E-mail blijft een van de meest voorkomende kanalen voor onbedoelde of ongeoorloofde blootstelling van gegevens. Om organisaties te helpen gevoelige informatie te beschermen die via e-mail wordt gedeeld, biedt Cisco mogelijkheden voor het voorkomen van verlies van e-mailgegevens (DLP) via de integratie van Cisco Secure Access (SA) en Cisco Email Threat Defense (ETD).
In deze architectuur worden alle acties voor het maken, configureren en handhaven van DLP-beleid voor e-mail uitgevoerd in Cisco Secure Access. Cisco Email Threat Defense biedt zichtbaarheid van e-mail en het bijhouden van berichten, terwijl Cisco Secure Access fungeert als de beleidsengine voor het definiëren van DLP-regels en handhavingsgedrag.
In dit artikel wordt uitgelegd hoe u een DLP-beleid voor e-mail maakt in Cisco Secure Access, met behulp van een vooraf gedefinieerde DLP-sjabloon of een aangepaste DLP-sjabloon.
Voordat u begint met het configuratieproces, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:
Belangrijk: hoewel deze oplossing zowel Cisco Secure Access als Cisco Email Threat Defense gebruikt, worden alle configuratiestappen voor de DLP-regel voor e-mail die in dit artikel worden beschreven, alleen uitgevoerd in Cisco Secure Access.
Voor het succesvol implementeren van een e-mail DLP-beleid worden de volgende componenten gebruikt:
Wanneer u een DLP-beleid voor e-mail maakt in Cisco Secure Access, kunt u het volgende configureren:

OPMERKING: In de bovenstaande afbeelding is de Exchange-server O365, maar deze DLP-configuratie kan worden uitgevoerd op elke Exchange-server die SMTP ondersteunt.
OPMERKING: Raadpleeg het artikel "Stappen om Cisco Email Threat Defense (ETD) te integreren met Cisco Secure Access:" om Cisco Email Threat Defense en Cisco Secure Access te integreren via API.
Een DLP-beleid voor e-mail configureren in Cisco Secure Access
Meld u aan bij de Cisco Secure Access (SA)-console met een beheerdersaccount met de vereiste machtigingen.
Navigeer vanuit het dashboard voor beveiligde toegang naar:
Veilig > Beleid > Beleid ter voorkoming van gegevensverlies > Regel toevoegen > Regel voor e-mail DLP
Hiermee wordt de pagina Nieuwe e-mailregel toevoegen geopend.
Cisco Secure Access biedt twee methoden om een DLP-regel voor e-mail te maken:
Afbeelding 1. Navigeer naar Aanmaken van DLP-regel voor e-mail
Navigeer naar REGEL TOEVOEGEN > venster regel voor DLP e-mail,
Voer in het venster Nieuwe e-mailregel toevoegen de volgende gegevens in:
Naam regel
Voer een beschrijvende naam in voor de regel DLP e-mail.
Beschrijving
Geef een korte samenvatting van het doel van de regel.
Ernst
Selecteer het juiste prioriteitsniveau voor het beleid:
Deze velden helpen bij het categoriseren van de regel voor administratie, rapportage en operationele zichtbaarheid.

Selecteer onder Gegevensclassificaties de vooraf gedefinieerde DLP-sjabloon die wordt gebruikt om e-mailinhoud te inspecteren op mogelijke DLP-overtredingen.
Kies vervolgens waar de geselecteerde classificaties moeten worden aangepast. Ondersteunde inspectielocaties zijn onder meer:
Hierdoor kan het beleid zowel de inhoud van het bericht als de bijlagen op gevoelige informatie controleren.

Configureer onder Bestandsbeheer de bestandsinspectiecriteria voor de regel.
Dit omvat ondersteuning voor:
Deze instellingen zijn handig wanneer DLP-handhaving rekening moet houden met gevoeligheidslabels of metagegevens die zijn gekoppeld aan gekoppelde bestanden.

Geef in het gedeelte Afzenders op op welke afzenders het beleid van toepassing is.
Beschikbare opties zijn onder meer:
Hiermee kunt u de regel breed toepassen of beperken tot geselecteerde gebruikers of groepen.

Kies in de sectie Ontvangers de gebruikers of groepen die moeten worden opgenomen of uitgesloten van beleidsevaluatie.
Beschikbare opties zijn onder meer:
Dit helpt bij het afstemmen van beleidshandhaving op basis van beoogde ontvangers.

