Microsoft Purview DLP ile Kurumsal Veri Kaybı Önleme Rehberi

DLP Nedir ve Neden Gerekli?

Veri Kaybı Önleme (Data Loss Prevention – DLP), hassas bilgilerin yetkisiz kişilerle paylaşılmasını, kurumsal sınırlar dışına çıkarılmasını veya uygunsuz şekilde kullanılmasını engelleyen teknoloji ve süreçlerin bütünüdür. Dijital dönüşüm hızlandıkça, veriler e-posta, bulut depolama, anlık mesajlaşma, uç nokta cihazları ve yapay zeka uygulamaları gibi sayısız kanalda hareket etmektedir. Bu karmaşık ekosistemde tek bir yanlış paylaşım, ciddi finansal kayıplara, itibar zedelenmesine ve yasal yaptırımlara yol açabilir.

Microsoft Purview DLP, bu ihtiyaca yanıt veren kurumsal düzeyde bir veri koruma çözümüdür. Hassas bilgileri üç temel durumda koruma altına alır:

• Durağan halde (at-rest): SharePoint sitelerinde, OneDrive hesaplarında ve şirket içi dosya paylaşımlarında depolanan veriler.
• Kullanımda (in-use): Uç nokta cihazlarında açılan, düzenlenen veya panoya kopyalanan veriler.
• Aktarım sırasında (in-motion): E-posta ile gönderilen, Teams üzerinden paylaşılan veya bulut uygulamalarına yüklenen veriler.

DLP'nin koruduğu veri türleri arasında finansal bilgiler (kredi kartı numaraları, banka hesap bilgileri), sağlık kayıtları, kimlik numaraları (TC Kimlik No, Sosyal Güvenlik Numarası), fikri mülkiyet ve kurumsal gizli belgeler yer alır. Organizasyonların KVKK, GDPR, PCI DSS ve HIPAA gibi düzenlemelere uyum sağlaması için DLP politikaları bir zorunluluk haline gelmiştir.

Kurumsal güvenlik zincirinde kimlik koruması ilk halka ise veri koruması son ve en kritik halkadır. Kimlik güvenliği konusunda daha detaylı bilgi için Microsoft 365 Kimlik Güvenlik Rehberi içeriğimizi inceleyebilirsiniz.

Microsoft Purview DLP Mimarisi

Microsoft Purview DLP, verileri koruma altına almak için üç aşamalı bir mimari kullanır: Tanımlama, İzleme ve Koruma. Bu aşamalar birbirine entegre çalışarak uçtan uca bir veri güvenliği yaşam döngüsü oluşturur.

Tanımlama (Identify)

DLP'nin temelinde hassas verilerin doğru şekilde tanımlanması yatar. Microsoft Purview bu tanımlama işlemi için birden fazla yöntem sunar:

Tanımlama Yöntemi	Açıklama	Kullanım Alanı
Anahtar Kelime Eşleştirme	Belirli kelime veya kelime gruplarının içerikte aranması	Gizli, Confidential gibi etiketler
Düzenli İfadeler (Regex)	Yapısal kalıplara dayalı eşleştirme	Kredi kartı, telefon numarası formatları
Dahili Fonksiyon Doğrulama	Luhn algoritması gibi matematiksel kontroller	Kredi kartı numarası geçerlilik kontrolü
Makine Öğrenmesi Algoritmaları	İçerik bağlamını anlayan ML modelleri	Sözleşme, finansal belge tespiti
EDM (Exact Data Match)	Veritabanındaki gerçek değerlerle birebir eşleştirme	Çalışan TC Kimlik numaraları listesi

Hassas Bilgi Türleri (Sensitive Information Types – SIT), DLP'nin algılama motorunun yapı taşlarıdır. Microsoft Purview dört kategori SIT sunar:

• Yerleşik (Built-in): Microsoft tarafından önceden tanımlanmış 300'den fazla hassas bilgi türü. Kredi kartı numarası, pasaport numarası, vergi kimlik numaraları gibi yaygın veri türlerini kapsar.
• Özel (Custom): Organizasyona özgü veri formatları için oluşturulan tanımlamalar. Örneğin kurum içi proje kodları veya müşteri numarası formatları.
• Adlandırılmış Varlıklar (Named Entity): Kişi adları, fiziksel adresler, tıbbi terimler gibi bağlama dayalı varlık tanımlama.
• EDM Tabanlı: Gerçek veritabanı kayıtlarıyla tam eşleşme yapan yüksek doğruluklu tanımlama. Yanlış pozitif oranını minimuma indirir.

Eğitilebilir Sınıflandırıcılar (Trainable Classifiers) ise içerik analizini bir üst seviyeye taşır. Microsoft, çok dilli destek sunan önceden eğitilmiş sınıflandırıcılar sunmaktadır. Bunlar sözleşmeleri, özgeçmişleri, finansal tabloları ve kaynak kodlarını otomatik olarak tanıyabilir. Ayrıca organizasyonlar, kendi veri setleriyle özel sınıflandırıcılar eğiterek kurumlarına özgü belge türlerini tanımlayabilir.

Desteklenen Konumlar

Microsoft Purview DLP, koruma kapsamını geniş bir ekosisteme yayar. Aşağıdaki tablo, desteklenen tüm konumları ve koruma yeteneklerini özetlemektedir:

Konum Kategorisi	Desteklenen Platformlar	Temel Koruma Yetenekleri
Microsoft 365 Hizmetleri	Exchange Online, SharePoint Online, OneDrive	E-posta engelleme, dosya paylaşım kısıtlama
İletişim Platformları	Teams kanalları, sohbet, özel kanallar	Mesaj engelleme, dosya paylaşım kontrolü
Uç Nokta Cihazları	Windows 10/11, macOS	USB kopyalama, yazdırma, ağ paylaşımı engelleme
Office Uygulamaları	Word, Excel, PowerPoint	Kopyala-yapıştır kısıtlama, kaydetme engelleme
Bulut Uygulamaları	34.000'den fazla Microsoft dışı bulut uygulaması	Yükleme engelleme, içerik tarama
Şirket İçi Kaynaklar	Dosya paylaşımları, SharePoint Server	Şirket içi veri keşfi ve koruma
Analitik ve Yapay Zeka	Power BI/Fabric, Edge for Business	Rapor dışa aktarma kontrolü, tarayıcı tabanlı koruma
AI Uygulamaları	M365 Copilot, ChatGPT, Gemini, DeepSeek	Prompt enjeksiyonu engelleme, etiketli belge koruma

Bu geniş kapsam, organizasyonların tek bir merkezden tüm veri kanallarını kontrol altına almasını sağlar.

Koruma (Protect)

Tanımlama ve izleme sonrasında DLP, politika kurallarına göre otomatik koruma eylemleri uygular. Bu eylemler şunları içerir:

• Hassas içerikli e-postaların gönderilmesini engelleme veya şifreleme uygulama
• SharePoint ve OneDrive'daki dosyaların dış kullanıcılarla paylaşılmasını kısıtlama
• Teams mesajlarında hassas bilgi tespit edildiğinde mesajı engelleme
• Uç nokta cihazlarında USB'ye kopyalama, yazdırma veya Bluetooth ile aktarımı durdurma
• Kullanıcıya politika ihlali bildirimi göstererek farkındalık oluşturma
• İş gerekçesi sunulmasına olanak tanıyan geçersiz kılma (override) mekanizması

KVKK ve GDPR Uyumluluğu

Türkiye'de faaliyet gösteren organizasyonlar için Kişisel Verilerin Korunması Kanunu (KVKK) uyumluluğu bir yasal zorunluluktur. Avrupa Birliği ile ticari ilişkisi olan kuruluşlar ise ek olarak Genel Veri Koruma Tüzüğü'ne (GDPR) tabi olmaktadır. Microsoft Purview, her iki düzenleme için kapsamlı uyumluluk araçları sunmaktadır.

Kişisel Veri Kategorileri ve Koruma

KVKK kapsamında korunması gereken veri kategorileri ve bunlara karşılık gelen DLP yaklaşımları şu şekilde özetlenebilir:

Veri Kategorisi	Örnekler	DLP Yaklaşımı
Kimlik Bilgileri	TC Kimlik No, pasaport numarası	Özel SIT tanımı + Regex doğrulama
İletişim Bilgileri	E-posta, telefon, adres	Yerleşik SIT + Named Entity tanıma
Finansal Bilgiler	IBAN, kredi kartı, vergi numarası	Yerleşik SIT + Luhn doğrulama
Sağlık Verileri	Hasta kayıtları, reçeteler	Eğitilebilir sınıflandırıcı + Özel SIT
Özel Nitelikli Kişisel Veriler	Din, etnik köken, biyometrik veri	Duyarlılık etiketi + Şifreleme

Türkiye'ye Özgü Politika Yapılandırması

Microsoft Purview Compliance Manager, 300'den fazla düzenleyici şablon sunmaktadır. KVKK için doğrudan bir şablon bulunmamakla birlikte, GDPR şablonları büyük ölçüde KVKK gereksinimleriyle örtüşmektedir. Türkiye'ye özgü yapılandırma adımları şunlardır:

• Özel SIT Oluşturma: TC Kimlik numarası için 11 haneli format ve algoritma doğrulaması, vergi numarası için 10 haneli format tanımlanmalıdır.
• GDPR Şablonu Üzerine Özelleştirme: GDPR değerlendirme şablonu temel alınarak KVKK'ya özgü maddeler eklenmelidir.
• Compliance Manager'da Özel Değerlendirme: KVKK haritalandırması için özel değerlendirme oluşturularak kontrol maddeleri eşleştirilmelidir.
• Veri Etki Değerlendirmesi (DPIA): Yüksek riskli veri işleme faaliyetleri için DPIA süreçleri yapılandırılmalıdır.
• İhlal Bildirimi: KVKK'nın 72 saatlik bildirim yükümlülüğüne uygun otomatik bildirim akışları tanımlanmalıdır.

Dış kullanıcı erişim kontrolü de KVKK uyumluluğunun kritik bir bileşenidir. SharePoint'te "Dış Kullanıcılar Hariç Herkes" izin yapılandırması hakkında detaylı bilgi için EEEU Güvenlik Rehberi içeriğimizi inceleyebilirsiniz.

DLP Politikası Oluşturma — Adım Adım

DLP politikası oluşturma süreci, dikkatli planlama ve aşamalı dağıtım gerektiren stratejik bir süreçtir. Aceleye getirilen dağıtımlar ya çok sayıda yanlış pozitif üretir ya da kritik veri sızıntılarını kaçırır.

Ön Gereksinimler ve Roller

Politika oluşturmak için aşağıdaki rollerden birine sahip olmak gereklidir:

Rol	Yetki Kapsamı
Güvenlik Yöneticisi (Security Admin)	Tüm DLP politikalarını oluşturma ve yönetme
Bilgi Koruma Yöneticisi (Information Protection Admin)	Hassas bilgi türleri ve etiket yönetimi
Uyumluluk Verileri Yöneticisi (Compliance Data Admin)	Uyumluluk raporlarına ve denetim günlüklerine erişim

Planlama Aşaması

Başarılı bir DLP dağıtımı, teknik yapılandırmadan önce organizasyonel hazırlık gerektirir:

• Veri Envanteri Çıkarma: Hangi hassas veri türlerinin nerede depolandığını, kimler tarafından işlendiğini ve hangi kanallardan aktarıldığını belirleyin.
• Risk Değerlendirmesi: Her veri türü için sızıntı olasılığını ve potansiyel etkisini analiz edin. Yüksek riskli verilere öncelik verin.
• Paydaş Eşleştirmesi: BT, hukuk, uyumluluk ve iş birimlerinden temsilcileri sürece dahil edin. DLP politikaları yalnızca bir BT projesi değil, organizasyonel bir girişim olmalıdır.
• İş Süreci Analizi: Meşru iş süreçlerini anlayarak yanlış pozitifleri minimize edecek istisna kuralları belirleyin.

