CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Purview ile Veri Kaybı Önleme Analizi: Güvenli Veri Yönetimi

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Purview ile veri kaybı önlemeyi öğrenin. Duyarlılık etiketleri ve DLP politikaları hakkında detaylı bilgi edinin.

Microsoft Purview ile Veri Kaybı Önleme Analizi: Güvenli Veri Yönetimi

Microsoft Purview ile veri kaybı önleme konusunda eğitim alarak, hassas bilgilerinizi korumanın yollarını keşfedin. DLP politikaları ve duyarlılık etiketleri hakkında bilgi edinin.

Giriş ve Konumlandırma

Microsoft Purview ile Veri Kaybı Önleme Analizi: Güvenli Veri Yönetimi

Siber güvenlik alanında veri kaybı önlemenin önemi, dijitalleşmenin hız kazandığı günümüzde daha da artmıştır. Kurumlar, hassas bilgilerin korunması için yeni çözümler arayışında iken Microsoft Purview, veri yönetişimi konusunda sağladığı kapsamlı özelliklerle dikkat çekmektedir. Purview, kurumların veri varlıklarını güvenli bir şekilde yönetmesine, verilerin nerede saklandığını tanımlamasına ve hassas bilgileri koruma altına almasına olanak tanıyan bir çözümdür.

Microsoft Purview Nedir?

Microsoft Purview, kuruluşlara veri yönetişimi ve veri koruma süreçlerini optimize etmeleri için tasarlanmış bir dizi araç ve özellik sunar. Veri kaybı önleme (DLP) stratejileri, bu çözümün önemli bir parçasını oluşturur. DLP politikaları, hassas verilerin izinsiz olarak paylaşılmasını, aktarılmasını veya silinmesini engelleyen kurallardan oluşur. Kurumlar, bu politikalar sayesinde hem yasal düzenlemelere uyum sağlamakta hem de iç tehditleri minimize etmektedir.

Hassas Bilgi Türleri (SIT) ve Duyarlılık Etiketleri

Hassas bilgi türleri (SIT), belirli desenlere dayalı olarak tanımlanan verilerdir. Örneğin, kredi kartı numaraları ya da TC Kimlik numaraları gibi belirli formatta olan bilgiler oldukça kritik veriler arasında yer alır. Microsoft Purview, bu tür bilgilerin otomatik olarak tespit edilmesini sağlar. Bunun yanında, Duyarlılık etiketleri (sensitivity labels) ise verilerin sınıflandırılmasına olanak tanır. Belirli etiketler, belgelere ve e-postalara eklenerek, dosyaların yalnızca yetkili kişilerce erişilmesini sağlar.

Veri Kaybı Önleme Politikaları ve Kapsamı

DLP politikaları, verinin korunmasını sağlamak için geliştirilen kurallar bütünüdür. Bu politikaların kapsamı, Exchange, SharePoint, OneDrive gibi çeşitli Microsoft 365 bileşenlerinde uygulanabilir. Örneğin, bir kullanıcı hassas bir belgeyi paylaşmaya çalıştığında, Uç Nokta DLP (Endpoint DLP) özelliği, bu belgeyi USB bellek veya kişisel bulut depolama alanına kopyalamaya çalıştığında engellemeye yardımcı olur. Bu mekanizmalar, kurumların siber güvenliğini artırmak için kritik öneme sahiptir.

Policy Tips ve İzleme Araçları

Policy Tips, kullanıcıların paylaşacağı hassas verilerle ilgili bir uyarı mesajı almasını sağlar. Kullanıcı, bu uyarıyı alarak paylaşım işlemini tekrar gözden geçirebilir. İzleme araçları, özellikle Activity Explorer, geçmiş olayları zaman çizelgesinde görüntülemeye imkan tanır. Analistler, ihlal edilen verinin türünü izleyerek, kullanıcıyı ve paylaşılan verinin hedefini kontrol ederek olayı inceleyebilir.

Siber Güvenlik ve DLP

Siber güvenlik alanında DLP uygulamaları, penetrasyon testleri (pentest) ve savunma mekanizmalarının etkili bir şekilde yönetilmesine olanak tanır. Kuruluşlar, sürekli değişen tehdit ortamında, veri kaybını önlemek için DLP politikalarını geliştirirken, aynı zamanda çalışanlarına bu politikaların önemini öğretmek zorundadır. Eğitim programları ve farkındalık çalışmaları, siber saldırıları minimize etmede önemli bir rol oynamaktadır.

