电子邮件仍是无意或未经授权的数据暴露最常见的渠道之一。为帮助组织保护通过邮件共享的敏感信息,思科通过集成思科安全访问(SA)和思科邮件威胁防御(ETD),提供邮件数据丢失防护(DLP)功能。
在此架构中,所有邮件DLP策略的创建、配置和实施操作都在思科安全访问中执行。思科电邮威胁防御提供电邮可视性和邮件跟踪,而思科安全访问则充当用于定义DLP规则和实施行为的策略引擎。
本文解释如何使用预定义的DLP模板或自定义DLP模板,在思科安全访问中创建邮件DLP策略。
开始配置过程之前,请确保满足以下要求:
重要信息:虽然此解决方案同时使用思科安全访问和思科邮件威胁防御,但本文中介绍的所有邮件DLP规则配置步骤都仅在思科安全访问中执行。
要成功实施邮件DLP策略,需要使用以下组件:
在思科安全访问中创建邮件DLP策略时,可以配置:

NOTE:在上图中,交换服务器是O365,但此DLP配置可以在支持SMTP的任何Exchange服务器上完成。
NOTE:请参阅文章“Steps to integrate Cisco Email Threat Defense(ETD)with Cisco Secure Access:(将思科电邮威胁防御(ETD)与思科安全访问集成的步骤:)”以通过API集成思科电邮威胁防御和思科安全访问。
在思科安全访问中配置邮件DLP策略
使用具有所需权限的管理员帐户登录到Cisco Secure Access(SA)控制台。
从Secure Access控制面板导航至:
Secure > Policy > Data Loss Prevention Policy > Add Rule > Email DLP Rule
这将打开Add New Email Rule页。
思科安全访问提供两种创建邮件DLP规则的方法:
图1.导航至邮件DLP规则创建
导航至ADD RULE > Email DLP Rule窗口,
在Add New Email Rule窗口中,输入以下详细信息:
规则名称
输入邮件DLP规则的描述性名称。
描述
简要总结规则的用途。
严重级别
为策略选择相应的严重性级别:
这些字段有助于对规则进行分类,以实现管理、报告和操作可视性。

在Data Classifications下,选择用于检查邮件内容是否存在潜在DLP违规的预定义DLP模板。
接下来,选择应匹配所选分类的位置。支持的检测位置包括:
这样,策略可以检查邮件内容和附件中的敏感信息。

在Files Control下,配置规则的基于文件的检查条件。
其中包括以下支持:
当DLP实施必须考虑与附加文件关联的敏感度标签或元数据时,这些设置非常有用。

在发件人部分中,指定策略应用于哪些发件人。
可用选项包括:
这样,您就可以广泛应用规则,或者将规则限制为选定用户或组。

在Recipients部分中,选择应包括在策略评估中或从策略评估中排除的用户或组。
可用选项包括:
这有助于根据预期收件人定制策略实施。

在操作部分中,选择思科安全访问应如何处理被明确标识为违反DLP规则的邮件。
可用操作包括:
监控
允许使用电子邮件,并记录事件以进行可视性和报告。
阻止
邮件被丢弃,以防止传输敏感数据。

注意:目前,可以允许已确认的电子邮件通过Monitor操作或通过Block操作删除。
重要信息:邮件DLP操作仅在Cisco Secure Access中配置。如果邮件被安全访问阻止,则此事件也可在思科ETD邮件跟踪中看到。
通知选项仅适用于“Recipients”。
在User Notifications下,配置当邮件与DLP策略匹配时是否应通知用户。
可以选择通知“参与者经理”或“自定义收件人”。“自定义收件人”可以是任何人。
根据需要将邮件模板从“默认”配置为“自定义”通知。
如果启用,通知可以帮助提高用户感知并减少重复违反策略的情况。根据您组织的运行和合规性要求配置此设置。
用户通知是促进安全意识和确保合规性的强大工具。通过在邮件触发DLP策略时提醒用户或管理员,您可以立即提供有关违规的反馈和情景。
注意:通知设置主要面向邮件收件人和指定的利益相关者。
要配置通知,请执行以下操作:
最佳实践:启用这些通知是减少重复策略违规的有效方法,可以实时培训用户有关敏感数据处理过程的信息。

注意:通知选项可能因租户配置和策略设置而异。
完成规则配置后:
邮件DLP策略现在在思科安全访问中处于活动状态。
创建自定义DLP模板涉及两个主要阶段:定义自定义标识符并配置数据分类。
注意:数据分类引擎高度灵活,允许您使用单个自定义标识符或由AND/OR布尔运算符链接的自定义标识符和预定义标识符的组合来构建策略。
要定义用于检测的新数据模式,请执行以下步骤:

保存自定义标识符后,您可以将其集成到数据分类对象中:

此配置可确保您的组织能够检测专门针对您的内部数据结构和合规性要求而定制的敏感信息。
如果邮件DLP规则未按预期运行,请查看以下内容:
部署邮件DLP策略时,请考虑以下最佳实践:
思科安全访问是在集成的思科安全访问和思科邮件威胁防御部署中配置邮件DLP策略的中央平台。虽然ETD提供可视性和邮件跟踪,但所有DLP规则创建、分类选择、实施操作和通知均在安全访问中进行配置。
通过使用预定义或自定义DLP模板,管理员可以检查邮件内容和附件,定义发件人和收件人范围,并应用Monitor或Block操作来帮助防止通过邮件丢失敏感数据。
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
22-Jun-2026
|
初始版本 |