E-Mails sind nach wie vor einer der häufigsten Kanäle für unbeabsichtigte oder nicht autorisierte Datenzugriffe. Cisco bietet Email Data Loss Prevention (DLP)-Funktionen für den Schutz sensibler, per E-Mail weitergegebener Informationen durch die Integration von Cisco Secure Access (SA) und Cisco Email Threat Defense (ETD).
In dieser Architektur werden alle Aktionen zum Erstellen, Konfigurieren und Durchsetzen von E-Mail-DLP-Richtlinien in Cisco Secure Access ausgeführt. Cisco Email Threat Defense bietet Transparenz für E-Mails und Nachrichtenverfolgung, während Cisco Secure Access als Policy Engine für die Definition von DLP-Regeln und Durchsetzungsverhalten dient.
In diesem Artikel wird erläutert, wie Sie in Cisco Secure Access eine E-Mail-DLP-Richtlinie erstellen, entweder mit einer vordefinierten DLP-Vorlage oder einer benutzerdefinierten DLP-Vorlage.
Stellen Sie vor Beginn des Konfigurationsprozesses sicher, dass die folgenden Anforderungen erfüllt sind:
Wichtig: Obwohl diese Lösung sowohl Cisco Secure Access als auch Cisco Email Threat Defense verwendet, werden alle in diesem Artikel beschriebenen Konfigurationsschritte für E-Mail-SvD-Regeln nur in Cisco Secure Access ausgeführt.
Um eine E-Mail-DLP-Richtlinie erfolgreich zu implementieren, werden die folgenden Komponenten verwendet:
Beim Erstellen einer E-Mail-DLP-Richtlinie in Cisco Secure Access können Sie Folgendes konfigurieren:

HINWEIS: Im obigen Bild ist der Exchange-Server O365, diese SvD-Konfiguration kann jedoch auf jedem Exchange-Server vorgenommen werden, der SMTP unterstützt.
HINWEIS: Weitere Informationen finden Sie im Artikel "Steps to integration Cisco Email Threat Defense (ETD) with Cisco Secure Access:" (Schritte zur Integration von Cisco Email Threat Defense (ETD) in Cisco Secure Access:), um Cisco Email Threat Defense und Cisco Secure Access über die API zu integrieren.
Konfigurieren einer E-Mail-DLP-Richtlinie in Cisco Secure Access
Melden Sie sich bei der Cisco Secure Access (SA)-Konsole mit einem Administratorkonto mit den erforderlichen Berechtigungen an.
Navigieren Sie im Dashboard für sicheren Zugriff zu:
Sicher > Richtlinie > Richtlinie zum Schutz vor Datenverlust > Regel hinzufügen > E-Mail-SvD-Regel
Daraufhin wird die Seite Neue E-Mail-Regel hinzufügen geöffnet.
Cisco Secure Access bietet zwei Methoden zum Erstellen einer E-Mail-DLP-Regel:
Abbildung 1. Navigieren zur Erstellung der E-Mail-SvD-Regel
Navigieren Sie in das Fenster REGEL HINZUFÜGEN > E-Mail-SvD-Regel,
Geben Sie im Fenster Neue E-Mail-Regel hinzufügen die folgenden Details ein:
Regelname
Geben Sie einen beschreibenden Namen für die E-Mail-SvD-Regel ein.
Beschreibung
Kurze Zusammenfassung des Zwecks der Regel
Schweregrad
Wählen Sie den entsprechenden Schweregrad für die Richtlinie aus:
Mithilfe dieser Felder können Sie Regeln für Administration, Berichterstellung und betriebliche Transparenz kategorisieren.

Wählen Sie unter Datenklassifizierungen die vordefinierte SvD-Vorlage aus, die verwendet wird, um E-Mail-Inhalte auf potenzielle SvD-Verletzungen zu prüfen.
Wählen Sie als Nächstes aus, wo die ausgewählten Klassifikationen zugeordnet werden sollen. Folgende Prüfpunkte werden unterstützt:
Auf diese Weise kann die Richtlinie sowohl den Nachrichteninhalt als auch Anhänge auf vertrauliche Informationen überprüfen.

Konfigurieren Sie unter Dateikontrolle die dateibasierten Prüfkriterien für die Regel.
Dies umfasst Unterstützung für:
Diese Einstellungen sind nützlich, wenn bei der SvD-Erzwingung Vertraulichkeitslabel oder Metadaten berücksichtigt werden müssen, die angehängten Dateien zugeordnet sind.

Geben Sie im Abschnitt Absender an, auf welche Absender die Richtlinie angewendet wird.
Verfügbare Optionen:
So können Sie die Regel umfassend anwenden oder auf ausgewählte Benutzer oder Gruppen beschränken.

Wählen Sie im Abschnitt Empfänger die Benutzer oder Gruppen aus, die in die Richtlinienbewertung einbezogen oder von ihr ausgeschlossen werden sollen.
Verfügbare Optionen:
So lässt sich die Richtliniendurchsetzung besser an die beabsichtigten Empfänger anpassen.

