In dit document worden algemene methoden beschreven voor het oplossen van problemen met verkeerde classificatie en scanfouten (of -fouten) met betrekking tot DLP op de ESA.
Het is van cruciaal belang om op te merken dat Data Loss Prevention (DLP) op de Cisco Email Security Appliance (ESA). plug-and-play is in de zin dat u het kunt inschakelen, een beleid kunt maken en kunt beginnen met scannen naar gevoelige gegevens; u moet zich er echter ook van bewust zijn dat de beste resultaten alleen worden bereikt nadat u DLP hebt afgestemd op uw bedrijfsspecifieke vereisten. Dit zou zaken omvatten zoals soorten DLP-beleid, details over beleidsovereenkomsten, hoe u de prioriteitsschaal kunt aanpassen, filters en aanvullende aanpassingen.
Hier zijn enkele voorbeelden van DLP-overtredingen die u kunt zien in de maillogboeken en / of Berichtentracering. De logline bevat een tijdstempel, logniveau, MID #, overtreding of geen overtreding, ernst en risicofactor en het beleid dat is afgestemd.
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
Wanneer er geen overtreding is gevonden, registreert de e-maillogboeken en/of Berichtentracering eenvoudig geen DLP-overtreding.
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
Hier zijn algemene items die kunnen worden beoordeeld wanneer u te maken hebt met DLP-misclassificaties of scanfouten / -missingen.
DLP-engine-updates zijn niet standaard automatisch, dus het is van cruciaal belang om ervoor te zorgen dat u de nieuwste versie uitvoert die recente verbeteringen of bugfixes bevat.
U kunt navigeren naar Gegevensverliespreventie onder Beveiligingsservices in de GUI om de huidige versie van de engine te bevestigen en om te zien of er updates beschikbaar zijn. Als er een update beschikbaar is, kunt u klikken op Nu bijwerken om de update uit te voeren.

DLP biedt de mogelijkheid om de inhoud die in strijd is met uw DLP-beleid te registreren. Deze gegevens kunnen vervolgens worden bekeken in Berichtentracering om te helpen bij het opsporen van welke inhoud in een e-mail een bepaalde overtreding zou veroorzaken.
U kunt naar Preventie van gegevensverlies navigeren onder Beveiligingsservices in de GUI om te zien of Logboekregistratie voor overeenkomende inhoud is ingeschakeld.


De configuratie van het scangedrag op de ESA heeft ook invloed op de functionaliteit achter DLP. Als u hier naar de afbeelding verwijst als een voorbeeld, dat een geconfigureerde maximale scangrootte van 5M voor bijlagen heeft, kan alles wat groter is ervoor zorgen dat DLP-scans worden gemist. Ook de actie voor bijlagen met MIME-typen instelling is een ander gemeenschappelijk item dat u wilt bekijken. Dit moet worden ingesteld op de standaardwaarde voor Overslaan, zodat de weergegeven MIME-typen worden overgeslagen en alle andere worden gescand. Als in plaats daarvan is ingesteld op Scannen, scant de ESA alleen de MIME-typen die in de tabel worden vermeld.
Evenzo kunnen andere instellingen die hier worden vermeld van invloed zijn op de DLP-scans en moet rekening worden gehouden met de respectieve bijlage / e-mailinhoud.
U kunt navigeren naar Scangedrag onder Beveiligingsservices in de GUI of vanuit de opdracht scanconfig binnen de CLI.

De standaarddrempelwaarden voor de prioriteitsschaal zijn voldoende voor de meeste omgevingen. Als u ze echter moet aanpassen om te helpen bij FN-overeenkomsten (false negative) of FFP-overeenkomsten (false positive), kunt u dit doen. U kunt ook een nieuw beleid maken en deze vergelijken om te bevestigen of uw DLP-beleid de aanbevolen standaarddrempelwaarden gebruikt.

Controleer of de ingevoerde gegevens in een van deze velden overeenkomen met het juiste geval van de e-mailadressen van de afzender en/of ontvanger. Het veld Afzenders en ontvangers van filters is hoofdlettergevoelig. Het DLP-beleid wordt niet geactiveerd als het e-mailadres lijkt op "TestEmail@mail.com" in de e-mailclient en wordt ingevoerd als "testemail@mail.com" in deze velden.

| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
01-Jul-2026
|
terugzetten |
1.0 |
26-Apr-2020
|
Eerste vrijgave |