本文檔介紹常見方法,用於診斷ESA上與DLP相關的錯誤分類和掃描故障(或失誤)。
請務必注意,思科電子郵件安全裝置(ESA)上的資料丟失防護(DLP)是即插即用的,您可以啟用它、建立策略並開始掃描敏感資料;但是,您還應注意,只有調整DLP以滿足公司特定要求後,才能獲得最佳結果。這將包括DLP策略的型別、策略匹配詳細資訊、如何調整嚴重性範圍、篩選器和其他自定義設定等內容。
以下是一些可以在郵件日誌和/或郵件跟蹤中看到的DLP違規示例。日誌行包括時間戳、日誌級別、MID號、違規或無違規、嚴重性和風險因素以及匹配的策略。
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
如果未發現違規,則郵件日誌和/或郵件跟蹤僅記錄DLP無違規。
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
此處提供了一些常見專案,可以在處理DLP錯誤分類或掃描失敗/錯誤時進行檢查。
預設情況下,DLP引擎更新不會自動更新,因此確保運行包含所有最新增強功能或錯誤修復程式的最新版本至關重要。
您可以在GUI的Security Services下導航到Data Loss Prevention,以確認當前引擎版本並檢視是否有可用的更新。如果更新可用,則可以按一下Update Now執行更新。

DLP提供了記錄違反您的DLP策略內容的選項。然後,可以在郵件跟蹤中檢視此資料,以幫助跟蹤郵件中的哪些內容會導致特定違規。
您可以在GUI中的Security Services下導航到Data Loss Prevention,以檢視是否啟用了Matched Content Logging。


ESA上的掃描行為配置也會影響DLP後面的功能。如果以配置的最大附件掃描大小為5M的示例來參考此圖像,則任何較大的內容都可能會導致DLP掃描丟失。此外,對具有MIME型別設定的附件的操作是另一個要審閱的常見項。此值應設定為跳過的預設值,這樣將跳過列出的MIME型別,並掃描所有其他型別。如果設定為「掃描」,則ESA僅掃描表中列出的MIME型別。
同樣,此處列出的其他設定可能會影響DLP掃描,並且應該根據附件/電子郵件內容予以考慮。
您可以在GUI中的Security Services下或從CLI中的scanconfig命令導航到Scan Behavior。

對於大多數環境,預設嚴重性擴展閾值已足夠;但是,如果您需要修改它們來協助處理假陰性(FN)或假陽性(FP)匹配,則可以這樣做。您還可以建立新的虛擬策略並進行比較,以確認DLP策略是否使用建議的預設閾值。

檢查在這些欄位中輸入的條目是否與發件人和/或收件人電子郵件地址的正確大小寫匹配。Filter Sender and Recipients欄位區分大小寫。如果電子郵件地址在郵件客戶端中看上去像「TestEmail@mail.com」,並且以「testemail@mail.com」的形式輸入到這些欄位,則不會觸發DLP策略。

| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
01-Jul-2026
|
雷克特 |
1.0 |
26-Apr-2020
|
初始版本 |