Microsoft Purview'da DLP'yi (Veri Kaybını Önleme) Yapılandırma

Microsoft Purview'da DLP'yi (Veri Kaybını Önleme) Yapılandırma

04/01/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft Purview'de Veri Kaybını Önleme (DLP) ilkelerini yapılandırma ve uygulama konusunda rehberlik etmeyi amaçlamaktadır. DLP, kuruluşların hassas verilerin açığa çıkmasını, kötüye kullanılmasını veya kaybını önlemesine yardımcı olan, kritik bilgilerin güvenli ve düzenlemelerle uyumlu kalmasını sağlayan bir strateji ve araçlar kümesidir [1].

Giriş

Veri gizliliği düzenlemelerinin (GDPR, LGPD, HIPAA gibi) giderek daha da dijitalleştiği bir dünyada, hassas bilgilerin korunması en büyük önceliktir. Kaza, insan hatası veya kötü niyetli niyet nedeniyle veri kaybı, önemli mali zararlara, idari para cezalarına ve ciddi itibar kaybına neden olabilir. Microsoft Purview, kuruluşların Microsoft 365, Azure, uç noktalar, bulut uygulamaları ve diğer konumlardaki hassas verileri tanımlamasına, izlemesine ve korumasına yardımcı olan kapsamlı bir DLP çözümü sunar [2].

Bu pratik kılavuz, hassas verilerin tanımlanmasından ilkelerin oluşturulmasına ve dağıtılmasına, doğrulamaya ve en iyi uygulamalara kadar Microsoft Purview'de DLP ilkelerini yapılandırmaya yönelik temel adımları kapsayacaktır. Okuyucunun etkili bir DLP stratejisi uygulayabilmesi, gizli bilgileri koruyabilmesi ve mevzuata uygunluğu sağlayabilmesi için adım adım talimatlar, yapılandırma örnekleri ve doğrulama yöntemleri sağlanacaktır.

Microsoft Purview DLP neden önemlidir?

  • Kapsamlı Tanımlama: Çok çeşitli hassas bilgi türlerini (TIS) algılar ve eğitilebilir sınıflandırıcılarla genişletilebilir.
  • Çoklu Site Kapsamı: Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Windows/macOS cihazları ve bulut uygulamalarında bekleyen, kullanımda ve aktarım halindeki verileri korur.
  • Ayrıntılı Kontrol: Farklı veri türleri, kullanıcılar ve konumlar için belirli koşullar ve eylemler içeren politikalar tanımlamanıza olanak tanır.
  • Yasal Uyumluluk: Kuruluşların veri gizliliği gereksinimlerine ve sektör düzenlemelerine uymasına yardımcı olur.
  • Görünürlük ve Raporlama: Veri etkinliği ve DLP ilkesi algılamaları hakkında ayrıntılı raporlar sağlar.

Önkoşullar

Microsoft Purview'de DLP'yi yapılandırmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft Purview DLP'yi içeren bir lisans. Bu genellikle Microsoft 365 E5 Uyumluluğu, Microsoft 365 E5 gibi paketlerin bir parçasıdır veya eklenti olarak satın alınabilir [3].
  2. Yönetici Erişimi: Microsoft Purview uyumluluk portalında (https://compliance.microsoft.com) Uyumluluk Yöneticisi, Uyumluluk Veri Yöneticisi veya Genel Yönetici izinlerine sahip bir hesap.
  3. Microsoft 365'teki veriler: İlkeleri test etmek için Microsoft 365 ortamınızda hassas bilgiler içeren bazı verilerin (e-postalar, belgeler) bulunması idealdir.

Adım Adım: Veri Kaybını Önleme Politikalarını (DLP) Yapılandırma

Kredi kartı numaralarının e-posta yoluyla dış kullanıcılarla paylaşılmasını tespit etmek ve engellemek için DLP politikası oluşturalım.

1. Microsoft Purview Uyumluluk Portalına Erişim

  1. Tarayıcınızı açın ve "https://compliance.microsoft.com" adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.

2. Hassas Bilgilerin Belirlenmesi

Microsoft Purview DLP, hassas verileri tanımlamak için Hassas Bilgi Türleri (TIS) kullanır. Yüzlerce önceden yapılandırılmış TIS ile birlikte gelir, ancak kendinizinkini de oluşturabilirsiniz.

  1. Sol gezinme bölmesinde Veri Sınıflandırma > Hassas Bilgi Türleri'ni seçin.
  2. Tanımlarını ve nasıl tespit edildiklerini görmek için mevcut TIS'yi (örn. 'Kredi Kartı Numarası') arayabilirsiniz.

3. DLP Politikası Oluşturma

Önceden tanımlanmış bir şablon kullanarak bir DLP politikası oluşturalım ve özelleştirelim.

  1. Sol gezinme bölmesinde Veri Kaybını Önleme > Politikalar'ı seçin.
  2. + Politika oluştur'a tıklayın.

1. Adım: Bir şablon seçin veya özel bir politika oluşturun

  1. Kategoriler: 'Finansal'ı seçin.
  2. Şablonlar: "ABD Mali Verileri"ni seçin.
  3. İleri'ye tıklayın.

2. Adım: Politikaya ad verin

  1. Ad: "Harici Taraflar için Kredi Kartını Bloke Et".
  2. Açıklama: Kredi kartı numaralarının harici alıcılara e-posta yoluyla gönderilmesini algılar ve engeller.
  3. İleri'ye tıklayın.

3. Adım: Politikanın uygulanacağı konumları seçin

  1. Konumlar: Bu örnekte e-postalara odaklanacağız. 'Exchange Posta Kutuları'nı etkinleştirin.
    • (İsteğe bağlı) Gerekli lisanslara ve yapılandırmalara sahipseniz "SharePoint Siteleri", "OneDrive Hesapları", "Ekip Mesajları" ve "Cihazlar" (Uç Nokta DLP için) gibi diğer konumları etkinleştirebilirsiniz.
  2. Uygula: Daha ayrıntılı bir kapsam için "Tüm kullanıcılar"ı veya "Belirli kullanıcıları, grupları veya dağıtım gruplarını seç"i seçin.
  3. İleri'ye tıklayın.

4. Adım: Politika ayarlarını özelleştirin

  1. 'Gelişmiş ilke ayarlarını özelleştirin'i seçin.
  2. İleri'ye tıklayın.

Adım 5: Gelişmiş Kişiselleştirme Ayarları

Şablon tarafından oluşturulan varsayılan bir kural göreceksiniz. Hadi düzenleyelim.

  1. Mevcut kurala tıklayın (örneğin, 'ABD mali içeriğini tespit et').
  2. Koşullar: "İçerik şunları içeriyor" koşulunun "Kredi Kartı Numarası" olarak ayarlandığından emin olun (en az sayı 1 ve hassasiyet "Herhangi biri" olmalıdır).
  3. Koşul ekle: "Koşul ekle"yi tıklayın ve "Alıcı" > "Harici"yi seçin.
  4. Eylemler: "Eylemler" bölümünde şunları yapılandırın:
    • Erişimi engelle veya içeriği şifrele: 'Kullanıcıların içeriğe erişmesini engelle (Tümünü engelle)' seçeneğini işaretleyin.
    • Kullanıcı bildirimleri: "Kullanıcıları politika ipucuyla bilgilendir" seçeneğini işaretleyin ve isterseniz mesajı özelleştirin.
    • Kullanıcıyı Geçersiz Kılmalar: (İsteğe bağlı) Kullanıcıların bir gerekçeyle engellemeyi atlamasına olanak tanır. Kredi kartı verileri için genellikle önerilmez.
    • Olay Raporları: "Yöneticilere uyarı gönder" ve "Yöneticilere olay raporu gönder" seçeneğini işaretleyin.
  5. Kaydet'i tıklayın.
  6. İleri'ye tıklayın.

Adım 6: Politika Ayarları

  1. Politika Modu: "Önce Test Et"i (engellemeden etkiyi izlemek için) veya "Şimdi Etkinleştir"i (eylemleri hemen uygulamak için) seçin.
    • İpucu: Etkiyi değerlendirmek ve engellemeyi uygulamadan önce politikayı ayarlamak için her zaman "Önce Test Et" ile başlayın.
  2. İleri'ye tıklayın.

Adım 7: Bitir

  1. Politika özetini inceleyin.
  2. Oluştur'u tıklayın.

4. Uç Nokta DLP'yi Yapılandırma (İsteğe Bağlı, Ancak Önerilen)

Windows ve macOS cihazlarındaki verileri korumak için Endpoint DLP'yi yapılandırmanız gerekir. Bu, USB'ye kopyalama, izin verilmeyen uygulamalara yapıştırma, bulut hizmetlerine yükleme vb. gibi eylemleri izlemenize ve kısıtlamanıza olanak tanır.

  1. Microsoft Purview uyumluluk portalında Veri Kaybını Önleme > Ayarlar'a gidin.
  2. Uç Nokta DLP Ayarları'nı seçin.
  3. 'Cihaz İzleme'nin 'Açık' olduğundan emin olun.
  4. 'İzin verilmeyen etki alanı grupları ve bulut hizmetleri için kısıtlamalar' ve 'İzin verilmeyen uygulamalar için kısıtlamalar'ı yapılandırın.
  5. İzlenecek cihazların uç nokta için Microsoft Defender'a eklenmesi ve DLP konektörünün etkinleştirilmiş olması gerekir [4].

Doğrulama ve Test Etme

DLP politikalarının doğrulanması, bunların beklendiği gibi çalışmasını ve hatalı pozitif sonuçlara yol açmamasını sağlamak açısından kritik öneme sahiptir.

1. E-posta DLP Politikasını Test Etme

  1. Test e-postası oluşturun: Bir e-posta istemcisinde (Outlook Web Uygulaması veya Outlook Masaüstü) yeni bir e-posta oluşturun.
  2. Hassas bilgileri ekleyin: E-postanın gövdesine geçerli bir kredi kartı numarası girin (gerçek olmayan bir test numarası veya simülasyon amaçlı bir test numarası oluşturucu kullanın, örneğin '4111-1111-1111-1111').
  3. Harici bir alıcıya gönder: E-postayı kuruluşunuzun dışındaki bir e-posta adresine gönderin.
  4. Politika ipucuna dikkat edin: Politika test modundaysa kullanıcı, e-postanın hassas bilgiler içerdiğini belirten bir politika ipucu görmelidir.
  5. Raporları kontrol edin: Microsoft Purview uyumluluk portalında Veri Kaybını Önleme > Uyarılar veya Raporlar'a gidin.
    • DLP ilkesi tespiti için bir uyarı oluşturulup oluşturulmadığını kontrol edin.
    • DLP politikası eşleşmeleri raporunu gözden geçirerekalgılanan e-postanın ayrıntıları.

