Este documento describe métodos comunes para resolver errores de clasificación y fallas de análisis (o fallas) relacionadas con DLP en el ESA.
Es fundamental tener en cuenta que la prevención de la pérdida de datos (DLP) en el dispositivo de seguridad Cisco Email Security Appliance (ESA) es Plug and Play en el sentido de que puede activarla, crear una política y empezar a analizar en busca de datos confidenciales; sin embargo, también debe tener en cuenta que los mejores resultados solo se obtienen al ajustar DLP para que se adapte a los requisitos específicos de su empresa. Esto incluiría aspectos como los tipos de políticas DLP, los detalles de coincidencia de políticas, cómo ajustar la escala de gravedad, los filtros y las personalizaciones adicionales.
Estos son algunos ejemplos de violaciones de DLP que puede ver en los registros de correo o en Rastreo de mensajes. La línea de registro incluye una marca de tiempo, nivel de registro, MID #, violación o sin violación, gravedad y factor de riesgo, y la política que se hizo coincidir.
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
Cuando no se encuentra ninguna infracción, los registros de correo y/o Rastreo de mensajes simplemente registran DLP sin infracción.
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
Aquí se incluyen los elementos comunes que se pueden revisar cuando se trata de errores de clasificación de DLP o errores o fallas de análisis.
Las actualizaciones del motor DLP no son automáticas de forma predeterminada, por lo que es fundamental asegurarse de que ejecuta la versión más reciente que incluya mejoras o correcciones de errores recientes.
Puede navegar hasta Prevención de pérdida de datos bajo Servicios de seguridad en la GUI para confirmar la versión actual del motor y ver si hay actualizaciones disponibles. Si hay una actualización disponible, puede hacer clic en Actualizar ahora para realizar la actualización.

DLP ofrece la opción de registrar el contenido que infringe sus políticas de DLP. Estos datos se pueden ver en Rastreo de mensajes para ayudar a rastrear el contenido de un correo electrónico que podría causar una violación en particular.
Puede navegar hasta Prevención de pérdida de datos en Servicios de seguridad en la GUI para ver si Registro de contenido coincidente está habilitado.


La configuración del comportamiento de escaneo en el ESA también afecta a la funcionalidad subyacente a DLP. Si se refiere a la imagen como un ejemplo, que tiene un tamaño máximo de escaneo de adjuntos configurado de 5M, cualquier cosa más grande puede hacer que se pierdan los escaneos DLP. Además, la acción para adjuntos con el valor Tipos MIME es otro elemento común que desea revisar. Debe establecerse el valor predeterminado de Skip para omitir los tipos MIME enumerados y analizar todos los demás. Si, por el contrario, se establece en Analizar, el ESA sólo analiza los tipos MIME enumerados en la tabla.
Del mismo modo, otras configuraciones enumeradas aquí pueden afectar a las exploraciones de DLP y deben tenerse en cuenta según el contenido de los archivos adjuntos o del correo electrónico.
Puede navegar hasta Scan Behavior bajo Security Services en la GUI, o desde el comando scanconfig dentro de la CLI.

Los umbrales predeterminados de escala de gravedad son suficientes para la mayoría de los entornos; sin embargo, si necesita modificarlos para ayudar con las coincidencias de Falso Negativo (FN) o Falso Positivo (FP), puede hacerlo. También puede crear una nueva política ficticia y compararla para confirmar si la política DLP utiliza los umbrales predeterminados recomendados.

Compruebe que las entradas introducidas en cualquiera de estos campos coinciden con las mayúsculas y minúsculas correctas de las direcciones de correo electrónico del remitente o destinatario. El campo Filtrar remitentes y destinatarios distingue entre mayúsculas y minúsculas. La política de DLP no se activa si la dirección de correo electrónico es similar a "TestEmail@mail.com" en el cliente de correo y se introduce como "testemail@mail.com" en estos campos.

| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
01-Jul-2026
|
Volver |
1.0 |
26-Apr-2020
|
Versión inicial |