Questo documento descrive i metodi comuni per risolvere gli errori di classificazione e di scansione (o errori) relativi al DLP sull'ESA.
È importante notare che il Data Loss Prevention (DLP) su Cisco Email Security Appliance (ESA) è plug-and-play nel senso che può essere abilitato, creato un criterio e avviato alla ricerca di dati sensibili; tuttavia, è importante tenere presente che i risultati migliori vengono raggiunti solo dopo aver adattato il programma di prevenzione della perdita dei dati alle specifiche esigenze aziendali. ad esempio tipi di criteri di prevenzione della perdita dei dati, dettagli sulla corrispondenza dei criteri, modalità di regolazione della scala di gravità, filtri e personalizzazioni aggiuntive.
Di seguito sono riportati alcuni esempi di violazioni dei criteri di prevenzione della perdita dei dati che è possibile visualizzare nei log di posta e/o nel monitoraggio dei messaggi. La linea di registro include un indicatore orario, il livello di registro, il numero MID, una violazione o nessuna violazione, la gravità e il fattore di rischio, nonché il criterio corrispondente.
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
Quando non viene rilevata alcuna violazione, i log di posta e/o il Message Tracking registrano semplicemente DLP senza violazione.
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
In questa sezione vengono forniti elementi comuni che è possibile esaminare in caso di classificazioni errate dei criteri di prevenzione della perdita dei dati o errori e mancati risultati dell'analisi.
Poiché gli aggiornamenti del motore di prevenzione della perdita dei dati non sono automatici per impostazione predefinita, è fondamentale verificare di eseguire la versione più recente che include eventuali miglioramenti recenti o correzioni di bug.
È possibile passare a Data Loss Prevention (Prevenzione perdita dati) in Security Services (Servizi di sicurezza) nella GUI per confermare la versione corrente del motore e verificare se sono disponibili aggiornamenti. Se è disponibile un aggiornamento, è possibile fare clic su Aggiorna adesso per eseguire l'aggiornamento.

DLP offre la possibilità di registrare il contenuto che viola i criteri di prevenzione della perdita dei dati. Questi dati possono quindi essere visualizzati in Message Tracking (Verifica messaggi) per individuare il contenuto di un messaggio di posta elettronica che causerebbe una particolare violazione.
È possibile passare a Data Loss Prevention (Prevenzione della perdita dei dati) in Security Services (Servizi di sicurezza) nella GUI per verificare se la registrazione del contenuto corrispondente è abilitata.


La configurazione del comportamento di scansione sull'ESA influisce anche sulla funzionalità di DLP. Se si fa riferimento all'immagine come esempio, che ha una dimensione massima configurata di scansione degli allegati di 5 M, un valore maggiore può causare la mancata esecuzione delle scansioni DLP. L'azione per gli allegati con l'impostazione dei tipi MIME è un altro elemento comune che si desidera esaminare. Questa opzione deve essere impostata sul valore predefinito Skip in modo che i tipi MIME elencati vengano ignorati e tutti gli altri vengano analizzati. Se invece è impostata su Scan, l'ESA esegue la scansione solo dei tipi MIME elencati nella tabella.
Analogamente, altre impostazioni qui elencate possono influire sulle scansioni DLP e devono essere prese in considerazione in relazione al contenuto dell'allegato/e-mail.
È possibile passare a Scan Behavior (Comportamento analisi) in Security Services nella GUI o dal comando scanconfig nella CLI.

Le soglie predefinite della scala di gravità sono sufficienti per la maggior parte degli ambienti; tuttavia, se è necessario modificarli per supportare le corrispondenze FN (False Negative) o FP (False Positive), è possibile farlo. È inoltre possibile creare nuovi criteri fittizi e confrontarli per verificare se i criteri di prevenzione della perdita dei dati utilizzano le soglie predefinite consigliate.

Verificare che le voci immesse in uno di questi campi corrispondano alla corrispondenza tra maiuscole e minuscole degli indirizzi e-mail del mittente e/o del destinatario. Il campo Filtra mittenti e destinatari rileva la distinzione tra maiuscole e minuscole. I criteri di prevenzione della perdita dei dati non vengono attivati se l'indirizzo di posta elettronica è simile a "TestEmail@mail.com" nel client di posta e viene immesso come "testemail@mail.com" in questi campi.

| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
01-Jul-2026
|
Riflessione |
1.0 |
26-Apr-2020
|
Versione iniziale |