Office 365 Security & Compliance Center – DLP – Bölüm 3 – Policy Test
Makalemin bir önceki bölümünde temel olarak policy oluşturma konusundan bahsetmiştim. Policy oluşturmuş ve test olarak kayıt etmiştik. Öncelikle bu policy için test ortamında neler oluyor bunu bir kontrol edelim.
İlgili policy üzerine tıklıyoruz;
Durumun “Test with notification” olduğunu görüyoruz. Yani engelleme olmayacak ama bilgilendirme olacaktır. Bu şekilde devam edebilir veya edit diyerek makalemin ilk bölümünde bir sonraki bölümde anlatacağım dediğim Advanced bölümü ile kuralı yeniden yapılandırabilirsiniz.
Öncelikle test ortamından ( yeterince test ettiğinizi düşünüyorsanız) prod ortama alıyorum.
İlgili policy içerisindeki ayarları değiştirmek için ise yine Policy Settings bölümünden High ve Low volume ile başlayan linklere tıklayarak “Edit rule” diyebilirsiniz.
Karşınıza ilk kural oluştururken seçenek olarak sunulan advanced rule settings bölümü açılır. Buradan tekrar ilkenin ayarlarını değiştirebilirsiniz. Ben şimdilik bunu yapmıyorum.
Öncelikle benim kuralımın ismi her ne kadar VPN Bilgileri olsa da aslında kredi kartı bilgilerini kontrol ettiğimi kural içerisindeki content kısmında rahatlıkla görebiliyoruz. Şimdi makalemin ilk bölümünü hatırlarsanız bu ilkenin sağlıklı bir şekilde her 3 platformda da çalışması hatta istemcilere policy tip gibi ip uçlarının çıkması için ortam veri büyüklüğünüze göre biraz zaman geçmesi gerekebilir. Bende bu iki saat içerisinde oldu ama daha uzun veya daha kısa olabilir. Özellikle mail sistemleri için hızlı olmasına karşın çok fazla veri boyutu olan onedrive ve sharepoint ortamları için daha fazla zaman gereklidir.
Peki şimdi nasıl ilerliyoruz?
Policy tanımladıktan sonra zaten ilke içerisinde olası bir durumda gönderici ve admin’ e mail gönder gibi seçenekleri makalemin bir önceki bölümünde tanımlamıştım. İsterseniz bu maillerin gelmesini bekleyebilir, isterseniz Office 365 panel üzerinden ilkemiz ile çakışan eylemlerin olup olmadığını kontrol edebiliriz. Bunun için Security & Compliance Center- DLP bölümüne erişiyoruz.
DLP policy matches kısmından bazı hareketliliklerin olduğunu görebiliyoruz.
Grafiğin üzerine tıkladığımız zaman aşağıdaki gibi platform bazında bir rapor alabiliyoruz.
Bunların ne olduğunu öğrenmek istiyorsanız hemen aşağıdaki link üzerinden detaylara bakabiliriz;
https://protection.office.com/#/viewreports
En alt bölümde DLP policy and rule matches linki var ona tıklayalım.
Evet gördüğünüz gibi Sharepoint Online ve OneDrive için eşleşen dokümanlar olduğunu görüyoruz. Grafik üstüne dokunarak alt bölümden bu dokümanları detaylandırabiliriz.
Evet iki tane doküman olduğunu görüyoruz, her ikisinde de kredi kartı var, ancak en sağ bölümdeki 1 rakamından bu bilginin ilgili doküman içerisinde sadece bir kere geçtiğini görebiliyoruz, bu nedenle Action kısmında sadece policy tip var yani kullanıcı Outlook veya kullandığı platform üzerinden uyarılmış. Hatırlarsanız DLP ilkesi düzenlerken kaç kez ilgili veri bir doküman içerisinde geçiyor ise aktif olacağını tanımlıyorduk. Vereceğimiz rakama göre sistem otomatik olarak o rakama kadar olan bölümler için hazır ikinci bir kural oluşturuyordu. Yani 10 dediysek High Volume olarak bu kural aktif iken Low Volume olarak 1-9 tanımlı bir kural oluşuyor ve bu sadece aksiyon olarak uyarı içermektedir.
Bu rapor ekranı son derece kullanışlıdır, sol bölümde view tablo diyerek rakamları aşağıdaki gibi tablo görünümünde alabilirsiniz.
Benzer şekilde sağ bölümde platform, aksiyon vb filtreleri kullanabilirsiniz
Ya da rapor tarihini istediğiniz gibi değiştirebilirsiniz.
Buna ek olarak özel rapor tanımlama imkânınız da var. Bu sayede portal üzerinde gördüğünüz her eylemi csv dosyası olarak alabilirsiniz.
Burada Create Schedule diyerek oluşturacağınız rapor aşağıdaki gibi size ulaşacaktır.
Makalemin bu bölümünün sonuna geldik, bir sonraki bölümde kullanıcı deneyimini göreceğiz.