Wählen Sie im Abschnitt Action (Aktion) aus, wie Cisco Secure Access E-Mails handhaben soll, die eindeutig als Verstoß gegen die DLP-Regel identifiziert wurden.
Verfügbare Aktionen:
Überwachung
Die E-Mail ist zulässig, und das Ereignis wird protokolliert, um für Transparenz zu sorgen und Berichte zu erstellen.
Blockieren
Die E-Mail wird verworfen, um die Übertragung vertraulicher Daten zu verhindern.

Anmerkung: Derzeit können positiv identifizierte E-Mails entweder durch die Aktion Überwachen oder durch die Aktion Blockieren blockiert werden.
Wichtig: E-Mail-SvD-Aktionen werden nur in Cisco Secure Access konfiguriert. Wenn eine E-Mail von Secure Access blockiert wird, wird die Veranstaltung auch in der Cisco ETD-Nachrichtenverfolgung angezeigt.
Die Benachrichtigungsoption steht nur für die Empfänger zur Verfügung.
Konfigurieren Sie unter User Notifications (Benutzerbenachrichtigungen), ob Benutzer benachrichtigt werden sollen, wenn eine E-Mail mit der SvD-Policy übereinstimmt.
Es besteht die Möglichkeit, "Actor's Manager" oder einen "Custom Recipient" zu benachrichtigen. Ein "benutzerdefinierter Empfänger" kann jeder sein.
Konfigurieren Sie die E-Mail-Nachrichtenvorlage von der Standard- zur benutzerdefinierten Benachrichtigung nach Ihren Anforderungen.
Wenn diese Funktion aktiviert ist, können Benachrichtigungen dazu beitragen, die Benutzer besser zu informieren und wiederholte Richtlinienverletzungen zu reduzieren. Konfigurieren Sie diese Einstellung entsprechend den betrieblichen und Compliance-Anforderungen Ihres Unternehmens.
Benutzerbenachrichtigungen sind ein leistungsstarkes Tool zur Erhöhung des Sicherheitsbewusstseins und zur Gewährleistung der Compliance. Indem Sie Benutzer oder Administratoren benachrichtigen, wenn eine E-Mail eine DLP-Richtlinie auslöst, können Sie sofortiges Feedback und Kontext zu der Verletzung geben.
Anmerkung: Die Benachrichtigungseinstellungen richten sich in erster Linie an die E-Mail-Empfänger und die benannten Beteiligten.
So konfigurieren Sie Benachrichtigungen:
Best Practice: Die Aktivierung dieser Benachrichtigungen ist eine effektive Methode, um wiederholte Richtlinienverletzungen zu reduzieren, indem Benutzer in Echtzeit über Verfahren zur Verarbeitung vertraulicher Daten informiert werden.

Anmerkung: Die Benachrichtigungsoptionen können je nach Tenant-Konfiguration und Richtlinieneinstellungen variieren.
Nach Abschluss der Regelkonfiguration:
Die DLP-Richtlinie für E-Mail ist jetzt in Cisco Secure Access aktiviert.
Das Erstellen einer benutzerdefinierten SvD-Vorlage umfasst zwei primäre Phasen: Definieren eines benutzerdefinierten Bezeichners und Konfigurieren der Datenklassifizierung.
Anmerkung: Die Datenklassifizierungs-Engine ist äußerst flexibel und ermöglicht Ihnen die Erstellung von Richtlinien mithilfe einer einzelnen benutzerdefinierten Kennung oder einer Kombination aus benutzerdefinierten und vordefinierten, durch UND/ODER-Boolesche Operatoren verknüpften Bezeichnern.
Führen Sie die folgenden Schritte aus, um ein neues Datenmuster für die Erkennung zu definieren:

Nachdem der benutzerdefinierte Bezeichner gespeichert wurde, können Sie ihn in ein Datenklassifizierungsobjekt integrieren:

Diese Konfiguration stellt sicher, dass Ihr Unternehmen sensible Informationen erkennen kann, die speziell auf Ihre internen Datenstrukturen und Compliance-Anforderungen zugeschnitten sind.
Wenn sich die E-Mail-SvD-Regel nicht wie erwartet verhält, überprüfen Sie Folgendes:
Berücksichtigen Sie die folgenden Best Practices bei der Bereitstellung von E-Mail-DLP-Richtlinien:
Cisco Secure Access ist die zentrale Plattform für die Konfiguration von Email DLP-Richtlinien in einer integrierten Bereitstellung von Cisco Secure Access und Cisco Email Threat Defense. Während ETD Transparenz und Nachrichtenverfolgung bietet, werden alle SvD-Regelerstellung, Klassifizierungsauswahl, Durchsetzungsaktionen und Benachrichtigungen in Secure Access konfiguriert.
Mithilfe vordefinierter oder benutzerdefinierter SvD-Vorlagen können Administratoren E-Mail-Inhalte und -Anhänge überprüfen, den Absender- und Empfängerbereich definieren und Aktionen zur Überwachung oder Blockierung anwenden, um vertrauliche Daten vor dem Verlust durch E-Mail zu schützen.
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
22-Jun-2026
|
Erstveröffentlichung |