Politika Yapılandırma Adımları

Microsoft Purview uyumluluk portalında politika oluşturma süreci beş temel adımdan oluşur:

Adım 1 — Hassas Veri Türlerini Tanımlama: Korumak istediğiniz verilere karşılık gelen SIT'leri seçin. Birden fazla SIT kombinasyonu kullanarak güven düzeyini artırabilirsiniz. Örneğin, kredi kartı numarası SIT'i ile "son kullanma tarihi" anahtar kelimesini birlikte kullanmak yanlış pozitifleri azaltır. Adım 2 — Kapsam Atama: Politikanın uygulanacağı kullanıcıları, grupları veya tüm organizasyonu belirleyin. Başlangıçta dar bir kapsamla test edip aşamalı olarak genişletmek önerilen yaklaşımdır. Adım 3 — Konum Yapılandırması: Exchange Online, SharePoint, OneDrive, Teams, uç noktalar ve bulut uygulamaları arasından politikanın uygulanacağı konumları seçin. Tüm konumları aynı anda etkinleştirmek yerine kritik konumlardan başlayın. Adım 4 — Koruma Eylemleri Tanımlama: İhlal tespit edildiğinde uygulanacak eylemleri belirleyin. Seçenekler arasında engelleme, şifreleme, kullanıcı bildirimi, yönetici uyarısı ve geçersiz kılma izni yer alır. Adım 5 — Gelişmiş Kurallar Oluşturma: Koşullu mantık kullanarak detaylı kurallar tanımlayın. Örneğin: "10'dan fazla kredi kartı numarası içeren bir dosya kurum dışına gönderilmeye çalışılırsa engelle ve güvenlik ekibine bildir."

Simülasyon Modu ile Test

Politikayı üretim ortamına almadan önce simülasyon modunda çalıştırmak kritik önem taşır. Simülasyon modu, politikanın gerçek veri trafiğine uygulanmasını sağlar ancak herhangi bir engelleme eylemi gerçekleştirmez. Bu aşamada:

• Yanlış pozitif oranını ölçün ve kabul edilebilir seviyeye indirin
• İş süreçlerini olumsuz etkileyen kuralları tespit edip ayarlayın
• En az iki hafta simülasyon verisi toplayarak politika doğruluğunu doğrulayın
• Paydaşlarla simülasyon raporlarını paylaşarak onay alın

Simülasyon sonuçları tatmin edici olduğunda politikayı aşamalı olarak üretim moduna alın.

Copilot ve AI Uygulamalarında DLP

Yapay zeka uygulamalarının kurumsal ortama hızla entegre olması, yeni veri sızıntısı vektörleri oluşturmuştur. Bir çalışanın Copilot'a "son çeyrek mali tablolarını özetle" demesi veya ChatGPT'ye müşteri verilerini yapıştırması, geleneksel DLP kontrollerinin kapsamı dışında kalan riskler yaratır. Microsoft Purview DLP, bu tehditlere karşı özel koruma mekanizmaları sunmaktadır.

AI Uygulamalarında Veri Sızıntısı Senaryoları

Microsoft Purview DLP, aşağıdaki AI uygulamalarını koruma kapsamına almaktadır:

• Microsoft 365 Copilot: Word, Excel ve PowerPoint'te duyarlılık etiketi taşıyan belgelerin Copilot tarafından işlenmesini engelleyebilir.
• ChatGPT Enterprise: Kurumsal ChatGPT ortamında hassas veri girişini denetler.
• Entra ID ile Kayıtlı Uygulamalar: Azure AD üzerinden yetkilendirilen tüm AI uygulamaları için politika uygular.
• DeepSeek ve Gemini: Üçüncü parti AI modellerine hassas veri akışını kontrol eder.

DLP politikaları, kredi kartı numaraları, pasaport bilgileri, sosyal güvenlik numaraları ve diğer hassas bilgilerin AI uygulamalarına prompt olarak gönderilmesini engeller. Bu koruma, prompt enjeksiyonu olarak adlandırılan saldırı vektörüne karşı da savunma katmanı oluşturur.

Edge for Business ile Satır İçi Koruma

Yönetilmeyen SaaS uygulamaları ve GenAI hizmetleri için Microsoft Edge for Business, tarayıcı düzeyinde satır içi DLP koruması sunar. Kullanıcı Edge üzerinden bir AI uygulamasına eriştiğinde, tarayıcı hassas veri girişlerini gerçek zamanlı olarak tarar ve politika ihlallerini engeller. Bu katman, ağ düzeyinde SASE çözümleri (Netskope, iboss gibi) ile birleştirildiğinde kapsamlı bir koruma sağlar.

