sağlar.
  • Bulut analitik servisi: Yalnızca gerekli sinyaller buluta gönderilir; bu da performans etkisini en aza indirir ve karmaşık ağ değişikliklerini gereksiz kılar. Analiz sonuçları Microsoft Defender portalına akar.

Sensörler tüm etki alanı denetleyicilerine (salt okunur RODC'ler dahil) kurulmalıdır. Bu mimari sayesinde Defender for Identity, ağda Active Directory'ye karşı kimlik doğrulama yapan tüm cihazları izler — Windows dışı ve mobil cihazlar dahil.

Hangi saldırıları tespit eder?

Defender for Identity, tespitlerini bir kimlik saldırısının yaşam döngüsündeki aşamalarla eşleştirir:

  • Keşif (Reconnaissance): Kullanıcı adı, grup üyeliği, IP ve kaynak numaralandırma denemeleri gibi şüpheli keşif etkinlikleri.
  • Kimlik bilgisi ele geçirme: Kaba kuvvet (brute force), tekrarlanan başarısız kimlik doğrulamalar ve şüpheli grup üyeliği değişiklikleri.
  • Yatay hareket (Lateral Movement): Pass-the-Ticket, Pass-the-Hash ve hassas kimliklere doğru genişleme girişimleri.
  • Etki alanı hakimiyeti (Domain Dominance): Etki alanı denetleyicilerinde uzaktan kod yürütme, DCShadow, kötü amaçlı çoğaltma ve Golden Ticket etkinliği.

2026 boyunca bu liste önemli ölçüde genişledi; Entra ID tarafında çalınmış oturum çerezi tekrarı (session cookie replay), Koşullu Erişim baypası şüphesi ve randomize kullanıcı aracısından kötü amaçlı oturum açma gibi yeni uyarılar eklendi. Güncel listenin tamamı için Defender for Identity – Yenilikler sayfasına bakın.

Kimlik güvenliği duruşu (ISPM)

Defender for Identity yalnızca tespit yapmaz; saldırı yüzeyini önceden küçültmeye de yardımcı olur. Kimlik güvenliği duruşu yönetimi (ISPM) kapsamında:

  • Microsoft Secure Score üzerinden kimlik duruşu değerlendirmeleri sunar.
  • Kısıtlanmamış Kerberos delegasyonu, ayrıcalıklı gruplardaki servis hesapları, bayat (stale) hesaplar gibi riskli yapılandırmaları işaretler ve düzeltme yolları önerir.
  • Bir saldırganın ortamda nasıl ilerleyebileceğini gösteren yatay hareket yollarını analiz eder.

2026'da gelen Kimlik Güvenliği panosu (Identity Security dashboard), kimlik sağlayıcıları, şirket içi ve SaaS kimlikleri ile insan dışı kimlikler için özet kartlar sunarak güvenlik ekiplerine tek bakışta kapsam görünürlüğü sağlıyor.

2026 yeniliği: Birleşik kimlik + uç nokta sensörü (v3.x)

Defender for Identity tarafındaki en önemli güncel gelişme, birleşik kimlik ve uç nokta sensörünün (v3.x) genel kullanıma sunulmasıdır. Bu yeni sensör artık ayrı bir ajan değildir; etki alanı denetleyicinizde zaten çalışan Microsoft Defender for Endpoint (MDE/SENSE) servisinin içinde bir bileşen olarak çalışır. Pratik faydaları şunlardır:

  • Tek tıkla etkinleştirme: Etki alanı denetleyiciniz Defender for Endpoint'e onboard edildiğinde, kimlik korumasını Defender portalından birkaç tıklamayla açabilirsiniz. Ayrı kurulum paketi indirmeye, .NET bağımlılıkları yüklemeye veya NNR için port açmaya gerek kalmaz.
  • Portaldan kesintisiz geçiş: v2.x sensörlerini Microsoft Defender portalından doğrudan v3.x'e taşıyabilirsiniz. v2.x sensörü, v3.x hazır olana kadar çalışmaya devam eder; geçiş yaklaşık 20 dakika sürer ve kesinti yaşanmaz.
  • Artırılmış kapasite: Çalışma alanı (workspace) başına sensör limiti 350'den 1.000'e çıkarıldı.
  • Genişleyen rol desteği: v3.x sensör artık Microsoft Entra Connect, AD FS ve AD CS dahil tüm kimlik rollerini destekliyor.

