İçereği Atla

Sigma Rule Nedir? Nasıl Yazılır?

Sigma Rule, siber güvenlikte log verileri üzerinden tehdit tespiti yapmak amacıyla kullanılan, platformdan bağımsız bir kural tanımlama standardıdır. Farklı SIEM sistemlerinde kullanılabilen bu kurallar, ortak bir dil ile tehdit davranışlarının tanımlanmasını sağlar ve güvenlik ekiplerine esneklik kazandırır.
11 Haziran 2026 yazan
Sigma Rule Nedir? Nasıl Yazılır?
Mehrinaz BOZ
 

Siber Güvenlikte Log Analizi ve Tehdit Tespiti

  • Sistemler, ağ cihazları ve uygulamalar tarafından üretilen logların analiz edilmesi
  • Şüpheli ve anormal davranışların tespit edilmesi
  • Olası siber saldırıların erken aşamada fark edilmesi
  • Güvenlik ihlallerinin önlenmesine katkı sağlanması
  • Etkili tehdit tespiti için log verilerinin doğru şekilde toplanması ve yorumlanması

Sigma Rule Çalışma Mantığı

  • Log verilerinin nasıl analiz edildiği
  • Belirlenen alanların (process, command line, event id vb.) nasıl eşleştirildiği
  • Detection bölümünün nasıl çalıştığı
  • Condition yapısının (AND / OR / NOT) nasıl tehdit tespiti yaptığı
  • Kuralın SIEM’e çevrildiğinde nasıl alarm ürettiği

Sigma Rule ve SIEM Entegrasyonu

    1. Sigma Rule’ların doğrudan SIEM’de çalışmadığı
    2. Önce SIEM’e uygun formata dönüştürülmesi gerektiği
    3. Aynı Sigma Rule’un farklı SIEM’lerde kullanılabilmesi
      (Splunk, Elastic, QRadar vb.)
    4. Log kaynaklarının SIEM tarafında nasıl eşleştirildiği
    5. Kuralın SIEM’de alarm / alert üretme süreci

  1. Sigma = ortak kural dili,
  2. SIEM = kuralın çalıştığı platform.

Sigma Rule ve MITRE ATT&CK

Sigma Rule, log verileri üzerinde tehdit tespiti yapmak için kullanılan, 
SIEM bağımsız bir kural tanımlama standardıdır.

Açık kaynak olarak geliştirilmiştir ve YAML formatında yazılır. Sigma Rule’ların temel amacı, bir güvenlik use-case’inin tek bir formatta tanımlanmasını ve bu kuralın farklı SIEM platformlarına (Splunk, Elastic, QRadar vb.) dönüştürülebilmesini sağlamaktır. Bu sayede SOC ekipleri, tehdit tespit kurallarını yeniden yazmak zorunda kalmadan farklı sistemlerde aynı mantıkla kullanabilir.

Sigma Rule Avantajları

  • Açık kaynaklıdır ve topluluk tarafından geliştirilir
  • YAML formatında yazılır, okunması ve yönetimi kolaydır
  • Tek bir kural farklı SIEM sistemlerine dönüştürülebilir
  • SOC ekipleri için kural tekrarını ve yönetim yükünü azaltır
  • MITRE ATT&CK ile uyumlu çalışır
  • Threat hunting ve proaktif güvenlik çalışmalarını destekler

Sigma Rule Sınırlamaları

  1. Doğrudan çalışmaz, SIEM sistemlerine dönüştürülmesi gerekir
  2. Log kaynağı uyumsuzlukları false positive üretebilir
  3. Performans ve doğruluk SIEM altyapısına bağlıdır
  4. Yanlış veya eksik log toplama durumunda etkisiz kalır
  5. Gerçek zamanlı değil, log tabanlı tespit yapar

SOC Süreçlerinde Sigma Rule

  • Tehdit tespit kurallarının standart ve SIEM bağımsız şekilde yönetilmesini sağlar
  • SOC analistlerinin alarm üretme ve use-case geliştirme sürecini hızlandırır
  • Threat hunting ve MITRE ATT&CK tabanlı analizlere katkı sunar

Sigma Rule ile Threat Hunting ( Tehdit Avcılığı )

  • Log verileri üzerinden bilinen saldırı tekniklerinin proaktif olarak aranmasını sağlar
  • MITRE ATT&CK ile eşleşen kurallar sayesinde tehdit davranışları erken aşamada tespit edilir
  • SIEM bağımsız yapısı sayesinde farklı ortamlarda aynı av senaryoları uygulanabilir


SONUÇ;

Sigma Rule, log tabanlı tehdit tespitini standartlaştıran, SIEM bağımsız ve açık kaynak bir kural tanımlama yapısıdır. SOC ve threat hunting süreçlerinde tutarlı ve taşınabilir tespit kuralları oluşturmayı sağlar. MITRE ATT&CK uyumu sayesinde saldırı tekniklerinin daha net analiz edilmesine katkı sunar. Doğru log yönetimi ve uygun SIEM entegrasyonu ile kullanıldığında, güvenlik operasyonlarının etkinliğini önemli ölçüde artırır.



Sigma Rule Nedir? Nasıl Yazılır?
Mehrinaz BOZ 11 Haziran 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment