Author: Ali Koc

Günümüzün dijital dünyasında, hassas verilerin korunması işletmeler için hayati önem taşımaktadır. Özellikle finansal, sağlık, ve kamu hizmetleri gibi sektörlerde veri güvenliği, yalnızca yasal bir zorunluluk değil, aynı zamanda itibarın korunması için de kritik bir unsurdur. Bu yazıda, Microsoft Purview’un Exact Data Match (EDM) Classifier özelliğini ele alarak, hassas verilerin nasıl daha etkili bir şekilde korunabileceğine dair derinlemesine bir bakış sunacağız.

Microsoft Purview Veri Kaybı Önleme (DLP) politikalarını veya Microsoft Purview Bilgi Koruması otomatik etiketleme politikalarını yapılandırırken Hassas Bilgi Türlerinden (SIT’ler) yararlanmak çok önemlidir.

SIT’ler, metindeki belirli kalıpları tanıyarak hassas verileri tanımlamada önemli bir rol oynar . Bu kalıplar, anahtar sözcükler, karakter yakınlığı ve güven düzeyleri gibi kanıtlarla desteklenir

Genel kalıplar yerine tam veya tama yakın veri değerlerine odaklanan özel bir Hassas Bilgi Türüne duyulan ihtiyacı göz önünde bulundurduğunuzda , Microsoft Purview güçlü bir çözüm sunuyor: Exact Data Match (EDM) tabanlı sınıflandırma.

EDM Classifier Nedir ve Neden Önemlidir?

Microsoft Purview EDM Classifier, hassas verilerin tespiti ve korunması için geliştirilmiş bir sınıflandırma aracıdır. Geleneksel sınıflandırma yöntemlerinden farklı olarak, EDM Classifier, yapılandırılmış veri kümeleri üzerinden tam eşleşmeleri belirleyebilir. Bu özellik, özellikle veri sızıntısı riskini en aza indirmek ve uyumluluk gereksinimlerini karşılamak için büyük bir avantaj sağlar.

EDM Classifier’ın temel farkı, sadece belirli bir veri yapısının veya düzeninin tespit edilmesine değil, aynı zamanda bu verinin tam bir eşleşme olup olmadığının kontrol edilmesine dayanır. Örneğin, bir sosyal güvenlik numarası veya kredi kartı numarası, yalnızca formatı tanımlanarak değil, aynı zamanda o numaranın kesin bir eşleşme olup olmadığı kontrol edilerek sınıflandırılabilir.

EDM Classifier Nasıl Çalışır?

EDM Classifier’ın çalışmasını anlamak için birkaç temel adımı inceleyebiliriz:

1. Data Set’lerin Hazırlanması: EDM Classifier kullanımı için ilk adım, hassas olarak tanımlamak istediğiniz verilerin bulunduğu yapılandırılmış bir data set hazırlamaktır. Bu data setler, genellikle CSV formatında olan ve hassas verileri (örneğin, müşteri kimlik numaraları, sağlık kayıtları) içeren bir dosya olabilir.
2. Hashleme ve Yükleme: Hazırlanan veri kümesi, EDM şeması oluşturulmadan önce hash algoritmaları kullanılarak şifrelenir. Bu süreç, verilerin yalnızca tam eşleşme durumunda tanımlanmasını sağlar ve veri güvenliğini artırır. Hashlenmiş veri kümesi, Microsoft Purview portalına yüklenir ve EDM şeması oluşturulur.
3. EDM Şeması Oluşturma ve Yayınlama: Microsoft Purview’da yeni bir EDM şeması oluşturduktan sonra, bu şema, şirketin veri yönetim stratejisine uygun olarak yapılandırılır ve yayına alınır. Yayına alındıktan sonra, bu şema, veri sınıflandırma ve koruma politikalarında aktif olarak kullanılabilir.
4. Poliçelerin Uygulanması ve İzleme: EDM Classifier etkinleştirildikten sonra, organizasyonun veri koruma politikalarına uygun olarak çeşitli veri kaynağı ve depolama alanlarında izleme ve politikalar uygulanır. Bu politikalar, hassas verilerin belirlenen kurallara göre sınıflandırılmasını ve korunmasını sağlar.

EDM Classifier kullanmanın bir dizi önemli avantajı vardır:

• False Positive Oranının Düşürülmesi: Geleneksel sınıflandırma yöntemleri, bazen hassas olmayan verileri yanlışlıkla hassas olarak sınıflandırabilir. EDM, yalnızca tam eşleşmeler üzerine kurulu olduğu için yanlış pozitif oranını büyük ölçüde azaltır.
• Yüksek Güvenlik ve Gizlilik: Veri kümesinin hashlenmiş haliyle çalıştığı için, verilerin kendisi asla açığa çıkmaz. Bu, veri güvenliği ve gizliliği açısından kritik bir avantajdır.
• Uyumluluk Kolaylığı: Birçok sektör, düzenleyici gereksinimlere uyum sağlamak zorundadır. EDM Classifier, belirli veri türlerinin korunmasını sağlayarak bu uyumluluğu destekler.

Örneğin bir bankacılık kuruluşunun, müşteri hesap numaralarının kuruluşun sınırları dışında paylaşılmasını engellemesi gerekir. Müşteri banka hesap kayıtlarına dayalı tam eşleşme araması yapmak için Exact Data Match (EDM) tabanlı hassas bilgi türünü yapılandırırlar.

Müşteri hesabı EDM hassas bilgi türü, hesap numarasını, hesap türünü ve müşteri bilgilerini (ad, e-posta adresi, telefon numarası) algılamak üzere yapılandırılmıştır. Office 365 ve Microsoft Cloud App Security DLP ilkeleri, müşteri hesabı EDM hassas bilgi türünü içeren içeriğin paylaşımını algılamak ve engellemek üzere yapılandırılmıştır. Bu sayede kullanılan EDM ile SIT’ler belirlenerek ortamda kullanılabilir.

EDM Classifier Kurulum ve Yapılandırma İşlemleri

Lisans Gereksinimleri

Gelişmiş bir sınıflandırma yeteneği olarak, EDM aşağıdaki aboneliklerde bir hak olarak yer almaktadır:

• Ofis 365 E5
• Microsoft 365 E5
• Microsoft 365 Compliance
• Office 365 Advanced Compliance

‘de açıklanan görevleri gerçekleştirmek için Global Administrator, Compliance Administrator veya Exchange Online Administrator olmanız gerekir. DLP izinleri hakkında daha fazla bilgi edinmek için  İzinler bölümüne bakabilirsiniz.

Microsoft Purview’da EDM sınıflandırıcısını oluşturun

Microsoft Purview > Data Classification > Classification> EDM Classification Creating

• Bir ad ve açıklama girin
• Örnek dosyayı yükleyin (şemayı otomatik olarak tanımlar)
• VEYA: Şemayı manuel olarak tanımlayın
• Yüklenen verileri ve sütun adlarını doğrulayın
• Birincil öğeyi belirtin (en fazla 10)
  • Benzersiz olan birincil öğeleri seçin: örneğin: SSN, adlar veya doğum tarihi değil
• Verilerin büyük/küçük harfe duyarlı olup olmadığını veya ayırıcıları yoksaymak isteyip istemediğinizi belirtin
• 2 kural Yüksek ve Orta güvenirlikle otomatik olarak oluşturulur
  • Gerekirse kuralları özelleştirin
• EDM sınıflandırıcı oluşturulduktan sonra, açılır menüden şema adını not edin (Adım 5’te kullanılır)

Not: M365’te ‘Güvenlik’ grubunu oluşturun: EDM_DataUploaders. Bu Güvenlik grubuna veriyi karma haline getirecek ve yükleyecek üyeleri ekleyin.

Data Setlerinizi oluşturun ve CSV formatında kaydedin. Veri kümesinde bulunan her sütun, sınıflandırılacak hassas veri türlerini temsil etmelidir. Örneğin, müşteri adları, kredi kartı numaraları veya sosyal güvenlik numaraları

Örnek yükleme dosyası sütunlarının gerçek/son yükleme dosyasında kullanılan sütunlarla eşleşmesi gerekir. Kaynak verileri CSV veya TSV biçiminde toplanmalıdır.

Örnek dosyayı 2,5 MB’ın altında tutulmalıdır. Gerçek yükleme dosyası için sınırlar şunlardır:

• 100 milyon satıra kadar hassas veri
• Veri kaynağı başına 32 sütuna (alan) kadar
• Aranabilir olarak işaretlenmiş en fazla on sütun (alan)

Oluşturulan Data Set’i yükleyebiliriz.

Hashleme Süreci Verilerinizin güvenliğini sağlamak için, EDM şemanıza yüklemeden önce verilerinizi hashleyin. Microsoft Purview, bu hashleme sürecini otomatik olarak yönetebilir veya bu işlemi manuel olarak da yapabilirsiniz.

Aşağıdaki adımlar örnek bir dizin konumu kullanır, kesinlikle takip edilmesi gerekmez. Bu süreç, cihazları hazırlamak ve yetkilendirmek için tek seferlik bir kurulumdur

• Bir dizin oluşturun: C:\EDM
• Şu dizinde bir klasör oluşturun: C:\EDM\Hash
  • Karma verileriniz otomatik olarak burada oluşturulur
• Şu dizinde bir klasör oluşturun: C:\EDM\Data
  • Düz metin yükleme dosyanızı buraya yerleştirin
• PowerShell’i yönetici olarak çalıştırın, dizini EDM yükleme aracı konumuna değiştirin ve aşağıdakileri çalıştırın (Unutmayın: PowerShell’de, yürütülebilir bir dosyayı çalıştırmanız gerekiyorsa her komuttan önce bir nokta ve eğik çizgi eklemeniz gerekir)
  • EdmUploadAgent.exe /Yetkilendir
  • Kimlik doğrulaması yapmanız istenecektir, bu hesabın daha önce oluşturulan M365 Güvenlik grubuna eklendiğinden emin olun (Adım 3’e bakın)
• Şemanızı indirin, XML dosyasının adını not edin (Adım 6’da kullanılacak)
  • EdmuploadAgent.exe /SaveSchema /DataStoreName <şema adıyla değiştirin> /OutputDir c:\EDM\Data\

Şemayı Yayınlayın ve Politika Tanımlayın Şemanızı yayına aldıktan sonra, bu şema üzerinden politikalar oluşturun. Bu politikalar, belirli veri kümelerinin nasıl izleneceğini ve korunacağını belirler.

Sürekli İzleme ve Optimizasyon EDM şemanızın ve politikalarınızın etkinliğini düzenli olarak izleyin. Gerektiğinde veri kümenizi güncelleyerek ve şemanızı optimize ederek EDM’nin hassas veri koruma yeteneklerini en üst düzeye çıkarın.

EDM Neden Önemlidir ?

• Düzenli Veri Güncellemesi: Veri kümeleri zamanla değişebilir, bu nedenle EDM şemanızı düzenli olarak güncellemek, sınıflandırma doğruluğunu artırmak için önemlidir.
• Sıkı Uyumluluk Kontrolleri: Düzenleyici gereksinimlerin sürekli değiştiği bir dünyada, EDM politikalarınızı düzenli olarak gözden geçirmek ve güncellemek esastır.
• Eğitim ve Farkındalık: Çalışanlarınıza EDM Classifier ve veri güvenliği politikaları hakkında eğitim verin. Bu, organizasyon genelinde veri güvenliği bilincini artıracaktır.

EDM işlevselliğini uyumluluk çerçevenize sorunsuz bir şekilde entegre ederek , kuruluşlar veri yönetimi stratejilerini güçlendirebilir , riskleri azaltabilir ve paydaşlarla güven oluşturabilir. GDPR kapsamında bireysel gizlilik haklarını korumaya yönelik proaktif bir bağlılık gösteren EDM , kuruluşların hassas verileri doğru ve güvenli bir şekilde işlemesini sağlar .

Microsoft Purview EDM Classifier, hassas verilerin korunmasında güçlü bir araçtır. Tam eşleşme yöntemiyle çalışan bu özellik, yanlış pozitifleri en aza indirir ve veri güvenliğini artırır. Organizasyonlar, EDM Classifier kullanarak veri sızıntılarına karşı daha etkin bir koruma sağlayabilir ve düzenleyici gereksinimlere uyumlarını sürdürebilir. Sonuç olarak, EDM Classifier, Microsoft Purview’un veri yönetimi stratejisinin ayrılmaz bir parçasıdır ve hassas verilerin korunmasında önemli bir rol oynar.

Sevgiler

Veri güvenliği ve uyumluluk, modern işletmelerin en kritik önceliklerinden biridir. Microsoft Information Barriers, bu konuda yenilikçi bir çözüm sunarak kuruluşların belirli kullanıcı grupları arasında iletişim ve işbirliğini sınırlandırmasına olanak tanır. Bu özellik, özellikle finansal hizmetler, sağlık hizmetleri ve diğer yüksek düzenlemeli sektörler için büyük önem taşır. Peki, Microsoft Information Barriers nedir ve nasıl çalışır?

Microsoft Information Barriers, Microsoft 365 içerisinde sunulan bir güvenlik ve uyumluluk özelliğidir. Bu özellik, belirli kullanıcı grupları arasında iletişimi ve veri paylaşımını sınırlayarak, hassas bilgilerin yetkisiz erişim ve paylaşımını önlemeyi amaçlar.

• Potansiyel Çıkar Çatışmalarını Önleme: Kuruluş içerisinde belirli departmanlar arasında bilgi akışını sınırlayarak, çıkar çatışmalarını önler.
• Düzenleyici Uyumluluğu Sağlama: Finansal ve sağlık hizmetleri gibi sıkı düzenlemelere tabi sektörlerde, bilgi akışını kontrol ederek uyumluluğu sağlar.
• Veri Güvenliğini Artırma: Hassas bilgilerin yanlış ellere geçmesini önleyerek veri güvenliğini artırır.

Nasıl Çalışır?

Microsoft Information Barriers, belirli kullanıcılar veya gruplar arasında iletişimi sınırlandıran politikalar oluşturmanıza olanak tanır. Bu politikalar, Microsoft Teams, SharePoint, OneDrive ve Exchange gibi Microsoft 365 uygulamalarında geçerlidir. Information Barriers, aşağıdaki adımlarla uygulanır:

Politika Tanımlama: Yönetici, hangi kullanıcı gruplarının birbirleriyle iletişim kurabileceğini veya kuramayacağını belirleyen politikaları tanımlar.

Uygulama: Tanımlanan politikalar, Microsoft 365 hizmetlerine entegre edilerek, belirli kullanıcılar arasında iletişimi sınırlandırır.

İzleme ve Denetleme: Politikaların etkili bir şekilde uygulandığını ve düzenlemelere uyulduğunu doğrulamak için izleme ve denetleme araçları kullanılır.

Information Barriers politikaları uygulandığında, diğer belirli kullanıcılarla iletişim kurmaması veya dosya paylaşmaması gereken kişiler bu kullanıcıları bulamaz, seçemez, sohbet edemez veya arayamaz. Bilgi bariyerleriyle, yetkisiz iletişimi ve iş birliğini önlemek için kontroller uygulanır.

Information Barriers, Microsoft Teams (sohbetler ve kanallar), SharePoint Online ve OneDrive için geçerlidir. Microsoft Teams’de, bilgi engeli politikaları aşağıdaki türden yetkisiz iletişimleri belirler ve engeller;

• Searching for a user
• Adding a member to a team
• Starting a chat session with someone
• Starting a group chat
• Inviting someone to join a meeting
• Sharing a screen
• Placing a call
• Sharing a file with another user
• Access to file through sharing link

İlgili kişiler etkinliği engellemek için bir Information Barriers politikasına dahil edilirse, devam edemezler. Ayrıca, potansiyel olarak, bir Information Barriers politikasına dahil edilen herkes Microsoft Teams’de başkalarıyla iletişim kurmaktan engellenebilir. Bilgi bariyeri politikalarından etkilenen kişiler aynı ekibin veya grup sohbetinin parçası olduğunda, bu sohbet oturumlarından kaldırılabilir ve grupla daha fazla iletişime izin verilmeyebilir.

Required licenses

• Microsoft 365 E5/A5 subscription
• Office 365 E5/A5/A3/A1 subscription
• Office 365 Advanced Compliance add-on
• Microsoft 365 E3/A3/A1 subscription + the Microsoft 365 E5/A5 Compliance add-on
• Microsoft 365 E3/A3/A1 subscription + the Microsoft 365 E5/A5 Insider Risk Management add-on

Kullanım Senaryoları

Finansal Hizmetler

Bir finans kuruluşu, yatırım bankacılığı ve perakende bankacılık departmanları arasında bilgi paylaşımını sınırlayarak, içeriden bilgi sızmasını önleyebilir. Bu, çıkar çatışmalarını ve düzenleyici ihlalleri önlemek için kritik bir adımdır.

Sağlık Hizmetleri

Bir sağlık hizmeti sağlayıcısı, hasta bilgilerini sadece yetkili tıbbi personel ve bakım ekipleriyle sınırlı tutarak, hasta mahremiyetini ve veri güvenliğini sağlar.

Hukuk Firmaları

Bir hukuk firması, farklı davalarda çalışan ekipler arasında bilgi akışını sınırlayarak, müvekkil gizliliğini koruyabilir ve çıkar çatışmalarını önleyebilir.

Information barrıers polıcy nasıl devreye alınır ?

Powershell ile Devreye Alma;

PowerShell Modülünü Yükleme ve Bağlanma

Öncelikle, Microsoft 365 Compliance PowerShell modülünü yükleyin:

Connect-IPPSSession -UserPrincipalName <your-admin-email>

Information Barrier Segmentleri Oluşturma

Information Barrier segmentlerini tanımlayın. Örneğin, “InvestmentBanking” ve “RetailBanking” segmentlerini oluşturabilirsiniz:

New-OrganizationSegment -Name "InvestmentBanking" -UserGroupFilter "(Department -eq 'InvestmentBanking')"
New-OrganizationSegment -Name "RetailBanking" -UserGroupFilter "(Department -eq 'RetailBanking')"

Information Barrier Politikaları Oluşturma
Oluşturduğunuz segmentler arasında iletişimi sınırlandıran politikalar tanımlayın:

New-InformationBarrierPolicy -Name "NoCommBetweenInvestmentAndRetail" -AssignedSegment "InvestmentBanking" -SegmentsBlocked "RetailBanking" -State Active

Politikaları Uygulama

Bilgi Bariyer politikalarının etkinleştirilmesini sağlamak için politikaları uygulayın:

Start-InformationBarrierPoliciesApplication

Politikaları İzleme ve Yönetme

Mevcut Information Barrier politikalarını görüntülemek için:

Get-InformationBarrierPolicy

Bir politikayı devre dışı bırakmak için:

Set-InformationBarrierPolicy -Identity "NoCommBetweenInvestmentAndRetail" -State Inactive

Yukarıdaki adımların tamamını aşağıdaki powershell seti ile sağlayabilirsiniz;

# PowerShell modülünü yükleyin
Install-Module -Name ExchangeOnlineManagement

# PowerShell modülüne bağlanın
Connect-IPPSSession -UserPrincipalName [email protected]

# Information Barrier segmentleri oluşturun
New-OrganizationSegment -Name "InvestmentBanking" -UserGroupFilter "(Department -eq 'InvestmentBanking')"
New-OrganizationSegment -Name "RetailBanking" -UserGroupFilter "(Department -eq 'RetailBanking')"

# Information Barrier politikası oluşturun
New-InformationBarrierPolicy -Name "NoCommBetweenInvestmentAndRetail" -AssignedSegment "InvestmentBanking" -SegmentsBlocked "RetailBanking" -State Active

# Politikaları uygulayın
Start-InformationBarrierPoliciesApplication

# Mevcut politikaları görüntüleyin
Get-InformationBarrierPolicy

# Bir politikayı devre dışı bırakın
Set-InformationBarrierPolicy -Identity "NoCommBetweenInvestmentAndRetail" -State Inactive

Bu adımlar, Microsoft Information Barriers’ı PowerShell kullanarak devreye almanıza yardımcı olacaktır.

GUI(Graphical User Interface) Kullanılarak Devreye Alınması

Microsoft Information Barriers’ı GUI (Graphical User Interface) kullanarak devreye almak için Microsoft 365 Compliance Center’ı kullanabilirsiniz. İşte adım adım yönergeler:

Adım 1: Microsoft 365 Compliance Center’a Giriş

1. Microsoft 365 Compliance Center adresine gidin.
2. Yönetici kimlik bilgilerinizi kullanarak oturum açın.

Adım 2: Information Barriers Menüsüne Erişim

1. Sol taraftaki navigasyon menüsünde, “Solutions” altında “Information barriers” seçeneğine tıklayın.

Adım 3: Segmentler Oluşturma

“Segments” sekmesine gidin.

“New segment” butonuna tıklayın. Segmentin adını ve tanımını girin.

Kullanıcı grubunu tanımlamak için filtreleri belirleyin. Örneğin, “User Principal Name” alanını kullanarak girdiyi yaparak segmentlerini oluşturabilirsiniz. “Save” butonuna tıklayarak segmenti kaydedebilirsiniz.

Adım 4: Politikalar Oluşturulması ve Uygulanması

1. “Policies” sekmesine gidin.
2. “Create policy” butonuna tıklayın.

Politika için bir ad ve tanım girin. Segmentler kısmından az önce oluşturmul olduğumuz segmenti giriyoruz.

Communication and Collaboration kısmında diğer segmenti seçerek “Blocked” seçeneği ile ilerliyoruz.

Politikayı etkinleştirmek için “Active” durumunu seçin. “Save” butonuna tıklayarak politikayı kaydedin.

Politikamız oluşturuldu, şimdi Policy Apply menüsüne geçerek politikamızı dağıtıyoruz.

Bu noktada bir hatayla karşılaşabilirsiniz, tekrar policy ekranına gelerek deneyebilirsiniz.

Tekrar denediğimizde, sorunsuz çalıştırıyoruz.

yaklaşık yarım saat kadar bekledikten sonra progress sürecinin tamamlandığını görüyoruz.

Son kullanıcı tarafında test ettiğimizde segmentler arası iletinin iletilmediğini görüyoruz.

Microsoft Information Barriers, kuruluşların veri güvenliği ve uyumluluk hedeflerine ulaşmalarına yardımcı olan güçlü bir araçtır. Belirli kullanıcı grupları arasında iletişimi ve veri paylaşımını sınırlandırarak, hassas bilgilerin korunmasını sağlar ve düzenleyici gereksinimlere uyumu destekler. Özellikle yüksek düzenlemeli sektörlerde faaliyet gösteren kuruluşlar için, Information Barriers vazgeçilmez bir çözüm sunar.