了解 Symantec 的Microsoft Purview 数据丢失防护迁移助手

本文可帮助你了解 Symantec 的Microsoft Purview 数据丢失防护迁移助手。

迁移助手是基于 Windows 的桌面应用程序,用于将 Symantec 数据丢失防护 (DLP) 策略迁移到Microsoft Purview 数据丢失防护。 本文介绍五步迁移过程。 迁移助手接受 Symantec DLP 策略 XML 导出,执行映射,并通过 PowerShell 脚本创建等效的 DLP 策略。 可以使用迁移助手在测试模式下创建 DLP 策略。 测试模式下的策略不会影响实时数据或影响现有业务流程。

迁移助手有什么帮助?

迁移助手有助于完成 DLP 迁移项目中涉及的一些任务:

  • 在手动迁移方案中,需要在源和目标 DLP 平台之间执行可行性分析、映射功能、手动迁移策略以及测试和调整 DLP 策略。 使用迁移助手,迁移的 DLP 策略可以在启动迁移助手过程后的几分钟内启动并运行。
  • 使用迁移助手,可以快速纵向扩展迁移项目。 首先,可以手动将单个策略同时移动到多个策略。
  • 迁移助手在源策略中自动标识敏感信息类型 (SIT) 或数据标识符,并在 Microsoft 租户中创建自定义 SCT。 它还只需单击几下鼠标,就会移动所有自定义正则表达式和关键字。
  • 迁移助手检测源策略中当前使用的条件、排除项和操作,并自动创建具有相同条件和操作的新规则。
  • 迁移助手提供了详细的迁移报告,其中包括策略级别的迁移状态和建议。
  • 迁移助手可确保 DLP 策略迁移项目是专用的,并且发生在组织的边界内。

Symantec 的迁移助手如何工作?

迁移过程的工作原理如下:

Symantec Microsoft Purview 数据丢失防护迁移助手流程图。

每次运行迁移助手时,它都会执行以下步骤:

  • 输入:迁移助手引入一个或多个 Symantec DLP 策略 XML 文件。
  • 分析:迁移助手解释文件并标识 Symantec DLP 策略构造。
  • 合理化:迁移助手将标识的 Symantec DLP 策略构造映射到 Microsoft DLP 功能。 它针对 Microsoft DLP 平台限制执行验证。
  • 迁移:迁移助手针对 UDLP 平台识别和支持的 DLP 方案运行 PowerShell 脚本。
  • 报告:迁移助手报告已成功迁移的策略、部分迁移的策略以及无法迁移的策略。 它还提供了改进未来迁移的建议。

了解 Symantec DLP 元素到 Microsoft Purview DLP 元素的映射

迁移助手将不同的策略元素从 Symantec DLP 转换为 Microsoft Purview DLP。

Symantec DLP 支持的版本

迁移助手支持从 Symantec 版本 15.0 到 15.8(包括维护包)迁移 DLP 策略。

支持的工作负载

迁移助手将策略迁移到以下工作负载:

Workload 迁移助手支持
Exchange
SharePoint
OneDrive
Teams 聊天和通道消息
终结点设备

提示

可以使用迁移助手扩展到比输入 Symantec DLP 策略中检测到的工作负载更多的工作负载。

分类元素

下面是迁移助手如何将 Symantec 元素映射到 Purview DLP 元素。

Symantec Classification 元素 Microsoft Purview DLP 分类元素
正则表达式 使用正则表达式 (SIT) 创建新的自定义敏感信息类型。
关键字 使用关键字 (keyword) 列表或关键字 (keyword) 字典创建新的自定义 SIT。
关键字对 创建一个新的自定义 SIT,其中第一个关键字 (keyword) 列表作为主要元素&,第二个关键字 (keyword) 列表作为支持元素,具有 300 个字符的邻近感应。
数据标识符 如果等效项可用,则映射到预配置的 SIT,否则创建新的自定义 SIT。

下面是迁移助手在转换 Symantec DLP 策略时使用的敏感信息类型的可选验证器的映射详细信息 (也称为 Symantec DLP) 数据标识符:

Symantec 可选验证程序 Microsoft Purview DLP 可选验证程序
排除完全匹配项 排除特定匹配项
完全匹配数据标识符检查 不适用
排除起始字符 以字符开头或不以字符开头
排除结束字符 结尾或不以字符结尾
排除前缀 包含或排除前缀
排除后缀 包含或排除前缀
数字分隔符 不适用
需要起始字符 以字符开头或不以字符开头
完全匹配 不适用
重复的数字 排除重复字符
需要结束字符 结尾或不以字符结尾
查找关键字 可用作两个主要 & 支持元素

正则表达式 - 需要注意的潜在验证问题

上传规则包 XML 文件时,系统会验证 XML 并检查已知的错误模式和明显的性能问题。 下面是验证过程检查正则表达式的已知问题。

  • 不能以交流发电机“|”开头或结尾,该交流发电机“|”与所有内容匹配,因为它被视为空匹配项。
    • 例如,“|a”或“b|”不会通过验证。
  • 不能以 “开头或结尾。{0,m}“模式,它没有功能用途,只会损害性能。
    • 例如,“。{0,50}ASDF“或”ASDF”。{0,50}不会通过验证。
  • 不能有 “ 。{0,m}“或”.{1,m}“在组中,组中不能有”.*“或”.+”。
    • 例如,“ (。{0,50000}) “无法通过验证。
  • 不能在组中具有“{0,m}”或“{1,m}”中继器的任何字符。
    • 例如,“ (*) ”不会通过验证。
  • 不能以 “开头或结尾。{1,m}“;请改为仅使用“”。
    • 例如,“。{1,m}asdf“无法通过验证;请改为仅使用“.asdf”。
  • 组上不能有无限的中继器 (,例如“*”或“+”) 。
    • 例如,“ (xx) *”和“ (xx) +”不会通过验证。

条件和异常映射

下面介绍了迁移助手如何将各种工作负载的 Symantec 条件和异常元素映射到 Microsoft Purview DLP 条件。

Exchange 工作负载

Symantec 中的条件/异常 Microsoft Purview DLP 中的条件
内容与正则表达式匹配 内容包含 SIT
内容匹配关键字 内容包含 SIT
内容匹配数据标识符 内容包含 SIT
内容匹配分类 不支持
文件属性
  • 文件名
  • 文件类型
  • 一个或多个以下项:
  • 文档名称为
  • 文件扩展名为
  • 邮件附件或文件类型匹配 一个或多个以下项:
  • 附件受密码保护
  • 附件的文件扩展名为
  • 邮件附件或文件大小匹配 文档大小等于 或 大于
    邮件附件或文件名匹配 一个或多个以下项:
  • 文档名称包含字词或短语
  • 文档名称与模式匹配
  • 消息/Email属性和属性 一个或多个以下项:
  • Email主题包含
  • 发件人/用户匹配模式 一个或多个以下项:
  • 发件人为
  • 发件人是
  • 发件人域为
  • 发件人地址包含字词
  • 发件人地址与模式匹配
  • 发件人 IP 地址为
  • 收件人匹配模式 一个或多个以下项:
  • 收件人所在组为
  • 收件人域为
  • 收件人为
  • 收件人地址包含字词
  • 收件人地址与模式匹配
  • 基于目录服务器组的发件人/用户 不支持
    基于目录服务器组的收件人 不支持
    内容与来自 EDM) 的精确数据配置文件 (精确数据匹配 不支持
    内容与索引文档配置文件中的文档签名匹配 (IDM) 不支持
    使用矢量机器学习配置文件 (VML) 进行检测 不支持
    协议监视
  • SMTP 协议
  • Exchange (EXO) DLP 策略

    终结点设备、SharePoint Online、OneDrive 和其他工作负载

    Symantec 中的条件/异常 Microsoft Purview DLP 中的条件
    内容与正则表达式匹配 内容包含 SIT
    内容匹配关键字 内容包含 SIT
    内容匹配数据标识符 内容包含 SIT
    邮件附件或文件类型匹配 文档的文件扩展名为
    协议监视
  • HTTP
  • HTTPS
  • Ftp
  • 跨工作负载 DLP 策略 ()
    协议监视:终结点设备类型
  • CD/DVD
  • 可移动存储
  • 复制到网络共享
  • 打印机/传真
  • 剪贴板
  • 云存储
  • 应用程序文件访问
  • SEP 密集型保护
  • 以下一个或多个 (设备) :
  • 复制到 USB 可移动媒体
  • 复制到网络共享
  • 复制到剪贴板
  • 打印
  • 上传到云服务域或由不允许的浏览器访问
  • 响应规则

    下面介绍了迁移助手如何将 Symantec 响应规则映射到 Microsoft Purview DLP 操作。

    Symantec 响应规则 Microsoft Purview DLP 操作
    生成 DLP 事件 生成警报
    日志记录 (Syslog) 审核日志
    网络阻止:修改 SMTP 消息
  • 修改电子邮件主题
  • 修改标头
  • 一个或多个以下项:
  • 预置主题
  • 设置标头
  • 网络阻止:阻止 SMTP 邮件
  • 向发件人退回邮件
  • 将邮件重定向到此地址
  • 一个或多个以下项:
  • 阻止/限制访问
  • 发送用户通知
  • 将邮件重定向到
  • 发送Email通知 发送用户通知
    终结点阻止
  • 通知
  • 通知并取消
  • 阻止
  • 以下一个或多个 (终结点设备)
  • 通知
  • 阻止
  • Audit
  • 用户取消 一个或多个以下项:
  • 阻止/限制访问
  • 用户替代
  • 后续步骤

    了解 Symantec 的Microsoft Purview 数据丢失防护迁移助手后,接下来的步骤是:

    1. Symantec 的Microsoft Purview 数据丢失防护迁移助手入门
    2. 使用 Symantec 的Microsoft Purview 数据丢失防护迁移助手