Office 365 Security & Compliance Center – DLP – Bölüm 2 – Policy Oluşturma
Makalemin ilk bölümünde genel olarak DLP kavramından ve nasıl çalıştığından bahsetmiştim, bu bölümde ise ilk DLP ilkemizi oluşturarak devam edeceğiz.
Herhangi birine sahipseniz DLP kullanabiliyorsunuz. Şimdi Office 365 S&C Center portalına ulaşarak makalemizin teknik bölümüne başlayalım.
Hemen sol bölümden DLP ye tıklıyoruz.
Eğer ilk defa kullanıyorsanız aşağıdaki gibi bir ekran karşınıza çıkacaktır
Öncelikle DLP için kapsamı çok iyi bilmek gerekiyor. Malum bulut üzerine makale yazmak hiç kolay değil çünkü geçen yıl yazdığım makalelere bile bakınca sürekli olarak güncellenen bir platform için sınırları çizmek heyecanlı olabiliyor bazen. Peki bizim için DLP hangi veri merkezlerinde çalışmaktadır;
Exchange Online, SharePoint Online, ve OneDrive for Business için DLP kurallarını yazabiliyoruz. Tabiki bunu kullanan desktop sürüm olan Office programları da DLP desteklmektedir.
Nereden başlıyoruz?
Öncelikle bir Policy oluşturmalıyız ama policy içerisinde neler oluyor?
Location; Korumayı hangi platform için yapmayı planlıyorsunuz. Yani Exchange, Sharepoint veya OneDrive gibi platformların hepsini veya birisini seçebiliyorsunuz.
Conditions; Takip edilecek içerik bilgisidir. Yani TC Kimlik numarası mı, kredi kartı numarası mı, yoksa şirketinizin kullandığı ve size özel belirli sayıdaki harf rakam karışımı bir ID mi. Bunu tanımlayarak DLP’ nin ilgili platformda hangi dokümanları – verileri takip edeceğini belirlemiş oluyorsunuz.
Action: Eğer ilgili platformda ilgili doküman bulunur ise nasıl bir aksiyon alınacağını belirler.
Özetle 3 tane değişken tanımlamak bir policy oluşturmak için yeterlidir.
O zaman hızlıca bir policy oluşturalım
DLP menüsündeki Create a policy linkine tıklayınca yukarıdaki gibi bir ekran sizleri karşılar;
Finans, sağlık veya özel olarak hazırlanmış şablonlardan birisini veya size özel bir policy oluşturma seçeneklerini görüyorsunuz. Ben Custom diyerek ilerliyorum.
Örneğin bizim gibi bir danışmanlık firmasında en önemli şey müşteri erişim bilgileridir, hemen bunun için hızlıca bir DLP policy yazacağım.
Bu bölümde tüm Office 365 bölümleri diyerek ilerleyebilirsiniz, ben eğer olursa tek veya birkaç platform seçmek isterseniz diye ikinci seçenek ile ilerliyorum.
Örneğin Exchange email ve OnDrive bölümünü seçtim, ama dedim ki Sharepoint için bu DLP policy aktif olmasın. Bu bölümde çok güzel bir detay daha var. İsterseniz bu policy için tüm kullanıcılar ama örneğin Hakan hariç, veya Hakan, Ahmet ve Mehmet için bu policy aktif olsun diyebiliyorsunuz.
Yukarıdaki örnekte Exchange için herkes ama Hakan hariç, aşağıdaki bölümde ise sadece bir hesap için bu DLP policy etkin olacak şekilde yapılandırma yapabilirim. Veya deneme amaçlı kim neyi yapıyor görmek için aşağıdaki gibi herkesi seçip devam edebilirsiniz.
Bir sonraki bölüm biraz kritik.
Burada temel olarak neyi aradığımızı belirtmek lazım. Örneğin pasaport numarası arıyorum ama bir defa değil bir dokümanda 10 kez geçer ise gibi bir değişken tanımlama imkanına sahibiz. Temel olarak 3 seçenek var. Öncelikle Find content that contains bölümünde Office 365 ile hali hazırda gelen ve aslında Türkiye özelinde çok işimize yaramayan içeriklerden birisini seçebilirsiniz.