2. Uç Nokta DLP Politikasını Test Etme (yapılandırılmışsa)

  1. Endpoint DLP için Windows yerleşik bir cihazda bir belge oluşturun (örneğin, Word, Not Defteri) ve bir test kredi kartı numarası girin.
  2. Kredi kartı numarasını bir USB cihazına kopyalamayı veya izin verilmeyen bir uygulamaya yapıştırmayı deneyin.
  3. Uç Nokta DLP ilkesi, ayarlara bağlı olarak eylemi engellemeli ve/veya kullanıcıyı bilgilendirmelidir.
  4. Microsoft Purview portalındaki Uç Nokta DLP raporlarını kontrol edin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Kademeli Uygulama: Etkisini anlamak ve engellemeyi uygulamadan önce kuralları hassaslaştırmak için denetim modundaki politikalarla başlayın ("Önce Test").
  • Kullanıcı Eğitimi: Kullanıcıları hassas verilerin ne olduğu, DLP politikalarının neden mevcut olduğu ve ihlallerin nasıl önleneceği konusunda eğitin. Politika ipuçları gerçek zamanlı eğitim için değerli araçlardır.
  • Veri Sınıflandırma: Daha etkili koruma için DLP'yi veri sınıflandırma ve etiketleme (Microsoft Bilgi Koruması) ile birleştirin. DLP politikaları duyarlılık etiketleri tarafından tetiklenebilir.
  • Sürekli İnceleme ve Düzenleme: Veri ortamı ve düzenlemeler değişir. İlgili ve etkili kalmalarını sağlamak için DLP politikalarınızı düzenli olarak gözden geçirin ve ayarlayın.
  • Olay İzleme: İhlal kalıplarını, yüksek riskli kullanıcıları ve korumadaki boşlukları belirlemek için DLP uyarılarını ve raporlarını aktif olarak izleyin.
  • Politika Kapsamı: Politika kapsamında ayrıntılı olun. Yüksek riskli kullanıcı gruplarına veya verilere daha kısıtlayıcı politikalar uygulayın.

Genel Sorun Giderme

  • Yanlış Pozitifler (Uygunsuz Bloklamalar): Meşru e-postalar veya eylemler engelleniyorsa politika koşullarını inceleyin. Örnek sayısını veya TIS hassasiyetini ayarlayın. Güvenilir gönderenler veya etki alanları için istisnalar eklemeyi düşünün (dikkatli olun).
  • Yanlış Negatifler (Hassas Veri Aktarımı): Hassas veriler algılanmıyorsa TIS'nin doğru şekilde yapılandırıldığını ve örnek sayısı ile hassasiyetin yeterli olduğunu doğrulayın. Politikanın doğru konumlara ve kullanıcılara uygulandığından emin olun.
  • Politika İpuçları Görünmüyor: Politikada kullanıcı bildirimlerinin etkin olup olmadığını kontrol edin. E-posta istemcinizin (Outlook) güncel olduğundan ve politika ipuçlarını desteklediğinden emin olun.
  • Uç Nokta DLP Çalışmıyor: Cihazların Uç Nokta için Microsoft Defender'a eklendiğini ve Purview portalında Uç Nokta DLP bağlayıcısının etkinleştirildiğini kontrol edin. Hatalar için cihazdaki olay günlüklerini kontrol edin.
  • Politika Uygulama Gecikmeleri: DLP politikalarının tüm hizmetlere yayılması ve uygulanması biraz zaman alabilir. Birkaç saat bekleyip tekrar test edin.

Sonuç

Microsoft Purview'de Veri Kaybını Önleme (DLP) ilkelerini yapılandırmak, bir kuruluşun hassas bilgilerinin korunmasında ve mevzuat uyumluluğunun sağlanmasında kritik bir adımdır. Microsoft Purview DLP, hassas verilerin birden fazla konumdaki akışını tanımlayarak, izleyerek ve kontrol ederek, şirketlere kazara veya kasıtlı veri sızıntısı riskini azaltma gücü verir. Bir DLP stratejisinin başarılı bir şekilde uygulanması, dikkatli planlamayı, titiz testleri ve kullanıcı eğitimi ve politika iyileştirme konusunda sürekli bir kararlılığı gerektirir. Bu makalede sağlanan araçlar ve rehberlik sayesinde güvenlik ekipleri, kuruluşun en değerli bilgi varlıklarını koruyan sağlam bir savunma oluşturabilir.

Referanslar:

[1] Microsoft Learn. Veri kaybını önleme hakkında daha fazla bilgi edinin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn. Microsoft Purview nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Learn. Veri kaybını önlemek için lisanslama gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn. Korunmaya girişUç nokta veri kaybına karşı koruma sağlayın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started