Sonuç

Microsoft Purview, veri kaybı önleme stratejilerinin uygulanmasında etkin bir çözüm sunarak, veri yönetişimi alanında güvenlik sağlamakta önemli bir rol oynamaktadır. DLP politikalarıyla birlikte hassas bilgilerin korunması, her organizasyon için hayati öneme sahiptir. Kurumlar, doğru uygulama ve araçlar ile siber güvenlik açıklarını azaltabilir ve sağlam bir veri yönetimi yapısı oluşturabilirler. Bu yazıda ele alınan konular, daha derinlemesine analizler ve en iyi uygulamalar ile genişletilecektir.

Teknik Analiz ve Uygulama

Microsoft Purview ile Veri Kaybı Önleme (DLP) Analizi: Güvenli Veri Yönetimi

Microsoft Purview Nedir?

Microsoft Purview, veri yönetişimi için kapsamlı bir çözüm sağlayan bir platformdur. Bu platform, kurumların veri varlıklarını yönetmesine, verilerin nerede saklandığını keşfetmesine ve hassas bilgileri korumasına olanak tanır. Purview, verilerin otomatik olarak sınıflandırılmasına yardımcı olurken, aynı zamanda veri yönetimi süreçlerini basitleştirir. Özellikle, Hassas Bilgi Türleri (SIT) ile belirli desenlere dayalı verilerin tanımlanması ve yönetilmesi, bu sistemi güçlendiren önemli bir özelliktir.

Hassas Bilgi Türleri (SIT)

Hassas Bilgi Türleri (Sensitive Information Types - SIT), örneğin kredi kartı numaraları, TC Kimlik Numaraları gibi belirli desenlere dayalı veri tanımlarıdır. Bu tür bilgilerin etkili bir şekilde yönetilmesi için Purview, yapılandırılmış ve yapılandırılmamış verilerin tespiti için farklı teknolojiler kullanır. DLP politikaları çerçevesinde belirli kurallar oluşturularak bu bilgi türlerinin izlenmesi sağlanır.

Duyarlılık Etiketleri (Sensitivity Labels)

Duyarlılık etiketi uygulamaları, belirli verilerin önem derecesini belirlemeye ve bu verilere göre güvenlik önlemleri almaya olanak tanır. Microsoft Purview, belgeler ve e-postalar üzerinde görsel işaretler eklemeye ve dosyaların sadece yetkili kişilerce açılmasını sağlayacak şifreleme işlemlerini yürütmeye olanak tanır. Örnek bir duyarlılık etiketi uygulaması şöyle olabilir:

- Duyarlılık Seviye 1: Genel
- Duyarlılık Seviye 2: İç
- Duyarlılık Seviye 3: Gizli
- Duyarlılık Seviye 4: Çok Gizli

Yukarıdaki uygulama ile, kullanıcılar hangi verilerin hangi seviyede koruma gerektirdiğini kolayca anlayabilirler.

DLP (Data Loss Prevention) Politikaları

DLP politikaları, hassas verilerin izinsiz paylaşımını, aktarımını veya silinmesini engellemek amacıyla oluşturulan kurallar setleridir. Microsoft Purview, bu politikaların uygulanacağı Microsoft 365 alanlarını destekler:

  • Exchange
  • SharePoint & OneDrive
  • Teams

Bu alanlarda uygulanan DLP politikaları, kullanıcıların hassas bilgilerle işlem yaparken dikkatli olmalarını sağlar ve veri ihlallerini en aza indirir.

DLP Kapsamı (Scopes)

DLP politikalarının kapsamı, uygulamalar, kullanıcı grupları ve veri türleri gibi çeşitli faktörler üzerinden belirlenebilir. Bir DLP politikası oluştururken aşağıdaki gibi alanlar tanımlanabilir:

- Politika Kapsamı: 
   - Tüm Kullanıcılar
   - Belirli Departmanlar

Bu kapsam, DLP'nin etkinliğini artırarak, hedeflenen kullanıcı ve veri setlerine özel koruma sağlar.

Uç Nokta DLP (Endpoint DLP)

Endpoint DLP, hassas dosyaların USB bellekler, kişisel bulut depolama veya yazdırma gibi uç noktalara aktarımını denetler. Bu, kullanıcıların işlem yaparken hassas verileri BTC gibi ortamlar üzerinden nasıl yönetebileceğini gözlemlemekte önemli bir rol oynar. Aşağıda, bir uç nokta DLP politikası tanımını görebilirsiniz:

- Uç Nokta DLP Politika Tanımı: 
   - USB cihazlarına veri aktarımı engellenecek.
   - Yazdırma işlemleri belirli kullanıcılara kısıtlanacak.

Policy Tips (Politika İpuçları)

Kullanıcı, hassas bir veri paylaşmaya çalıştığında, henüz işlem gerçekleşmeden müdahale etme potansiyeline sahip olan uyarı mesajlarına "Policy Tips" denir. Bu ipuçları, kullanıcıları veri kaybı risklerine karşı uyarmakta etkilidir. Örneğin, bir kullanıcı bir kişiye hassas bir belgeyi e-posta ile göndermeye çalıştığında, sistem ona aşağıdaki gibi bir uyarı gösterebilir:

"Bu belge gizli bilgi içeriyor. Göndermeden önce kontrol ediniz."

İzleme Araçları: Activity Explorer

Purview içindeki "Activity Explorer" aracı, etiketleme, DLP eşleşmesi veya kural ihlali gibi tarihsel olayları zaman çizelgesinde sunan bir raporlama ve analiz aracıdır. Bu araç, siber güvenlik analistlerine veri yönetiminde etkin bir görünürlük sağlarken, gereken durumlarda müdahale etmelerine olanak tanır.

SOC Analizi ve Müdahale

DLP ihlalleri sonucu oluşan uyarıların incelendiği alan "Alert Management" olarak adlandırılır. Burada SOC analistleri, ihlal edilen verinin türünü, kullanıcıyı ve verinin hedefini kontrol ederek olayların altında yatan gerekçeleri analiz eder. Bu süreç, siber güvenlik protokollerinin optimize edilmesine ve tehditlerin hızla etkisiz hale getirilmesine yardımcı olur.

Adaptive Protection (Uyarlanabilir Koruma)

Son olarak, "Adaptive Protection", büyük veri güvenliğini dinamik bir şekilde yönetirken siber saldırılara karşı koruma sağlar. Insider Risk Management verilerini kullanarak yüksek riskli kullanıcıların DLP kısıtlamalarının otomatik olarak sıkılaştırılması, bu özelliğin önemli bir katkısını teşkil eder. Bu uygulama sayesinde, kurum içindeki tehditler daha etkin bir şekilde tespit ve yönetilebilir.

Microsoft Purview, veri kaybını önlemek için gerekli araçlar, politikalar ve sistemler sunarak güvenli veri yönetimini sağlamaktadır. Bu sayede kuruluşlar, hassas verileri korumanın yanı sıra siber güvenlik risklerini de minimize edebilirler.

Risk, Yorumlama ve Savunma

Microsoft Purview, organizasyonların veri yönetimini sağlamlaştırmak ve hassas bilgilerini korumak için kapsamlı bir çözüm sunan bir platformdur. Bu bağlamda, veri kaybı önleme (DLP) analizi büyük bir önem taşır. DLP politikaları, yanlış yapılandırmalar veya güvenlik açıkları nedeniyle hassas bilgilerin sızması riskini azaltmak için kilit bir rol oynar. Bu bölümde, elde edilen bulguların güvenlik anlamı, yanlış yapılandırmaların etkileri, veri sızıntısı ve alınacak önlemler ele alınacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

DLP politikalarının etkin bir şekilde uygulanması, uygulama alanlarına göre hassas bilgilerin yönetimini sağlar. Duyarlılık etiketleri (Sensitivity Labels) kullanılarak, belirli veri türlerine yönelik olan hassas veriler tanımlanabilir. Bu etiketler, verilerin depolandığı yerleri, kimlerin erişebileceğini ve bu verilere yönelik kuralları belirler. Örneğin, bir finansal veri seti, yalnızca finans departmanı çalışanlarının erişebileceği şekilde etiketlenebilir.