Kies in het gedeelte Actie hoe Cisco Secure Access moet omgaan met e-mails waarvan is vastgesteld dat ze de DLP-regel overtreden.
Beschikbare acties zijn:
Monitor (bewaken)
De e-mail is toegestaan en het evenement is geregistreerd voor zichtbaarheid en rapportage.
Block (blokkeren)
De e-mail wordt verwijderd om de overdracht van gevoelige gegevens te voorkomen.

Opmerking: momenteel kunnen positief geïdentificeerde e-mails worden toegestaan via de actie Monitor of worden verwijderd via de actie Blokkeren.
Belangrijk: DLP-acties voor e-mail worden alleen geconfigureerd in Cisco Secure Access. Als een e-mail wordt geblokkeerd door Secure Access, is de gebeurtenis ook zichtbaar in Cisco ETD-berichttracering.
De meldingsoptie is alleen beschikbaar voor de ontvangers.
Configureer onder Gebruikersmeldingen of gebruikers een melding moeten ontvangen wanneer een e-mail overeenkomt met het DLP-beleid.
Er is een optie om "Actor's Manager" of een "Aangepaste ontvanger" te melden. Een "Custom Recipient" kan iedereen zijn.
Configureer de e-mailberichtsjabloon van Standaard naar Aangepaste melding volgens uw behoefte.
Als deze functie is ingeschakeld, kunnen meldingen de bekendheid van gebruikers verbeteren en herhaaldelijke beleidsovertredingen verminderen. Configureer deze instelling volgens de operationele en nalevingsvereisten van uw organisatie.
Gebruikersmeldingen zijn een krachtig hulpmiddel voor het bevorderen van beveiligingsbewustzijn en het waarborgen van naleving. Door gebruikers of beheerders te waarschuwen wanneer een e-mail een DLP-beleid activeert, kunt u onmiddellijk feedback en context geven met betrekking tot de overtreding.
Opmerking: meldingsinstellingen zijn voornamelijk bedoeld voor de ontvangers van e-mail en aangewezen belanghebbenden.
Meldingen configureren:
Best Practice: Het inschakelen van deze meldingen is een effectieve manier om herhaalde beleidsovertredingen te verminderen door gebruikers in realtime te informeren over procedures voor de verwerking van gevoelige gegevens.

Opmerking: meldingsopties kunnen variëren op basis van de configuratie van de tenant en de beleidsinstellingen.
Na het voltooien van de regelconfiguratie:
Het DLP-beleid voor e-mail is nu actief in Cisco Secure Access.
Het maken van een aangepaste DLP-sjabloon omvat twee primaire fasen: het definiëren van een aangepaste ID en het configureren van de gegevensclassificatie.
Opmerking: de engine voor gegevensclassificatie is zeer flexibel, zodat u beleidsregels kunt maken met één aangepaste ID of een combinatie van aangepaste en vooraf gedefinieerde ID's die zijn gekoppeld door AND/OR-booleaanse operatoren.
Voer de volgende stappen uit om een nieuw gegevenspatroon voor detectie te definiëren:

Zodra uw aangepaste ID is opgeslagen, kunt u deze integreren in een gegevensclassificatieobject:

Deze configuratie zorgt ervoor dat uw organisatie gevoelige informatie kan detecteren die specifiek is afgestemd op uw interne gegevensstructuren en nalevingsvereisten.
Als de DLP-regel voor e-mail zich niet gedraagt zoals verwacht, controleert u het volgende:
Houd rekening met de volgende best practices bij het implementeren van e-mail DLP-beleid:
Cisco Secure Access is het centrale platform voor het configureren van het DLP-beleid voor e-mail in een geïntegreerde implementatie van Cisco Secure Access en Cisco Email Threat Defense. Terwijl ETD zichtbaarheid en berichttracering biedt, worden alle DLP-regelcreatie, classificatieselectie, handhavingsacties en meldingen geconfigureerd in Secure Access.
Door vooraf gedefinieerde of aangepaste DLP-sjablonen te gebruiken, kunnen beheerders e-mailinhoud en bijlagen inspecteren, het bereik van afzender en ontvanger definiëren en acties voor controleren of blokkeren toepassen om te voorkomen dat gevoelige gegevens via e-mail verloren gaan.
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
22-Jun-2026
|
Eerste vrijgave |