Bunun için öncelikle Edit linkine tıklayın;
Etiket veya hassas veri tipinden seçmek istediğinizi seçin ( Not: Office 365 üzerinde veri etiketlemeyi anlatmıştım, eğer hali hazırda etiketleme kullanıyorsanız bu etiketlerden birini seçerek olurda örnek “şirket içi kullanım” etiketi ile etiketlenmiş bir doküman ise paylaşma, engelle diyebiliyorsunuz).
Ben Sensitive info types bölümü ile ilerliyorum.
Açılan menüden ise Add diyerek hazır gelen şablondan bir tane seçiyorum
Ben arama bölümüne credit yazarak Kredi kartı numarasını seçmiş oldum, siz tüm listeye bakabilirsiniz ama burada örnek bir T.C. kimlik numarası bulamazsınız. Daha çok Amerika, İngiltere gibi kabul görmüş ülkelerin kimlik, vergi, pasaport numarası gibi hazır şablonlar yer almaktadır.
Ekledim done diyerek devam ediyorum.
Son durum yukarıdaki gibidir. Bu arada Add Group diyerek aslında birkaç değişkenin aynı anda bulunduğu durumları da filtrelemiş oluyorsunuz. Örnek Add Group diyerek bu sefer benim önceden kullandığım müşteri verisi etiketini kullanıyorum.
Son durumda hem Kredi kartı içeren hem de etiketi müşteri verisi olan içerikleri seçmiş bulundum. Siz bunu OR ve AND olarak güncelleyebiliyorsunuz. Save diyerek ilerliyoruz.
Hemen bir alt bölümde ise bu DLP kuralının hangi trafiği takip edeceğini seçiyoruz. Yani ilgili dokümanların şirket içerisindeki dolaşımını mı yasaklamak istiyorsunuz yoksa şirket dışına çıkışları mı yasaklamak istiyorsunuz kararından sonra seçiminizi yapıyorsunuz.
Son seçenek Advanced settings için ise makalenin devamını yazacağım.
Peki bu şekilde ilerlersek aşağıdaki gibi bir seçenek karşımıza çıkacak;
Eğer ilgili policy çalışır ise dokumanı göndermek veya paylaşmak isteyen kullanıcıya “tips” yani ip ucu ismini verdiğimiz açıklama yazıları paylaşılacaktır. Hemen bu bölümün altındaki “Customize the tip and email” linkine tıklayarak bu mesajları değiştirebilirsiniz.
Eğer mevcut durumu görmek isterseniz zaten sağ taraftaki “Show me the default tip and email text” linkine tıklayabilirsiniz.
Peki tekrar geri dönersek, hemen altındaki seçenek, olası bu içeriğin bir doküman içerisinde kaç kez görüntülenmesi durumunda aksiyon alınacağıdır. Örnek içerik olarak kredi kartı ve T.C. Kimlik numarası şablonu kullandınız, ancak birisi tek bir kimlik bilgisi gönderir ise DLP çalışmazken içerikte 10 tane kimlik bilgisi var ise bu bir veri sızıntısıdır diyerek aksiyon alır.
Yine bunun hemen altındaki kutucuk sayesinde böyle bir olaydan sistem yöneticilerinin haberi olur.
Son bölümde ise böyle bir durumda şirket içindeki erişim devam ederken şirket dışından sharepoint ve onedrive gibi platformlara (dokümana) erişimi yasaklayabilirsiniz. Veya bu ayarı aşağıdaki gibi siz değiştirebilirsiniz.
Yine bu bölümde bu kurala rağmen kullanıcının “override” dediğimiz kuralı atlatmasına izin verebilirsiniz.
Son olarak kuralı aktif olarak devreye alıyor muyuz? Test mi edeceğiz, yoksa sadece kuralı oluşturup herhangi bir aksiyon almayacak mıyız? Benim size önerim mutlaka test edin, aksi halde büyük organizasyonlarda çok ciddi karışıklıklara neden olabilir.
Son olarak tüm ayarları kontrol edip kuralı tamamlayalım.
Artık bir kuralımız var. Kural kullanımını da makalenin ikinci bölümünde göreceğiz.
Umarım yararlı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.