Haberler Microsoft Security

Microsoft Intune’da Modern Patch Stratejisi: Mitigate, Assess, Contain

Microsoft Intune patch strategy 3 aşama

Microsoft, AI’ın hem zafiyet keşfini hem yamalanmasını hızlandırdığı bir dönemde, kurumların bu hızda kalabilmesi için Intune Customer Success blogunda pratik bir yol haritası paylaştı. Ana fikir net: patching artık takvim tabanlı bir görev değil, sürekli operasyonel bir disiplin. Üç aşamalı yaklaşım öneriliyor: Mitigate, Assess ve Contain.

Neden yeni bir yaklaşım gerekiyor?

Klasik takvim tabanlı patching her CVE’yi eşit muamele ediyor. Ama AI zafiyet keşfini hızlandırırken düşük riskli güncellemeler için harcanan efor, yüksek riskli olanların açık kalmasına yol açabiliyor. Ayrıca AI tool’ları ve agent’lar kurum ortamına yayıldıkça, endpoint estate’in güncel ve sertleştirilmiş olması çok daha kritik hale geliyor.

Bu yüzden Microsoft, patching’i OS, uygulama ve driver update’lerinin yanına compliance enforcement, access control ve security baseline hardening’i ekleyen sürekli bir operasyonel disiplin olarak yeniden tanımlıyor.

1. Mitigate: Hızlı hareket edebilecek güncellemeleri otomatikleştir

Strateji, her güncellemeyi her yere birden itmek değil. Estate’inizin hızlı hareket edebilen kısımlarını tespit edip otomasyon, ring’ler, monitoring ve enforcement ile bu güncellemeleri güvenle taşımak.

Intune’da nasıl operasyonelleştirilir?

  • Windows Autopatch: Ring bazlı güncelleme rollout’larını orkestrasyonluyor. Autopatch raporu cihazların güncellemeyi ne kadar hızlı uyguladığını gösteriyor. Kategoriler: güncellemeden sonraki 3 gün içinde “current”, 3-7 gün arası “at risk”, 7 gün üzeri “critical risk”.
  • Hotpatch: 24H2+ için Intune’da varsayılan olarak açık. Kritik güncellemeleri reboot gerektirmeden uyguluyor. Güvenlik açığı azalırken kullanıcı verimliliği korunuyor.
  • Intune Enterprise App Management (EAM): Windows uygulamalarını auto-update ile güncel tutuyor. Guided upgrade supersedence raporu ile eski sürümleri ve versiyon değişikliklerini gösteriyor. EAM auto-update artık GA.
  • Enhanced application inventory: All apps sayfası her yönetilen Windows cihazında yüklü uygulama sürümünü gösteriyor. Aktif cihazlarda gün içinde birden çok kez yenileniyor.
  • Vulnerability Remediation Agent (Security Copilot içinde): Defender Vulnerability Management verilerini kullanarak Intune ile yönetilen Windows cihazlar ve uygulamalarda CVE’leri önceliklendiriyor. Intune içinde önerilen remediation aksiyonlarını sunuyor. Public preview’da.

Apple ve Android için de var

Apple cihazlar: Otomatik OS update, en son versiyona zorlama, settings catalog üzerinden Background Security Improvement patch’leri. Volume-purchased App Store uygulamaları da otomatik güncellenecek şekilde ayarlanabiliyor.

Android cihazlar: Built-in update policy’ler, install window ve freeze period yapılandırması. Kurumsal Android filoları için Zebra LifeGuard OTA ve Samsung E-FOTA gibi OEM firmware yönetim çözümleri ile entegrasyon. Managed Google Play’de auto-update mod tercihleri (otomatik, sadece Wi-Fi veya manuel).

2. Assess: Maruz kalma ve şiddete göre riski önceliklendir

Her sistem, uygulama ya da zafiyet geniş update deployment ile ele alınamıyor. Hangisinin acil aksiyon gerektirdiğine, hangisinin zamana yayılabileceğine karar vermek gerekiyor.

Risk tabanlı service level objective’ler (SLO) devreye giriyor. Sabit takvim yerine, ekipler yanıt sürelerini şiddete göre hizalıyor: aktif olarak exploit edilen veya kritik zafiyetlerde hızlı, risk/etki düşük olduğunda daha ölçülü.