AI uygulamalarında DLP koruması için Microsoft 365 E5 ve Copilot lisansı gerekmektedir.

Just-In-Time DLP (2026 Yeniliği)

Just-In-Time (JIT) DLP, uç nokta DLP'nin en güncel yeniliğidir. Geleneksel DLP, dosyaları önceden sınıflandırılmış bilgilere dayanarak değerlendirirken, JIT DLP henüz sınıflandırılmamış veya eski sınıflandırması olan dosyalarda farklı bir yaklaşım benimser.

JIT DLP'nin çalışma prensibi şöyledir: Bir kullanıcı dosyayı kısıtlı bir bulut hizmetine yüklemeye, panoya kopyalamaya, Bluetooth ile aktarmaya, yazdırmaya, ağ paylaşımına göndermeye veya çıkarılabilir medyaya kaydetmeye çalıştığında, sistem bu eylemi geçici olarak durdurur. Dosyanın DLP politikası değerlendirmesi tamamlanana kadar çıkış etkinliği engellenir. Değerlendirme tamamlandığında politika kurallarına göre eyleme izin verilir veya kalıcı olarak engellenir.

JIT DLP "JIT aday dosyaları" üzerinde çalışır. Bunlar henüz hiç sınıflandırılmamış veya sınıflandırma bilgisi güncelliğini yitirmiş dosyalardır. Desteklenen platformlar arasında macOS (son 3 sürüm), Windows 11 ve Windows 10 yer alır. Windows platformunda Antimalware Client 4.18.23080 veya üzeri sürüm gereklidir.

En İyi Uygulamalar ve Sık Yapılan Hatalar

DLP dağıtımlarının başarısı, teknik yapılandırma kadar operasyonel olgunluğa da bağlıdır. Aşağıda en etkili uygulamalar ve kaçınılması gereken yaygın hatalar listelenmiştir.

En İyi Uygulamalar

• Aşamalı Dağıtım Benimseyin: Tüm politikaları aynı anda devreye almak yerine önce en yüksek riskli veri türlerinden başlayın. Her aşamada simülasyon modunu kullanın.
• Duyarlılık Etiketleri ile Entegre Edin: DLP politikalarını Microsoft Information Protection duyarlılık etiketleriyle birlikte kullanmak, sınıflandırma doğruluğunu önemli ölçüde artırır.
• Kullanıcı Eğitimini Önceliklendirin: Politika bildirimleri eğitici bir dille yazılmalı, kullanıcılara neden engellendiğini ve doğru davranışın ne olduğunu açıkça belirtmelidir.
• İş Gerekçesi Mekanizmasını Kullanın: Katı engelleme yerine, kullanıcılara iş gerekçesi sunarak geçersiz kılma imkanı tanıyın. Bu, meşru iş süreçlerini engellemeden farkındalık oluşturur.
• Düzenli Politika Gözden Geçirmesi: Üç ayda bir politika etkinliğini değerlendirin. İş süreçleri ve tehdit ortamı değiştikçe politikalar da güncellenmelidir.
• EDM Tabanlı Tanımlama Kullanın: Yüksek doğruluk gerektiren senaryolarda Exact Data Match kullanarak yanlış pozitif oranını minimize edin.

Sık Yapılan Hatalar

Hata	Sonucu	Çözüm
Simülasyon modunu atlama	Yoğun yanlış pozitifler, kullanıcı direnci	En az 2 hafta simülasyon çalıştırma
Tüm konumları aynı anda etkinleştirme	Yönetilemeyen uyarı hacmi	Kritik konumlardan başlayıp aşamalı genişletme
Çok katı engelleme politikaları	İş süreçlerinin aksaması, gölge BT artışı	Geçersiz kılma mekanizması ile dengeli yaklaşım
Kullanıcı bildirimlerini ihmal etme	Politikaların neden var olduğunun anlaşılmaması	Açıklayıcı ve eğitici bildirim metinleri
Tek bir SIT'e güvenme	Düşük algılama doğruluğu	Birden fazla SIT ve bağlamsal ipucu kombinasyonu
Olay yanıt planı eksikliği	DLP uyarılarının takipsiz kalması	Uyarı önceliklendirme ve eskalasyon süreçleri tanımlama

Ölçüm ve Raporlama

DLP programının sürdürülebilir başarısı, doğru metriklerin düzenli olarak izlenmesine bağlıdır. Microsoft Purview, kapsamlı raporlama araçları sunarak güvenlik ekiplerinin veri koruma duruşunu değerlendirmesini sağlar.