Önemli gereksinim: v3.x sensör çalıştıran etki alanı denetleyicileri Windows Server 2019 veya üstünü ve en az Mart 2026 Toplu Güncelleştirmesini (Cumulative Update) gerektirir. Ayrıca Windows Server 2025 etki alanı denetleyicilerinin v2.x'ten v3.x'e geçişi şu an için desteklenmemektedir; bu sunucularda v2.x sensörü kullanmaya devam edin.

Lisanslama ve gereksinimler

Microsoft Defender for Identity, kullanıcı başına abonelik lisansıdır. Bağımsız (standalone) olarak edinilebileceği gibi aşağıdaki planlara dahildir:

  • Enterprise Mobility + Security E5/A5
  • Microsoft 365 E5/A5/G5
  • Microsoft Defender Suite (ve EDU/GOV/FLW varyantları)
  • Microsoft Defender for Identity for Users (bağımsız)

Özellikler kiracı (tenant) düzeyinde, tüm kullanıcılar için etkinleştirilir. Hangi planın neyi kapsadığına dair ayrıntılar için Microsoft Defender hizmet açıklaması belgesine bakabilirsiniz. Lisans planınızın Microsoft 365 aboneliğiniz içinde olup olmadığını öğrenmek için ekibimizle iletişime geçebilirsiniz.

ATA'dan farkı nedir?

Defender for Identity, eski şirket içi çözüm olan Advanced Threat Analytics (ATA)'nın yerini aldı. ATA, ATA Center gibi özel donanım gerektiren bağımsız bir şirket içi çözümdü ve Ana Akım (Mainstream) Desteği 2021'de sona erdi; Genişletilmiş Destek ise Ocak 2026'da bitiyor. Defender for Identity ise bulut tabanlı, son derece ölçeklenebilir ve sürekli güncellenen bir hizmettir. ETW (Event Tracing for Windows) gibi ek veri kaynaklarını kullanarak ATA'nın yakalayamadığı tespitleri de sunar. Hâlâ ATA kullanıyorsanız, geçiş planlaması yapmanız kritik önemdedir.

Defender XDR ve Sentinel ile entegrasyon

Defender for Identity'nin asıl gücü, izole bir araç olmamasından gelir. Ürettiği kimlik sinyalleri, Microsoft Defender XDR içinde uç nokta (Defender for Endpoint), e-posta ve bulut uygulamalarından gelen verilerle otomatik olarak ilişkilendirilir. Böylece bir saldırının uç noktada başlayıp kimliğe yayılan tüm zinciri tek bir olayda görülebilir. Aynı sinyaller Microsoft Sentinel'e de akıtılarak SOC ekiplerinin uçtan uca avlanma (hunting) ve otomasyon senaryoları kurmasına olanak tanır. Bulut iş yüklerini de korumak isteyen kurumlar için Microsoft Defender for Cloud bu tabloyu tamamlar.

Sıkça Sorulan Sorular (SSS)

Microsoft Defender for Identity ile Microsoft Entra ID Protection aynı şey mi?

Hayır. Entra ID Protection, bulut kimlik sağlayıcısı (Entra ID) üzerindeki riskli oturum açmalara ve kullanıcılara odaklanır. Defender for Identity ise ağırlıklı olarak şirket içi Active Directory'yi izler ve etki alanı denetleyicilerindeki saldırıları (Golden Ticket, DCShadow, yatay hareket) tespit eder. İkisi birlikte hibrit ortamda tam kapsam sağlar ve Defender XDR'da birleşir.

Sensörü kurmak performansı etkiler mi?

Hafif sensör, ağ trafiğini ve olayları yerel olarak ayrıştırır ve buluta yalnızca gerekli sinyalleri gönderir; bu nedenle etki alanı denetleyicisi üzerindeki etkisi minimumdur. Yeni v3.x sensörü zaten mevcut Defender for Endpoint servisi içinde çalıştığından ek ajan yükü de getirmez.

Defender for Identity insan dışı kimlikleri (servis hesapları) izleyebilir mi?

