Office 365 Security & Compliance Center – DLP – Policy Test


Makalemin bir önceki bölümünde temel olarak policy
oluşturma konusundan bahsetmiştim. Policy oluşturmuş ve test olarak kayıt
etmiştik. Öncelikle bu policy için test ortamında neler oluyor bunu bir kontrol
edelim.

İlgili policy üzerine tıklıyoruz;

clip_image002

Durumun “Test with notification” olduğunu görüyoruz.
Yani engelleme olmayacak ama bilgilendirme olacaktır. Bu şekilde devam edebilir
veya edit diyerek makalemin ilk bölümünde bir sonraki bölümde anlatacağım
dediğim Advanced bölümü ile kuralı yeniden yapılandırabilirsiniz.

clip_image004

Öncelikle test ortamından ( yeterince test ettiğinizi
düşünüyorsanız) prod ortama alıyorum.

clip_image006

İlgili policy içerisindeki ayarları değiştirmek için
ise yine Policy Settings bölümünden High ve Low volume ile başlayan linklere
tıklayarak “Edit rule” diyebilirsiniz.

clip_image008

Karşınıza ilk kural oluştururken seçenek olarak sunulan
advanced rule settings bölümü açılır. Buradan tekrar ilkenin ayarlarını
değiştirebilirsiniz. Ben şimdilik bunu yapmıyorum.

Öncelikle benim kuralımın ismi her ne kadar VPN
Bilgileri olsa da aslında kredi kartı bilgilerini kontrol ettiğimi kural
içerisindeki content kısmında rahatlıkla görebiliyoruz. Şimdi makalemin ilk
bölümünü hatırlarsanız bu ilkenin sağlıklı bir şekilde her 3 platformda da
çalışması hatta istemcilere policy tip gibi ip uçlarının çıkması için ortam
veri büyüklüğünüze göre biraz zaman geçmesi gerekebilir. Bende bu iki saat
içerisinde oldu ama daha uzun veya daha kısa olabilir. Özellikle mail
sistemleri için hızlı olmasına karşın çok fazla veri boyutu olan onedrive ve
sharepoint ortamları için daha fazla zaman gereklidir.

Peki şimdi nasıl ilerliyoruz?

Policy tanımladıktan sonra zaten ilke içerisinde olası
bir durumda gönderici ve admin’ e mail gönder gibi seçenekleri makalemin bir
önceki bölümünde tanımlamıştım. İsterseniz bu maillerin gelmesini bekleyebilir,
isterseniz Office 365 panel üzerinden ilkemiz ile çakışan eylemlerin olup
olmadığını kontrol edebiliriz. Bunun için Security & Compliance Center- DLP
bölümüne erişiyoruz.

clip_image010

DLP policy matches kısmından bazı hareketliliklerin
olduğunu görebiliyoruz.

Grafiğin üzerine tıkladığımız zaman aşağıdaki gibi
platform bazında bir rapor alabiliyoruz.

clip_image012

Bunların ne olduğunu öğrenmek istiyorsanız hemen
aşağıdaki link üzerinden detaylara bakabiliriz;

https://protection.office.com/#/viewreports

clip_image013

En alt bölümde DLP policy and rule matches linki var
ona tıklayalım.

clip_image015

Evet gördüğünüz gibi Sharepoint Online ve OneDrive için
eşleşen dokümanlar olduğunu görüyoruz. Grafik üstüne dokunarak alt bölümden bu
dokümanları detaylandırabiliriz.

clip_image016

Evet iki tane doküman olduğunu görüyoruz, her ikisinde
de kredi kartı var, ancak en sağ bölümdeki 1 rakamından bu bilginin ilgili
doküman içerisinde sadece bir kere geçtiğini görebiliyoruz, bu nedenle Action
kısmında sadece policy tip var yani kullanıcı Outlook veya kullandığı platform
üzerinden uyarılmış. Hatırlarsanız DLP ilkesi düzenlerken kaç kez ilgili veri
bir doküman içerisinde geçiyor ise aktif olacağını tanımlıyorduk. Vereceğimiz
rakama göre sistem otomatik olarak o rakama kadar olan bölümler için hazır
ikinci bir kural oluşturuyordu. Yani 10 dediysek High Volume olarak bu kural
aktif iken Low Volume olarak 1-9 tanımlı bir kural oluşuyor ve bu sadece aksiyon
olarak uyarı içermektedir.

Bu rapor ekranı son derece kullanışlıdır, sol bölümde
view tablo diyerek rakamları aşağıdaki gibi tablo görünümünde
alabilirsiniz.

clip_image018

Benzer şekilde sağ bölümde platform, aksiyon vb
filtreleri kullanabilirsiniz

clip_image019

Ya da rapor tarihini istediğiniz gibi
değiştirebilirsiniz.

Buna ek olarak özel rapor tanımlama imkânınız da var.
Bu sayede portal üzerinde gördüğünüz her eylemi csv dosyası olarak
alabilirsiniz.

clip_image020

Burada Create Schedule diyerek oluşturacağınız rapor
aşağıdaki gibi size ulaşacaktır.

clip_image022

clip_image023

Makalemin bu bölümünün sonuna geldik, bir sonraki
bölümde kullanıcı deneyimini göreceğiz.

Kaynak

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/11/office-365-security-compliance-center-dlp-bolum-3-policy-test.aspx