Prevención de pérdida de datos: resolución de problemas de clasificaciones erróneas y fallas de escaneo

Opciones de descarga

  • PDF     (313.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (292.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (258.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de junio de 2020
ID del documento:215447

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe métodos comunes para solucionar errores de clasificación y escanear fallas (o pérdidas) relacionadas con la prevención de pérdida de datos (DLP) en el dispositivo de seguridad de correo electrónico (ESA).

    Prerequisites

    • ESA que ejecuta AsyncOS 11.x o posterior.
    • Clave de característica DLP instalada y en uso.

    Información importante

    Es fundamental tener en cuenta que DLP en el ESA es plug-and-play en el sentido de que puede habilitarlo, crear una política y comenzar a buscar datos confidenciales; sin embargo, también debe ser consciente de que los mejores resultados sólo se obtendrán después de ajustar DLP para adaptarlos a los requisitos específicos de su empresa. Esto incluiría elementos como tipos de políticas de DLP, detalles de coincidencia de políticas, ajuste de la escala de gravedad, filtrado y personalizaciones adicionales.

    Ejemplos de Violación vs. No Violación de Registro

    A continuación se muestran algunos ejemplos de violaciones de DLP que puede ver en los registros de correo o en el Rastreo de mensajes. La línea de registro incluirá una marca de tiempo, el nivel de registro, el número de IDm, la violación o ausencia de infracción, el factor de gravedad y riesgo y la política coincidente. 

    Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
    Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.

    Cuando no se encuentra ninguna violación, los registros de correo y/o el Rastreo de mensajes simplemente registrarán DLP sin infracción

    Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation

    Lista de comprobación de resolución de problemas

    A continuación, se proporcionan los elementos comunes que se pueden revisar cuando se trata de clasificaciones erróneas de DLP o errores/errores de escaneo. 

    Nota: Esta es una lista exhaustiva. Póngase en contacto con el TAC de Cisco si desea que se le incluya algo.

    Confirmación de la versión del motor DLP

    Las actualizaciones del motor DLP no son automáticas de forma predeterminada, por lo que es fundamental asegurarse de que está ejecutando la versión más reciente que incluye mejoras o correcciones de errores recientes.

    Puede navegar hasta Prevención de pérdida de datos en Servicios de seguridad en la GUI para confirmar la versión actual del motor y ver si hay actualizaciones disponibles. Si hay una actualización disponible, puede hacer clic en Actualizar ahora para realizar la actualización. 

    Habilitación del Registro de Contenido Coincidente

    DLP ofrece la opción de registrar el contenido que infringe las políticas de DLP, junto con el contenido que lo rodea. Estos datos se pueden ver luego en Rastreo de mensajes para ayudar con el rastreo de qué contenido dentro de un correo electrónico puede estar causando una violación en particular. 

    Precaución: Es importante saber que, si se activa, este contenido puede incluir datos confidenciales como números de tarjetas de crédito y números de la seguridad social, etc.

    Puede navegar hasta Prevención de pérdida de datos en Servicios de seguridad en la GUI para ver si Registro de contenido coincidente está habilitado.

    Ejemplo de registro de contenido coincidente visto en el rastreo de mensajes

    Revisión de la configuración del comportamiento de escaneo

    La configuración de comportamiento de escaneo en el ESA también afectará a la funcionalidad detrás del escaneo de DLP. Al observar la captura de pantalla siguiente como ejemplo, que tiene un tamaño máximo de escaneo de archivos adjuntos configurado de 5M, cualquier tamaño puede hacer que se pierda el escaneo de DLP. Además, la acción para los archivos adjuntos con la configuración de tipos MIME es otro elemento común que desea revisar. Esto se debe establecer en el valor predeterminado de Skip para que los tipos MIME enumerados se omitan y se escanee todo lo demás. Si en su lugar está configurado en Scan (Escanear), entonces sólo analizamos los tipos MIME enumerados en la tabla.

    Asimismo, otras configuraciones enumeradas aquí pueden afectar al escaneo de DLP y deben tenerse en cuenta en función del contenido del archivo adjunto/correo electrónico.

    Puede navegar hasta Scan Behavior en Security Services en la GUI, o ejecutando el comando scanconfig dentro de la CLI. 

    Revisión de la Configuración de Escala de Gravedad

    Los umbrales de escala de gravedad predeterminados serán suficientes para la mayoría de los entornos; sin embargo, si necesita modificarlos para ayudar con la coincidencia de FN (False Negative) o Falso Positive (FP), puede hacerlo. También puede confirmar que su política de DLP utiliza los umbrales predeterminados recomendados creando una nueva política falsa y después comparándolos. 

    Nota: Las diferentes políticas predefinidas (p. ej., HIPAA de EE. UU. frente a PCI-DSS) tendrán un escalado diferente. 

    Revisión de las direcciones de correo electrónico agregadas a los campos Filtrar remitentes y destinatarios

    Compruebe que las entradas introducidas en cualquiera de estos campos coincidan con el caso correcto de las direcciones de correo electrónico del remitente o del destinatario. El campo Filtrar remitentes y destinatarios distingue entre mayúsculas y minúsculas. La política de DLP no se activará si la dirección de correo electrónico se muestra como "TestEmail@mail.com" en el cliente de correo y se introduce como "testemail@mail.com" en estos campos.

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Dennis McCabe Jr
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos