Siber Güvenlikte Log Analizi ve Tehdit Tespiti
- Sistemler, ağ cihazları ve uygulamalar tarafından üretilen logların analiz edilmesi
- Şüpheli ve anormal davranışların tespit edilmesi
- Olası siber saldırıların erken aşamada fark edilmesi
- Güvenlik ihlallerinin önlenmesine katkı sağlanması
- Etkili tehdit tespiti için log verilerinin doğru şekilde toplanması ve yorumlanması
Sigma Rule Çalışma Mantığı
- Log verilerinin nasıl analiz edildiği
- Belirlenen alanların (process, command line, event id vb.) nasıl eşleştirildiği
- Detection bölümünün nasıl çalıştığı
- Condition yapısının (AND / OR / NOT) nasıl tehdit tespiti yaptığı
- Kuralın SIEM’e çevrildiğinde nasıl alarm ürettiği
Sigma Rule ve SIEM Entegrasyonu
- Sigma Rule’ların doğrudan SIEM’de çalışmadığı
- Önce SIEM’e uygun formata dönüştürülmesi gerektiği
- Aynı Sigma Rule’un farklı SIEM’lerde kullanılabilmesi
(Splunk, Elastic, QRadar vb.) - Log kaynaklarının SIEM tarafında nasıl eşleştirildiği
- Kuralın SIEM’de alarm / alert üretme süreci
- Sigma = ortak kural dili,
- SIEM = kuralın çalıştığı platform.

Sigma Rule ve MITRE ATT&CK
Sigma Rule, log verileri üzerinde tehdit tespiti yapmak için kullanılan,
SIEM bağımsız bir kural tanımlama standardıdır.
Açık kaynak olarak geliştirilmiştir ve YAML formatında yazılır. Sigma Rule’ların temel amacı, bir güvenlik use-case’inin tek bir formatta tanımlanmasını ve bu kuralın farklı SIEM platformlarına (Splunk, Elastic, QRadar vb.) dönüştürülebilmesini sağlamaktır. Bu sayede SOC ekipleri, tehdit tespit kurallarını yeniden yazmak zorunda kalmadan farklı sistemlerde aynı mantıkla kullanabilir.
Sigma Rule Avantajları
- Açık kaynaklıdır ve topluluk tarafından geliştirilir
- YAML formatında yazılır, okunması ve yönetimi kolaydır
- Tek bir kural farklı SIEM sistemlerine dönüştürülebilir
- SOC ekipleri için kural tekrarını ve yönetim yükünü azaltır
- MITRE ATT&CK ile uyumlu çalışır
- Threat hunting ve proaktif güvenlik çalışmalarını destekler
Sigma Rule Sınırlamaları
- Doğrudan çalışmaz, SIEM sistemlerine dönüştürülmesi gerekir
- Log kaynağı uyumsuzlukları false positive üretebilir
- Performans ve doğruluk SIEM altyapısına bağlıdır
- Yanlış veya eksik log toplama durumunda etkisiz kalır
- Gerçek zamanlı değil, log tabanlı tespit yapar
SOC Süreçlerinde Sigma Rule
- Tehdit tespit kurallarının standart ve SIEM bağımsız şekilde yönetilmesini sağlar
- SOC analistlerinin alarm üretme ve use-case geliştirme sürecini hızlandırır
- Threat hunting ve MITRE ATT&CK tabanlı analizlere katkı sunar
Sigma Rule ile Threat Hunting ( Tehdit Avcılığı )
- Log verileri üzerinden bilinen saldırı tekniklerinin proaktif olarak aranmasını sağlar
- MITRE ATT&CK ile eşleşen kurallar sayesinde tehdit davranışları erken aşamada tespit edilir
- SIEM bağımsız yapısı sayesinde farklı ortamlarda aynı av senaryoları uygulanabilir

SONUÇ;
Sigma Rule, log tabanlı tehdit tespitini standartlaştıran, SIEM bağımsız ve açık kaynak bir kural tanımlama yapısıdır. SOC ve threat hunting süreçlerinde tutarlı ve taşınabilir tespit kuralları oluşturmayı sağlar. MITRE ATT&CK uyumu sayesinde saldırı tekniklerinin daha net analiz edilmesine katkı sunar. Doğru log yönetimi ve uygun SIEM entegrasyonu ile kullanıldığında, güvenlik operasyonlarının etkinliğini önemli ölçüde artırır.
Sigma Rule Nedir? Nasıl Yazılır?