Il monitoraggio in uscita è la visibilità di sicurezza sui dati che lasciano una rete. Tiene traccia del traffico e dei trasferimenti diretti verso email, applicazioni cloud, servizi di condivisione file, VPN o altre destinazioni esterne, alla ricerca di schemi che suggeriscano furto di dati, uso improprio o violazioni delle policy. A differenza dei controlli perimetrali che bloccano gli accessi indesiderati, il monitoraggio in uscita si concentra su ciò che un attaccante cerca di portare fuori.
Questo è importante perché molte violazioni diventano gravi solo quando i dati sensibili vengono esfiltrati. Gli attaccanti spesso nascondono i trasferimenti all'interno di traffico web apparentemente normale, usano canali cifrati, comprimono i file o spostano i dati lentamente per evitare il rilevamento. I difensori usano il monitoraggio in uscita con log dei proxy, analisi DNS, registri del firewall, DLP e rilevamento delle anomalie per individuare destinazioni, volumi, tempi o comportamenti degli utenti insoliti. È particolarmente utile per trovare account compromessi, minacce interne e malware che contatta la propria base o prepara i file rubati per il trasferimento.