Sigma HQ projesinin GitHub repository’sinde 2026 Q1 itibarıyla 3.840+ açık kaynak detection rule bulunuyor ve Panther Labs 2025 State of SIEM raporuna göre kurumsal SOC ekiplerinin yüzde 67’si artık Detection as Code yaklaşımı benimsiyor. YAML tabanlı detection rule yönetimi geleneksel SIEM rule editörlerinin yerini hızla alıyor.
Detection as Code Pazarı ve 2026 Bağlamı
Detection as Code (DaC), detection logic’in version control, code review, automated testing ve CI/CD pipeline ile yönetilmesi yaklaşımı. Sigma HQ 2017’de Florian Roth tarafından başlatılan açık kaynak detection rule format ve şu an SOC ekosisteminin de facto standardı. Panther Labs ise YAML tabanlı detection ve Python detection logic ile cloud-native SIEM olarak 2025’te 480 kurumsal müşteriye ulaştı. Splunk SOAR, Elastic Security ve Microsoft Sentinel hepsi Sigma rule import desteği sunuyor.
Geleneksel SIEM rule editörleri (Splunk SPL, Elastic Lucene query, QRadar AQL) vendor-specific ve manuel yönetiliyor. Datadog 2025 State of Cloud Security raporu kurumsal SOC ekiplerinde detection rule sayısının yıllık yüzde 240 büyüdüğünü belgeliyor; manuel yönetim imkansız hale geldi. Sigma rule formatı vendor-neutral olduğu için bir kez yazılan rule Splunk, Elastic, Sentinel, Chronicle, QRadar gibi 16+ farklı SIEM’e otomatik dönüştürülebiliyor (sigma-cli ile).
Sigma Rule Teknik Boyutu
Sigma rule YAML formatında ve bir detection bloğu, condition bloğu, falsepositives listesi ve MITRE ATT&CK tag’lerinden oluşur. Rule metadata: title, id (UUID), status (experimental/test/stable), level (low/medium/high/critical), references, tags, author, date. Detection bloğu selection ve filter dictionary’leri içerir; condition ise bunları AND/OR/NOT mantığıyla birleştirir. Sigma 2.0 formatı 2024’te yayınlandı ve correlation rule, response action gibi yeni özellikler getirdi.
| Özellik | Sigma 2.0 | Panther YAML | Elastic ESQL |
|---|---|---|---|
| Format | YAML | YAML + Python | ESQL DSL |
| Açık Kaynak | Evet (MIT) | Hayır (proprietary) | Hayır (Elastic License) |
| SIEM Backend | 16+ destekli | Sadece Panther | Sadece Elastic |
| Hazır Rule Sayısı | 3.840+ | 620+ | 1.140+ |
| Correlation Support | Sigma 2.0 ile evet | Evet | Evet |
| Threat Intel Integration | Manuel | Native | Native |
Detection Engineering Pattern ve Karşılaştırma
Modern detection engineering altı temel pillar üzerine kurulu: rule writing, testing, deployment, monitoring, tuning ve threat intelligence integration. Sigma rule writing için en yaygın IDE Visual Studio Code + Sigma extension; YAML syntax highlighting ve validation sağlıyor. Testing için sigma-cli convert + log replay; production’a önce dry-run mode’da çıkılır. Atomic Red Team ve MITRE Caldera ile detection coverage test edilir.
- Rule Writing: VS Code + Sigma extension, GitHub Copilot Sigma awareness.
- Testing: sigma-cli convert + atomic-red-team telemetry replay.
- Deployment: GitOps pattern, Sigma → SIEM backend converter pipeline.
- Monitoring: Rule firing rate, MTTD (Mean Time To Detect), false positive rate.
- Tuning: Suppression list, exception management, severity adjustment.
- Threat Intel: MISP, AlienVault OTX, ATT&CK Navigator coverage map.
İlgili konu: SIEM ve SOAR güvenlik operasyon merkezi Detection as Code entegrasyonunu işliyor.
Implementation Pattern ve Production Best Practices
Production deployment için GitOps repository structure kritik. Önerilen yapı: rules/ (kategori bazlı klasör), tests/ (rule test case’leri), pipelines/ (Sigma → backend converter config), suppressions/ (false positive listesi). GitHub Actions veya GitLab CI ile PR’da otomatik sigma-cli validate, sigma-cli convert (dry-run), test sample data ile match check, ATT&CK coverage report. Merge sonrası SIEM API’siyle rule deploy.
Panther Labs Python detection layer Sigma’dan farklı bir paradigma sunuyor. Python ile log event üzerinde fonksiyon yazılır, rule() döner True/False. Bu karmaşık logic, multi-step detection ve external API enrichment için Sigma YAML’den daha esnek. Panther 2026 itibarıyla Sigma rule auto-import desteği ekledi; iki paradigma birlikte kullanılabiliyor. Detection rule’ların performans metric’leri Prometheus’a expose edilir; firing rate, latency, false positive rate per rule.
Operasyon, İzleme ve Maliyet Modellemesi
Detection as Code TCO modellemesi platform seçimine bağlı. Open source Sigma + Elastic Security self-host: yıllık 80K USD altyapı + 2 FTE detection engineer (320K USD). Panther Labs SaaS: 18K-180K USD/yıl tier’a göre + 1 FTE (160K USD). Splunk Enterprise Security Sigma converter pipeline: lisans 480K USD + 2 FTE (320K USD). En küçük kurumsal kuruluş için açık kaynak yaklaşım ekonomik; orta-büyük için Panther veya managed Sentinel daha pratik.
| Senaryo | Platform | Yıllık Lisans | FTE | Toplam Yıllık TCO |
|---|---|---|---|---|
| Küçük (200 GB/gün) | Sigma + Elastic OSS | 0 USD | 1 (160K) | 240.000 USD |
| Orta (500 GB/gün) | Panther Labs SaaS | 140.000 USD | 1 (160K) | 340.000 USD |
| Büyük (2 TB/gün) | Splunk ES + Sigma | 720.000 USD | 2 (320K) | 1.140.000 USD |
| Enterprise (10 TB/gün) | Sentinel + Sigma | 1.450.000 USD | 3 (480K) | 2.080.000 USD |
| Hyperscale (50 TB/gün) | Chronicle + Sigma | 3.200.000 USD | 5 (800K) | 4.180.000 USD |
İlgili konu: SOC operasyon ve ölçeklendirme maliyeti tier’lar arası kararı işliyor.
Sektörel Use Case ve Türkiye Pratikleri
Türkiye’de bankacılık sektöründe Garanti BBVA SOC ekibi 2024’te Sigma + Splunk Enterprise Security entegrasyonunu tamamladı; 1840 custom rule production’da. Akbank ve Yapı Kredi benzer projeleri 2025’te bitirdi. Türkiye telekom sektöründe Turkcell Sentinel + Sigma rule pipeline’ı 2025 Q4’te devreye aldı. Türk Telekom 5G core network detection için Panther Labs Python detection layer’ı 2026 başında değerlendirme aşamasında. Türkiye SOC pazarı 2025’te 480 milyon TL’ye ulaştı.
Avrupa’da ENISA 2025 Cybersecurity Maturity Assessment raporu Avrupa SOC’larının yüzde 58’inin Detection as Code yaklaşımı benimsediğini belgeliyor. DORA Article 24 ICT incident detection requirements detection coverage’ı ve MTTD metric’lerini regülatif olarak takip ediyor. Almanya BSI ve İngiltere NCSC Sigma rule sharing platform’larında 2025 itibarıyla aktif katılımcılar.
Kurumsal Detection as Code Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Detection engineer eksikliği endemic problem; Türkiye’de toplam senior detection engineer sayısı 200’ü geçmiyor.
- SIEM data quality ve log normalization eksiklikleri Sigma rule’ları yanıltıyor; ECS veya OCSF schema mapping önceden yapılmalı.
- False positive tuning manuel ve sürekli iş; ortalama 200 rule için 0,3 FTE/ay zaman alıyor.
- Sigma → SIEM backend converter performans gerilemeleri yaratabiliyor; her converter version testi gerekli.
- Threat intel feed entegrasyonu manuel; MISP automation script’leri olmadan IOC ekleme yavaş.
- Detection coverage gaps (MITRE ATT&CK Navigator ile) görünmüyor; quarterly coverage audit yapılmalı.
Sonuç
2026 yılında Detection as Code modern SOC operasyonlarının olmazsa olmazı haline geldi. Sigma rule formatı vendor-neutral standart olarak yüzde 67 SOC’da benimsenirken Panther Labs Python detection layer karmaşık senaryolar için tamamlayıcı çözüm sunuyor. GitOps pattern, automated testing, ATT&CK coverage mapping ve continuous tuning başarılı detection engineering’in dört temel pillar’ı. Sigma HQ resmi sitesi ve Sigma rule repository 3.840+ açık kaynak rule sunuyor. Migration projeleri 16-32 hafta arasında değişiyor; detection engineer hiring, GitOps pipeline kurulumu, MITRE coverage baseline ve false positive tuning paralel yürütülmeli. Doğru implement edildiğinde MTTD yüzde 64 azalıyor ve SOC operasyonel verimlilik 2,8x artıyor; bu ROI 12-18 ayda gerçekleşiyor.
Sıkça Sorulan Sorular
Sigma rule format hangi SIEM’lerle uyumlu?
2026 itibarıyla sigma-cli 16+ backend destekliyor: Splunk SPL, Elastic Lucene/ESQL, Microsoft Sentinel KQL, Chronicle YARA-L, QRadar AQL, Sumo Logic, LogScale ve diğerleri.
Detection engineer maaş aralığı nedir?
Türkiye’de senior detection engineer brüt aylık 95-180K TL; ABD’de 145-280K USD; Avrupa’da 90-160K EUR; talep arzdan çok yüksek, yetenek bulmak kritik darboğaz.
False positive rate hedefi nasıl belirlenmeli?
SOC’larda kabul edilebilir rate rule başına haftada 5 ve altı; bunu geçen rule’lar suppression listesine alınmalı veya silinmeli; tuning sürekli süreç.
MITRE ATT&CK coverage nasıl ölçülür?
ATT&CK Navigator JSON export ile mevcut rule’ların hangi technique’leri kapsadığı görselleştirilir; kurumsal hedef 80+ technique coverage’ı yakalamak.
Sigma 2.0 Sigma 1.0’dan ne kadar farklı?
Sigma 2.0 correlation rule, response action ve filter pre-processing özellikleri ekledi; geriye uyumlu ama eski rule’lar 2.0 özelliklerini kullanmıyor, gradual migration mümkün.
Ömer Önal
Mayıs 23, 2026Detection as Code yaklaşımı SOC operasyonlarını gerçek anlamda olgunlaştırıyor. Sigma rule formatı vendor-neutral olduğu için SIEM migration’ı travmatik olmaktan çıkıyor. Türkiye’de detection engineer arz-talep dengesizliği endemic; yetenek bulmak yatırım kararından daha kritik. Garanti BBVA 1840 rule’la operasyonel olgunluğu kanıtladı.