Intune ve Defender’da:

  • Security update status dashboard: Windows client, Windows server ve Microsoft 365 Apps için update compliance’ın toplu görünümü. Remediation’ın nereye odaklanacağını gösteriyor.
  • Microsoft Defender Vulnerability Management: CVE’ler, etkilenen cihazlar, savunmasız yazılımlar ve önerilen remediation aksiyonları. IT ve güvenlik ekipleri için ortak risk ve ilerleme görünümü.

Apple için Apple software update raporu macOS/iOS/iPadOS güncelleme durumunu gösteriyor. Android için compliance raporlama OS versiyonu veya security patch level’da geride kalan cihazları öne çıkarıyor.

3. Contain: Compliance’ı zorla, açığı sınırla

Otomatik deployment ve önceliklendirilmiş triage’a rağmen boşluklar kalabiliyor. Bazı cihazlar desteklenmiyor, bazıları geride kalıyor, bazıları yavaş ring’lerde çalışıyor, bazıları hızlı patch’lenemiyor. Bunlar için containment gerekiyor.

Compliance kontrolleri, conditional access ve device hardening sürekli açık bir güvenlik ağı olarak çalışıyor. Patch state kaynağa erişim için sinyal olarak kullanılabiliyor; non-compliant cihazlar kurumsal kaynaklara erişemiyor.

Intune ve Defender’da:

  • Compliance policy’ler: Minimum OS build, gerekli update level, risk status ve encryption state ile “current” tanımı.
  • Conditional Access (Entra üzerinden yönetilir): Kullanıcı ve cihaz sağlığına göre kaynak erişimini kontrol eder. Defender’dan gelen threat sinyalleriyle birlikte non-compliant cihazları engeller.
  • Defender Vulnerability Management + Security Exposure Management: Maruz kalan asset’leri belirler, remediation’ı önceliklendirir ve patch’in yavaş ilerlemesi gereken yerlerde önerilen korumaları uygular.
  • Intune security baseline’ları: Windows cihazlarda Microsoft-önerilen konfigürasyonlar. Riskli varsayılanları kapatır, yaygın saldırı tekniklerini bloklar, konfigürasyon drift’ini azaltır.
  • Attack surface reduction policy’leri: Defender for Endpoint korumalarını uygular. Hemen patch’lenemeyen cihazlarda ASR kuralları ve network protection.

Endpoint estate’in geneline yayılıyor

  • Compliance policy’ler ve Conditional Access kontrolleri Windows, macOS, iOS/iPadOS ve Android için geçerli
  • Intune app protection policy’leri personal cihazlardaki managed uygulamalara compliance ve data protection ekliyor
  • Settings catalog ve configuration profile’lar aynı hardening niyetini macOS, iOS/iPadOS ve Android’de uygulayarak konfigürasyon drift’ini azaltıyor

Lisanslama notu

1 Temmuz 2026 itibarıyla Advanced Intune yetenekleri Microsoft 365 E5’e dahil edildi. Seçili yetenekler E3 içinde de var. Mevcut müşterilere Microsoft Admin Center’da 30 gün önceden bildirim gidiyor, erişim Ağustos 2026’ya kadar başlıyor. Security Copilot ve ilgili AI yetenekleri ayrı lisans gerektirebiliyor.

Mitigate-Assess-Contain üçlüsü aslında yıllardır sistem yöneticilerinin sezgisel yaptıkları işi disiplinli bir çerçeveye oturtuyor. AI destekli zafiyet keşfi ivmesi düşünüldüğünde, “her ay ikinci Salı günü” mantığının sınırları belirginleşiyor. Özellikle Hotpatch’in reboot gerektirmeden kritik yamalar uygulaması ve Vulnerability Remediation Agent’ın Intune içinden hedefli aksiyon önermesi, patch operasyonel yükünü ciddi şekilde azaltabilir. Kurumların kendi ortamlarında Autopatch ring’lerini ve Conditional Access sinyallerini iyi tanımlamaları da bu yaklaşımdan gerçek fayda görebilmesi için kritik.

Kaynak: https://techcommunity.microsoft.com/blog/intunecustomersuccess/build-a-patch-strategy-for-today%E2%80%99s-threat-pace-with-microsoft/4535115

Yazar Hakkında

Kerem Şuğle

Solution Architect, VMware vExpert ve Microsoft sertifikalı altyapı uzmanı. VMware vSphere/vSAN/VCF, Azure, AWS, Google Cloud, enterprise sanallaştırma ve yapay zeka konularında 15+ yıl deneyim. AI/cloud dönüşümü, sovereign cloud, enterprise güvenlik ve modern altyapı mimarisi alanlarında yazıyor.

Leave a Comment