Purview, verilerin izlenmesine yardımcı olan araçlar sunarak, olası veri sızıntılarını tespit edilmesine olanak tanır. Activity Explorer gibi araçlar, düzenli olarak veri etiketleme ilerlemesini ve DLP politika ihlallerini analiz eder. Bu süreç, belirlenen sınırları aşan veya geçersiz erişim sergileyen kullanıcıların analiz edilmesiyle potansiyel riskleri önceden tespit etmek için kritik öneme sahiptir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, veri güvenliği üzerinde önemli etkilere yol açabilir. Örneğin, DLP politikalarının yanlış tanımlanması, hassas bilgilerin yetkisiz kişilere açılmasına neden olabilir. Ayrıca, bazı hizmetlerin veya sistemlerin konfigürasyon hataları, dışarıya veri sızdırma riskini artırır. Örnek olarak, bir SharePoint dosyasının yanlış bir izin ayarıyla paylaşıma açılması, kuruluş için büyük tehlikeler oluşturabilir.

Bir zafiyet durumunda, sızan verilerin türü ve etkisi değerlendirilmelidir. Sensitive Information Types (SIT) kullanılarak belirli desenlere dayalı veriler, örneğin bir kredi kartı numarası veya TCKN gibi bilgiler olabilir. Bu tür bilgilerin sızması, müşterilerin güvenini sarsmakta ve yasal yaptırımlara sebep olabilmektedir.

Aşağıda, yanlış yapılandırılmış bir DLP politikasının örnek bir gösterimini bulabilirsiniz:

DLP_Policy:
  Name: "Hassas Veri Koruma"
  Description: "Kredi kartı bilgileri için koruma"
  Rules:
    - Type: "Sensitive Information Type"
      Value: "Kredi Kartı Numarası"
      Action: "Blokla"
      Alert: "E-posta uyarısı gönder"

Yukarıdaki YAML yapılandırması, kredi kartı numarası içeren verilerin belirli durumlarda bloklanmasını ve bu durumun analiz edilmesi için bir uyarı gönderilmesini sağlamaktadır.

Sızma Analizi: Topoloji ve Servis Tespiti

Sızan verinin analizi yapıldığında, veri topolojisi ve hizmetlerin belirlenmesi önemlidir. Verinin hangi sistemlerden veya servislere sızdığı, ekiplerin müdahale şeklini etkiler. DLP politikaları sayesinde, Exchange, SharePoint, OneDrive ve Teams gibi çeşitli platformlarda veri akışları izlenebilir hale gelir. Bu durum, veri akışlarının gerektiğinde durdurulmasını veya yönlendirilmesini sağlar.

Bu analizlerin ardından, potansiyel riskler belirlenerek, Insider Risk Management unsurlarıyla birlikte yüksek riskli kullanıcılar için DLP kısıtlamalarının arttırılması sağlanabilir. Adaptive Protection ile entegre bir şekilde, bu kullanıcılar için otomatik olarak daha sıkı kurallar devreye sokulabilir.

Uygulanabilir Önlemler ve Hardening Önerileri

Veri güvenliğini artırmak için profesyonel önlemler ve hardening önerileri şunları içermelidir:

  1. DLP Politikalarının Düzenli Olarak Gözden Geçirilmesi: DLP politikalarının etkinliğinin düzenli olarak kontrol edilmesi, yanlış yapılandırmaları önlemek için kritiktir.
  2. Duyarlılık Etiketlerinin Kullanımı: Verilerin doğru sınıflandırılması, sadece gerekli kişiler tarafından erişilmesini sağlar.
  3. Eğitim ve Farkındalık Programları: Çalışanların, veri güvenliği konusundaki farkındalığını artırmak, iç tehditlerin önlenmesine yardımcı olacaktır.
  4. Devamlı İzleme: Activity Explorer ve benzeri araçlarla sürekli izleme sağlanarak, olası ihlallerin anında tespiti ve müdahale sağlanmalıdır.

Sonuç

Microsoft Purview ile veri kaybı önleme sürecinde, elde edilen bulguların analizi, yanlış yapılandırmaların terkibi ve veri sızıntılarına karşı alınacak önlemler kritik bir öneme sahiptir. Bu süreçlerin etkin bir şekilde yönetilmesi için sürekli izleme, eğitim ve politikaların gözden geçirilmesi gerekmektedir. Güvenli veri yönetimi için, proaktif yaklaşımlar benimsemek, kuruluşların veri güvenliğini sağlamak adına büyük bir adım olacaktır.