Temel Performans Göstergeleri (KPI)

Etkili bir DLP programı aşağıdaki KPI'ları düzenli olarak takip etmelidir:

KPI	Açıklama	Hedef Aralık
Yanlış Pozitif Oranı	Yanlış tetiklenen politika uyarılarının yüzdesi	%5'in altı
Politika Eşleşme Sayısı	Belirli dönemde tespit edilen hassas veri paylaşım girişimleri	Trende göre değerlendirme
Geçersiz Kılma Oranı	Kullanıcıların politikayı geçersiz kıldığı durumların yüzdesi	%15'in altı
Ortalama Çözüm Süresi	Bir DLP olayının tespitten çözüme kadar geçen süresi	24 saat altı
Kapsam Oranı	DLP politikalarının uygulandığı konumların toplam konumlara oranı	%90 üzeri
Kullanıcı Farkındalık Skoru	Eğitim sonrası tekrarlayan ihlallerdeki düşüş oranı	Çeyreklik %10 iyileşme

Raporlama Araçları

Microsoft Purview uyumluluk portalı, aşağıdaki raporlama yeteneklerini sunar:

• DLP Uyarı Panosu: Gerçek zamanlı uyarılar, önem seviyelerine göre kategorize edilmiş olay listesi.
• Etkinlik Gezgini (Activity Explorer): Kullanıcı, konum ve hassas bilgi türüne göre filtrelenebilen detaylı etkinlik günlüğü.
• İçerik Gezgini (Content Explorer): Organizasyon genelinde hassas içerik haritası. Hangi verilerin nerede depolandığını görselleştirir.
• Uyumluluk Yöneticisi (Compliance Manager): KVKK ve GDPR uyumluluk skorları, iyileştirme önerileri ve denetim kanıtları.
• Power BI Entegrasyonu: Özelleştirilmiş panolar ve gelişmiş analitik raporlar için Power BI ile veri dışa aktarma.

Raporlama Döngüsü Önerisi

Etkili bir raporlama döngüsü şu şekilde yapılandırılmalıdır:

• Günlük: Yüksek önem seviyeli uyarıların incelenmesi ve anında müdahale.
• Haftalık: Politika eşleşme trendlerinin analizi, yanlış pozitif oranının değerlendirilmesi.
• Aylık: Yönetim raporu hazırlama, politika ayarlama önerileri sunma.
• Çeyreklik: Kapsamlı DLP program değerlendirmesi, KVKK/GDPR uyumluluk skorlarının raporlanması, yönetim kurulu bilgilendirmesi.

Sonraki Adımlar

Microsoft Purview DLP, organizasyonların veri güvenliği stratejisinin merkezinde yer alan güçlü bir araçtır. Ancak en gelişmiş teknoloji bile doğru planlama, aşamalı dağıtım ve sürekli iyileştirme olmadan beklenen değeri sunamaz.

DLP yolculuğunuza başlamak veya mevcut yapılandırmanızı optimize etmek için aşağıdaki adımları değerlendirebilirsiniz:

• Mevcut veri güvenliği duruşunuzu değerlendirin ve hassas veri envanterinizi çıkarın.
• KVKK ve GDPR gereksinimlerinizi haritalayarak öncelikli veri türlerini belirleyin.
• Pilot bir grup ile simülasyon modunda DLP politikalarını test edin.
• AI uygulamalarındaki veri akışlarını değerlendirerek Copilot ve üçüncü parti AI korumalarını planlayın.
• Ölçüm ve raporlama altyapısını kurarak sürekli iyileştirme döngüsüne geçin.

Kurumsal veri güvenliği konusunda profesyonel destek almak ve Microsoft Purview DLP çözümünüzü en verimli şekilde yapılandırmak için ekibimizle iletişime geçebilirsiniz.