Dieses Dokument beschreibt gängige Methoden zur Fehlerbehebung bei Fehlklassifizierungen und Scanfehlern (oder -fehlern) im Zusammenhang mit SvD auf der ESA.
Beachten Sie, dass Data Loss Prevention (DLP) auf der Cisco E-Mail Security Appliance (ESA) Plug-and-Play in dem Sinne ist, dass Sie diese aktivieren, eine Richtlinie erstellen und mit der Suche nach vertraulichen Daten beginnen können. Beachten Sie jedoch, dass die besten Ergebnisse nur erzielt werden, wenn Sie DLP auf Ihre unternehmensspezifischen Anforderungen abstimmen. Dazu gehören u. a. Typen von DLP-Richtlinien, Details zur Richtlinienübereinstimmung, Anpassen des Schweregrads, Filter und zusätzliche Anpassungen.
Im Folgenden finden Sie einige Beispiele für SvD-Verletzungen, die in den Mail-Protokollen und/oder der Nachrichtenverfolgung angezeigt werden. Die Protokollzeile enthält einen Zeitstempel, die Protokollstufe, die MID-Nummer, eine Verletzung oder keine Verletzung, den Schweregrad und den Risikofaktor sowie die Richtlinie, die zugeordnet wurde.
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
Wenn keine Verletzung gefunden wird, protokollieren die Mail-Protokolle und/oder die Nachrichtenverfolgung einfach DLP ohne Verletzung.
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
Hier finden Sie allgemeine Elemente, die überprüft werden können, wenn Sie mit SvD-Fehlklassifizierungen oder Scanfehlern/-fehlern umgehen.
DLP-Engine-Updates werden standardmäßig nicht automatisch ausgeführt. Daher ist es wichtig, dass Sie die neueste Version ausführen, die alle aktuellen Verbesserungen oder Bugfixes enthält.
Sie können zu Data Loss Prevention unter Sicherheitsdienste in der GUI navigieren, um die aktuelle Modulversion zu bestätigen und festzustellen, ob Updates verfügbar sind. Wenn ein Update verfügbar ist, können Sie auf Jetzt aktualisieren klicken, um das Update durchzuführen.

SvD bietet die Möglichkeit, Inhalte zu protokollieren, die gegen Ihre SvD-Richtlinien verstoßen. Diese Daten können dann in der Nachrichtenverfolgung angezeigt werden, um festzustellen, welcher Inhalt in einer E-Mail eine bestimmte Verletzung verursachen würde.
Sie können zu Data Loss Prevention unter Sicherheitsdienste in der GUI navigieren, um zu sehen, ob die Protokollierung von übereinstimmenden Inhalten aktiviert ist.


Die Konfiguration des Scan-Verhaltens auf der ESA wirkt sich auch auf die Funktionalität hinter DLP aus. Wenn Sie das Bild hier als Beispiel verwenden, das eine konfigurierte maximale Dateianhang-Scangröße von 5 Mio. hat, kann alles, was größer ist, dazu führen, dass DLP-Scans verpasst werden. Außerdem ist die Aktion für Anlagen mit MIME-Typ-Einstellung ein weiteres häufiges Element, das Sie überprüfen möchten. Dies sollte auf den Standardwert Überspringen gesetzt werden, damit die aufgelisteten MIME-Typen übersprungen und alle anderen gescannt werden. Wenn stattdessen Scan eingestellt ist, scannt die ESA nur die in der Tabelle aufgelisteten MIME-Typen.
Ebenso können sich andere hier aufgeführte Einstellungen auf die DLP-Scans auswirken und sollten entsprechend dem Anhang/E-Mail-Inhalt berücksichtigt werden.
Sie können unter Sicherheitsdienste in der GUI zu Scan Behavior oder über den Befehl scanconfig in der CLI navigieren.

Die Standardschwellenwerte für die Schweregrad-Skalierung sind für die meisten Umgebungen ausreichend. Wenn Sie sie jedoch ändern müssen, um bei Übereinstimmungen mit False Negative (FN) oder False Positive (FP) zu helfen, können Sie dies tun. Sie können auch eine neue Dummy-Richtlinie erstellen und vergleichen, um zu überprüfen, ob die SvD-Richtlinie die empfohlenen Standardschwellenwerte verwendet.

Überprüfen Sie, ob alle in eines dieser Felder eingegebenen Einträge der Groß- und Kleinschreibung der E-Mail-Adressen des Absenders und/oder Empfängers entsprechen. Im Feld "Filter Senders and Recipients" (Absender und Empfänger filtern) wird die Groß-/Kleinschreibung unterschieden. Die DLP-Richtlinie wird nicht ausgelöst, wenn die E-Mail-Adresse im E-Mail-Client wie "TestEmail@mail.com" aussieht und als "testemail@mail.com" in diese Felder eingegeben wird.

| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
2.0 |
01-Jul-2026
|
Wiederholen |
1.0 |
26-Apr-2020
|
Erstveröffentlichung |