Este documento descreve métodos comuns para solucionar problemas de classificação incorreta e falhas (ou erros) de verificação relacionados ao DLP no ESA.
É fundamental observar que a Prevenção de Perda de Dados (DLP) no Cisco Email Security Appliance (ESA). é plug-and-play no sentido de que você pode ativá-la, criar uma política e começar a procurar dados confidenciais; no entanto, você também deve estar ciente de que os melhores resultados só são alcançados depois que você ajusta o DLP para se adequar aos requisitos específicos da sua empresa. Isso inclui itens como tipos de políticas DLP, detalhes de correspondência de política, como ajustar a escala de gravidade, filtros e personalizações adicionais.
Aqui estão alguns exemplos de violações de DLP que você pode ver nos logs de e-mail e/ou no Rastreamento de mensagens. A linha de registro inclui um carimbo de data/hora, nível de registro, número MID, violação ou nenhuma violação, gravidade e fator de risco, além da política que foi correspondida.
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
Quando nenhuma violação for encontrada, os logs de e-mail e/ou o Rastreamento de mensagem simplesmente registrarão DLP sem violação.
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
Aqui são fornecidos itens comuns que podem ser revisados quando você lida com erros de classificação DLP ou falhas/erros de verificação.
As atualizações do mecanismo DLP não são automáticas por padrão, portanto, é essencial garantir a execução da versão mais recente, que inclui aprimoramentos recentes ou correções de bugs.
Você pode navegar para Prevenção de Perda de Dados em Serviços de Segurança na GUI para confirmar a versão atual do mecanismo e ver se há atualizações disponíveis. Se houver uma atualização disponível, clique em Atualizar agora para fazer a atualização.

O DLP oferece a opção de registrar o conteúdo que viola suas políticas DLP. Esses dados podem ser visualizados no Rastreamento de mensagens para ajudar a rastrear o conteúdo de um e-mail que causaria uma violação específica.
Você pode navegar para Prevenção de Perda de Dados em Serviços de Segurança na GUI para ver se o Registro de Conteúdo Correspondente está habilitado.


A configuração do comportamento de verificação no ESA também afeta a funcionalidade por trás do DLP. Se você se referir à imagem aqui como exemplo, que tem um tamanho máximo de varredura de anexo de 5M configurado, qualquer tamanho maior pode fazer com que as varreduras de DLP sejam perdidas. Além disso, a ação para anexos com tipos MIME é outro item comum que você deseja revisar. Isso deve ser definido como o padrão de Ignorar para que os tipos MIME listados sejam ignorados e todos os outros sejam verificados. Se, em vez disso, estiver definido como Varredura, o ESA verificará apenas os tipos MIME listados na tabela.
Da mesma forma, outras configurações listadas aqui podem afetar as varreduras de DLP e devem ser levadas em conta de acordo com o conteúdo do anexo/e-mail.
Você pode navegar para Comportamento de verificação em Serviços de segurança na GUI ou a partir do comando scanconfig na CLI.

Os limiares de escala de severidade predefinidos são suficientes para a maioria dos ambientes; no entanto, se você precisar modificá-los para ajudar com correspondências FN (False Negative, Negativo falso) ou FP (False Positive, falso positivo), poderá fazer isso. Você também pode criar uma nova política fictícia e compará-la para confirmar se sua política DLP usa os limites padrão recomendados.

Verifique se as entradas inseridas nesses campos correspondem às maiúsculas e minúsculas corretas dos endereços de e-mail do remetente e/ou do destinatário. O campo Filtrar remetentes e destinatários diferencia maiúsculas de minúsculas. A política DLP não é acionada se o endereço de e-mail se parecer com "TestEmail@mail.com" no cliente de e-mail e for inserido como "testemail@mail.com" nesses campos.

| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
01-Jul-2026
|
Recerta |
1.0 |
26-Apr-2020
|
Versão inicial |