Prevenzione della perdita di dati - Risoluzione dei problemi di classificazione errata e degli errori di scansione

Opzioni per il download

  • PDF     (312.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (292.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (258.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:17 giugno 2020
ID documento:215447

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritti i metodi più comuni per risolvere gli errori di classificazione e di scansione (o errori) relativi a Data Loss Prevention (DLP) su Email Security Appliance (ESA).

    Prerequisiti

    • ESA con AsyncOS 11.x o versione successiva.
    • Chiave funzione DLP installata e in uso.

    Informazioni importanti

    È fondamentale notare che il DLP sull'ESA è plug-and-play nel senso che è possibile abilitarlo, creare una politica e iniziare la scansione per i dati sensibili; tuttavia, devi anche essere consapevole che i migliori risultati saranno raggiunti solo dopo aver regolato il DLP per soddisfare i requisiti specifici della tua azienda. ad esempio tipi di criteri di prevenzione della perdita dei dati, dettagli sulla corrispondenza ai criteri, regolazione della scala di gravità, filtro e ulteriori personalizzazioni.

    Esempi di log delle violazioni e violazioni assenti

    Di seguito sono riportati alcuni esempi di violazioni dei criteri di prevenzione della perdita dei dati che possono essere visualizzati nei log di posta e/o nel monitoraggio dei messaggi. La linea di registrazione includerà un indicatore orario, il livello di registrazione, il numero MID, la violazione o nessuna violazione, la gravità e il fattore di rischio e la regola corrispondente. 

    Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
    Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.

    Quando non viene rilevata alcuna violazione, i log di posta e/o la verifica messaggi registrano semplicemente DLP senza violazione

    Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation

    Elenco di controllo per la risoluzione dei problemi

    Di seguito sono riportati gli elementi comuni che è possibile esaminare quando si verificano errori o errori di classificazione o di analisi dei criteri di prevenzione della perdita dei dati. 

    Nota: L'elenco non è esaustivo. Se si desidera includere qualcosa, contattare Cisco TAC.

    Conferma della versione del motore DLP

    Gli aggiornamenti del motore di prevenzione della perdita dei dati non sono automatici per impostazione predefinita, quindi è fondamentale verificare che sia in esecuzione la versione più recente che include eventuali miglioramenti recenti o correzioni di bug.

    È possibile passare a Data Loss Prevention (Prevenzione perdita dati) in Security Services (Servizi di sicurezza) nella GUI per confermare la versione corrente del motore e verificare se sono disponibili aggiornamenti. Se è disponibile un aggiornamento, è possibile fare clic su Aggiorna adesso per eseguire l'aggiornamento. 

    Abilitazione della registrazione del contenuto corrispondente

    DLP offre la possibilità di registrare il contenuto che viola i criteri di prevenzione della perdita dei dati, insieme al contenuto circostante. Questi dati possono quindi essere visualizzati in Message Tracking (Verifica messaggi) per individuare il contenuto di un'e-mail che potrebbe causare una particolare violazione. 

    Attenzione: È importante sapere che, se abilitato, questo contenuto può includere dati riservati come numeri di carta di credito e numeri di previdenza sociale, ecc.

    È possibile passare a Data Loss Prevention (Prevenzione della perdita dei dati) in Security Services (Servizi di sicurezza) nella GUI per verificare se la registrazione del contenuto corrispondente è abilitata.

    Esempio di log del contenuto corrispondente visualizzato in Message Tracking

    Esame della configurazione del comportamento di scansione

    La configurazione del comportamento di scansione sull'ESA influisce anche sulla funzionalità di scansione DLP. Osservando lo screenshot seguente come esempio, che ha una dimensione massima configurata di scansione degli allegati di 5M, un valore maggiore potrebbe causare la mancata scansione del DLP. L'azione per gli allegati con l'impostazione dei tipi MIME è un altro elemento comune che si desidera esaminare. È necessario impostare il valore predefinito Skip in modo che i tipi MIME elencati vengano ignorati e tutti gli altri vengano analizzati. Se invece è impostato su Scan, verranno analizzati solo i tipi MIME elencati nella tabella.

    Analogamente, altre impostazioni qui elencate possono influire sulla scansione DLP e devono essere prese in considerazione a seconda del contenuto dell'allegato/e-mail.

    È possibile passare a Scan Behavior (Comportamento analisi) in Security Services nella GUI o eseguendo il comando scanconfig nella CLI. 

    Esame della configurazione della scala di gravità

    Le soglie predefinite della scala di gravità saranno sufficienti per la maggior parte degli ambienti; tuttavia, se è necessario modificarli per supportare la corrispondenza con i valori FN (False Negative) o FP (False Positive), è possibile eseguire questa operazione. È inoltre possibile verificare che i criteri di prevenzione della perdita dei dati utilizzino le soglie predefinite consigliate creando un nuovo criterio fittizio e quindi confrontandoli. 

    Nota: i diversi criteri predefiniti (ad esempio HIPAA USA e PCI-DSS) hanno una diversa scala. 

    Esame degli indirizzi e-mail aggiunti ai campi Filtra mittenti e destinatari

    Verificare che le voci immesse in uno di questi campi corrispondano alla corrispondenza tra maiuscole e minuscole degli indirizzi e-mail del mittente e/o del destinatario. Il campo Filtra mittenti e destinatari rileva la distinzione tra maiuscole e minuscole. I criteri di prevenzione della perdita dei dati non verranno attivati se l'indirizzo e-mail nel client di posta assomiglia a "TestEmail@mail.com" e viene immesso come "testemail@mail.com" in questi campi.

    Informazioni correlate

    TAC Authored

    Contributo dei tecnici Cisco

    • Dennis McCabe Jr
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti