이 문서에서는 ESA에서 DLP와 관련된 분류 오류 및 스캔 실패(또는 누락)를 트러블슈팅하는 일반적인 방법에 대해 설명합니다.
Cisco ESA(Email Security Appliance)의 DLP(Data Loss Prevention)는 플러그앤플레이이므로 이를 활성화하고 정책을 생성하고 민감한 데이터 검색을 시작할 수 있습니다. 그러나 회사별 요구 사항에 맞게 DLP를 조정한 후에야 최상의 결과를 얻을 수 있다는 점도 알고 있어야 합니다. 여기에는 DLP 정책의 유형, 정책 일치 세부 정보, 심각도 스케일 조정 방법, 필터, 추가 사용자 지정과 같은 항목이 포함됩니다.
다음은 메일 로그 및/또는 메시지 추적 내에서 볼 수 있는 DLP 위반의 몇 가지 예입니다. 로그라인에는 타임스탬프, 로그 레벨, MID #, 위반 또는 위반 없음, 심각도 및 위험 요소, 일치하는 정책이 포함됩니다.
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
위반이 발견되지 않으면 메일 로그 및/또는 메시지 추적은 DLP에 위반이 없는 것으로만 기록합니다.
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
다음은 DLP 오분류 또는 검사 실패/누락을 처리할 때 검토할 수 있는 일반적인 항목입니다.
DLP 엔진 업데이트는 기본적으로 자동으로 수행되지 않으므로 최신 개선 사항 또는 버그 수정이 포함된 최신 버전을 실행해야 합니다.
GUI의 Security Services(보안 서비스)에서 Data Loss Prevention(데이터 손실 방지)으로 이동하여 현재 엔진 버전을 확인하고 사용 가능한 업데이트가 있는지 확인할 수 있습니다. 업데이트를 사용할 수 있는 경우 Update Now(지금 업데이트)를 클릭하여 업데이트를 수행할 수 있습니다.

DLP는 DLP 정책을 위반하는 콘텐츠를 로깅하는 옵션을 제공합니다. 그런 다음 이 데이터를 메시지 추적에서 확인하여 이메일의 어떤 콘텐츠가 특정 위반을 유발하는지 추적할 수 있습니다.
GUI의 Security Services(보안 서비스) 아래에서 Data Loss Prevention(데이터 손실 방지)으로 이동하여 Matched Content Logging(일치하는 콘텐츠 로깅)이 활성화되어 있는지 확인할 수 있습니다.


ESA의 Scan Behavior 컨피그레이션은 DLP 이면의 기능에도 영향을 줍니다. 최대 첨부 파일 검사 크기가 5M으로 구성된 이 이미지를 예로 들면, 더 큰 경우 DLP 검사가 누락될 수 있습니다. 또한 MIME 유형 설정이 있는 첨부 파일에 대한 작업은 검토하려는 또 다른 일반 항목입니다. 나열된 MIME 유형을 건너뛰고 다른 유형을 모두 검사하려면 이 값을 Skip으로 설정해야 합니다. 대신 Scan(검사)으로 설정된 경우 ESA는 테이블에 나열된 MIME 유형만 검사합니다.
마찬가지로, 여기에 나열된 다른 설정은 DLP 스캔에 영향을 줄 수 있으며 첨부 파일/이메일 콘텐츠에 각각 고려해야 합니다.
GUI의 Security Services(보안 서비스)에서 또는 CLI 내의 scanconfig 명령에서 Scan Behavior(스캔 동작)로 이동할 수 있습니다.

기본 심각도 스케일 임계값은 대부분의 환경에서 충분합니다. 그러나 FN(False Negative) 또는 FP(False Positive) 일치를 지원하도록 수정해야 하는 경우에는 수정할 수 있습니다. 또한 새 더미 정책을 생성하고 이를 비교하여 DLP 정책이 권장 기본 임계값을 사용하는지 확인할 수 있습니다.

이러한 필드 중 하나에 입력한 항목이 발신자 및/또는 수신자 이메일 주소와 일치하는지 확인합니다. Filter Senders and Recipients(발신자 및 수신자 필터) 필드는 대/소문자를 구분합니다. DLP 정책은 이메일 주소가 메일 클라이언트에서 "TestEmail@mail.com"처럼 보이고 이러한 필드에 "testemail@mail.com"로 입력된 경우 트리거되지 않습니다.

| 개정 | 게시 날짜 | 의견 |
|---|---|---|
2.0 |
01-Jul-2026
|
리커트 |
1.0 |
26-Apr-2020
|
최초 릴리스 |