電子郵件仍然是非故意或未經授權的資料暴露的最常見管道之一。為幫助組織保護通過電子郵件共用的敏感資訊,思科通過整合思科安全訪問(SA)和思科郵件威脅防御(ETD),提供電子郵件資料丟失防范(DLP)功能。
在此架構中,所有電子郵件DLP策略建立、配置和實施操作均在Cisco Secure Access中執行。思科郵件威脅防禦提供郵件可視性和郵件跟蹤,而思科安全訪問則充當定義DLP規則和實施行為的策略引擎。
本文說明如何使用預定義的DLP模板或自定義DLP模板,在Cisco安全訪問中建立電郵DLP策略。
開始配置過程之前,請確保滿足以下要求:
重要:雖然此解決方案同時使用思科安全訪問和思科郵件威脅防禦,但本文中介紹的所有郵件DLP規則配置步驟都僅在思科安全訪問中執行。
要成功實施電子郵件DLP策略,需要使用以下元件:
在Cisco Secure Access中建立電子郵件DLP策略時,可以配置:

附註:在上圖中,Exchange伺服器是O365,但此DLP配置可以在支援SMTP的任何Exchange伺服器上完成。
附註:請參閱「將思科電子郵件威脅防禦(ETD)與思科安全訪問整合的步驟:」文章,以通過API整合思科電子郵件威脅防禦和思科安全訪問。
在思科安全訪問中配置電子郵件DLP策略
使用具有所需許可權的管理員帳戶登入到Cisco Secure Access(SA)控制檯。
從Secure Access控制面板導航至:
Secure > Policy > Data Loss Prevention Policy > Add Rule > Email DLP Rule
這將開啟Add New Email Rule頁。
Cisco Secure Access提供了兩種建立電子郵件DLP規則的方法:
圖1.導航至電子郵件DLP規則建立
導航到ADD RULE > Email DLP Rule視窗,
在Add New Email Rule視窗中,輸入以下詳細資訊:
規則名稱
輸入電子郵件DLP規則的描述性名稱。
說明
提供規則的用途的簡短摘要。
嚴重性
為策略選擇相應的嚴重性級別:
這些欄位有助於對規則進行分類,以實現管理、報告和操作可視性。

在Data Classifications下,選擇用於檢查電子郵件內容是否存在潛在DLP違規的預定義DLP模板。
接下來,選擇應匹配所選分類的位置。支援的檢查位置包括:
這允許策略檢查郵件內容和附件中的敏感資訊。

在Files Control下,為規則配置基於檔案的檢查標準。
其中包括以下支援:
當DLP實施必須考慮與附加檔案關聯的敏感度標籤或後設資料時,這些設定非常有用。

在發件人部分中,指定策略應用於哪些發件人。
可用選項包括:
這樣,您就可以將規則廣泛應用或限製為選定的使用者或組。

在Recipients部分,選擇應包括在策略評估中或從策略評估中排除的使用者或組。
可用選項包括:
這有助於根據目標收件人定製策略實施。

在Action部分,選擇思科安全訪問應如何處理被明確標識為違反DLP規則的電子郵件。
可用操作包括:
監視
允許使用電子郵件,並記錄事件以進行可視性和報告。
封鎖
郵件被丟棄,以防止傳輸敏感資料。

附註:目前,可以允許通過Monitor操作或通過Block操作刪除已正確識別的電郵。
重要:電子郵件DLP操作僅在Cisco Secure Access中配置。如果安全訪問阻止了電子郵件,則此事件也顯示在Cisco ETD郵件跟蹤中。
通知選項僅對參與者可用。
在User Notifications下,配置當電子郵件與DLP策略匹配時是否應通知使用者。
可以選擇通知「參與者經理」或「自定義收件人」。「自定義收件人」可以是任何人。
根據需要將電子郵件模板從「預設」配置為「自定義」通知。
如果啟用,通知可以幫助提高使用者感知並減少重複違反策略的情況。根據您組織的操作和合規性要求配置此設定。
使用者通知是提高安全意識和確保合規性的強大工具。通過在電子郵件觸發DLP策略時提醒使用者或管理員,您可以立即提供有關違規的反饋和情景。
附註:通知設定主要針對電子郵件收件人和指定的利益相關者。
要配置通知,請執行以下操作:
最佳實踐:啟用這些通知是一種有效的減少重複策略違規的方法,它可以即時培訓使用者有關敏感資料處理過程的資訊。

附註:通知選項可能因租戶配置和策略設定而異。
完成規則配置後:
郵件DLP策略現在在Cisco Secure Access中處於活動狀態。
建立自定義DLP模板涉及兩個主要階段:定義自定義標識符和配置資料分類。
附註:資料分類引擎非常靈活,允許您使用單個自定義識別符號或由AND/OR布林運算子連結的自定義識別符號和預定義識別符號的組合來構建策略。
要定義用於檢測的新資料模式,請執行以下步驟:

儲存自定義識別符號後,您可以將其整合到資料分類對象中:

此配置可確保您的組織能夠檢測專門針對您的內部資料結構和法規遵從性要求而定製的敏感資訊。
如果電子郵件DLP規則未按預期運行,請檢視以下內容:
部署電子郵件DLP策略時,請考慮以下最佳做法:
Cisco Secure Access是在整合的Cisco Secure Access和Cisco Email Threat Defense部署中配置電子郵件DLP策略的中央平台。雖然ETD提供可視性和郵件跟蹤,但所有DLP規則建立、分類選擇、實施操作和通知均在Secure Access中配置。
通過使用預定義或自定義DLP模板,管理員可以檢查電子郵件內容和附件、定義發件人和收件人範圍,並應用Monitor或Block操作以幫助防止通過電子郵件丟失敏感資料。
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
22-Jun-2026
|
初始版本 |