Evet. Çözüm; servis hesapları, senkronizasyon hesapları, OAuth uygulamaları ve service principal gibi insan dışı kimlikleri (NHI) davranışsal analizle izler. 2026'da gelen Identity inventory iyileştirmeleriyle insan ve insan dışı kimlikler ayrı sekmelerde, risk/ayrıcalık istatistikleriyle birlikte gösteriliyor.

v2.x sensöründen v3.x'e geçiş zorunlu mu?

Microsoft, birleşik v3.x sensörüne geçişi öneriyor çünkü gelecekteki yenilikler bu mimari üzerine inşa ediliyor. Geçiş Defender portalından kesintisiz yapılabiliyor. Ancak Windows Server 2025 etki alanı denetleyicileri için v3.x geçişi henüz desteklenmiyor; bu sunucularda v2.x kullanmaya devam edin.

Hangi lisans Defender for Identity'yi kapsar?

Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5/A5 ve Microsoft Defender Suite planları Defender for Identity'yi içerir. Ayrıca "Defender for Identity for Users" olarak bağımsız da satın alınabilir.

Defender for Identity yalnızca etki alanına katılmış cihazları mı izler?

Hayır. Active Directory'ye karşı kimlik doğrulama ve yetkilendirme isteği gönderen tüm cihazları izler — Windows dışı ve mobil cihazlar dahil.

Sonuç: Kimlik artık yeni güvenlik sınırı

Modern saldırıların merkezinde kimlik yer alıyor. Microsoft Defender for Identity, şirket içi Active Directory ile bulut Entra ID arasındaki kör noktayı kapatarak, kimlik tabanlı saldırıları erken aşamada — keşiften etki alanı hakimiyetine kadar — yakalar. Davranışsal analiz, güvenlik duruşu değerlendirmeleri ve Defender XDR korelasyonu sayesinde SOC ekipleri izole uyarılarla değil, bağlamı net olaylarla çalışır.

2026'da gelen birleşik v3.x sensörü, kimlik korumasını "ayrı bir proje" olmaktan çıkarıp mevcut uç nokta korumanızın bir uzantısı haline getiriyor: tek ajan, portaldan tek tıkla etkinleştirme, kesintisiz geçiş. Doğru lisansa zaten sahip olan birçok kurum, bu yeteneği hiç kullanmadığının farkında bile değil — oysa etkinleştirmesi artık her zamankinden kolay.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Defender for Identity dağıtımında lisans tespiti, sensör kurulumu/geçişi ve güvenlik duruşu iyileştirmelerinde uçtan uca destek sağlıyoruz. İletişim sayfamızdan bize ulaşın, mevcut Microsoft 365 lisansınızla kimlik korumasını birkaç tıklamayla devreye alalım.

İlgili yazılar

Microsoft Teams Phone bulut telefon sistemi — Microsoft Teams resmi logosu ve arama rozetiyle simgelenen kurumsal santral (PBX) kavramı
Microsoft 365

Microsoft Teams Phone (Bulut Telefon Sistemi) Nasıl Kurulur? (2026)

Microsoft Teams Phone ile Teams'i bulut tabanlı bir santrale (PBX) dönüştürmenin adım adım rehberi: Teams Phone lisansı, Türkiye için PSTN bağlantı seçenekleri

8 Haziran 2026Yazıyı oku
Windows 365 Microsoft Entra join Cloud PC hazırlama mimarisi diyagramı — Microsoft resmi belgelerinden
windows 365

Windows 365 Cloud PC Hazırlama Hatası Çözümü (2026)

Windows 365 Cloud PC hazırlama (provisioning) Failed hatasının nedenleri ve çözümü: domain join, Intune kaydı, Entra hibrit birleştirme, yetersiz IP ve ANC soru

7 Haziran 2026Yazıyı oku
Excel'de Microsoft Purview hassasiyet etiketi (Confidential) uygulama menüsü — Microsoft resmi belgelerinden
Microsoft Security

SharePoint ve OneDrive'da Hassasiyet Etiketi Nasıl Uygulanır? (2026)

Microsoft Purview hassasiyet etiketlerini SharePoint ve OneDrive’da uygulamanın adım adım rehberi: kiracı düzeyinde özelliği açma, etiket oluşturma, yayımlama i

4 Haziran 2026Yazıyı oku

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

Ücretsiz Danışmanlık0850 259 59 49
WhatsApp