了解适用于 Symantec 和 Forcepoint 的 Microsoft Purview 数据丢失防护迁移助手

本文可帮助你了解 Symantec 和 Forcepoint 的Microsoft Purview 数据丢失防护迁移助手。

迁移助手是基于 Windows 的桌面应用程序,用于将 Symantec 和 Forcepoint 数据丢失防护 (DLP) 策略迁移到Microsoft Purview 数据丢失防护。 本文介绍五步迁移过程。 迁移助手接受 Symantec DLP 策略 XML 导出和 Forcepoint DLP 策略备份,执行映射,并通过 PowerShell 脚本创建等效的 DLP 策略。 可以使用迁移助手在模拟模式下运行策略中创建 DLP 策略。 模拟模式下的策略不会影响实时数据或影响现有业务流程。

迁移助手有什么帮助?

迁移助手有助于完成 DLP 迁移项目中涉及的一些任务:

  • 在手动迁移方案中,需要在源和目标 DLP 平台之间执行可行性分析、映射功能、手动迁移策略以及测试和调整 DLP 策略。 使用迁移助手,迁移的 DLP 策略可以在启动迁移助手过程后的几分钟内启动并运行。
  • 使用迁移助手,可以快速纵向扩展迁移项目。 首先,可以手动将单个策略同时移动到多个策略。
  • 迁移助手在源策略中自动识别敏感信息类型 (SIT) 或数据标识符,并在Microsoft租户中创建自定义 SCT。 它还只需单击几下鼠标,就会移动所有自定义正则表达式和关键字。
  • 迁移助手检测源策略中当前使用的条件、排除项和作,并自动创建具有相同条件和作的新规则。
  • 迁移助手提供了详细的迁移报告,其中包括策略级别的迁移状态和建议。
  • 迁移助手可确保 DLP 策略迁移项目是专用的,并且发生在组织的边界内。

Symantec 和 Forcepoint 的迁移助手如何工作?

迁移过程的工作原理如下:

Symantec 和 Forcepoint Microsoft Purview 数据丢失防护迁移助手流程图。

每次运行迁移助手时,它都会执行以下步骤:

  • 输入:迁移助手引入一个或多个 Symantec DLP 策略 XML 文件或 Forcepoint DLP 策略备份 (.bak) 文件。
  • 分析:迁移助手解释文件并标识 Symantec 和 Forcepoint DLP 策略构造。
  • 合理化:迁移助手将标识的 Symantec 和 Forcepoint DLP 策略构造映射到Microsoft DLP 功能。 它针对Microsoft DLP 平台限制执行验证。
  • 迁移:迁移助手针对 Microsoft Purview DLP 平台确定和支持的 DLP 方案运行 PowerShell 脚本。
  • 报告:迁移助手报告已成功迁移的策略、部分迁移的策略以及无法迁移的策略。 它还提供了改进未来迁移的建议。

了解 Symantec 和 Forcepoint DLP 元素到 Microsoft Purview DLP 元素的映射

迁移助手将不同的策略元素从 Symantec DLP 转换为 Microsoft Purview DLP。

Symantec DLP 支持的版本

迁移助手支持从 Symantec 版本 15.0 到 16.0(包括维护包)迁移 DLP 策略。

Forcepoint DLP 支持的版本

迁移助手支持将 DLP 策略从 Forcepoint 版本 8.0 迁移到 10.0。

支持的工作负载

迁移助手将策略迁移到以下工作负载:

Workload 迁移助手支持
Exchange
SharePoint
OneDrive
Teams 聊天和通道消息
终结点设备

提示

可以使用迁移助手将策略扩展到比输入 Symantec 或 Forcepoint DLP 策略中检测到的工作负载更多的工作负载。

分类元素

下面介绍了迁移助手如何将 Symantec 和 Forcepoint 元素映射到 Purview DLP 元素。

Symantec Classification 元素 Microsoft Purview DLP 分类元素
正则表达式 使用正则表达式 (SIT) 创建新的自定义敏感信息类型。
关键字 使用关键字 (keyword) 列表或关键字 (keyword) 字典创建新的自定义 SIT。
关键字对 创建一个新的自定义 SIT,其中第一个关键字 (keyword) 列表作为主要元素 & 第二个关键字 (keyword) 列表作为支持元素,具有 300 个字符的邻近感应。
数据标识符 如果等效项可用,则映射到预配置的 SIT,否则创建新的自定义 SIT。

下面是迁移助手在转换 Symantec DLP 策略时使用的敏感信息类型的可选验证器的映射详细信息 (也称为 Symantec DLP) 数据标识符:

Symantec 可选验证程序 Microsoft Purview DLP 可选验证程序
排除完全匹配项 排除特定匹配项
完全匹配数据标识符检查 不适用
排除起始字符 以字符开头或不以字符开头
排除结束字符 结尾或不以字符结尾
排除前缀 包含或排除前缀
排除后缀 包含或排除前缀
数字分隔符 不适用
需要起始字符 以字符开头或不以字符开头
完全匹配 不适用
重复的数字 排除重复字符
需要结束字符 结尾或不以字符结尾
查找关键字 作为主要 & 支持元素提供

正则表达式 - 需要注意的潜在验证问题

上传规则包 XML 文件时,系统会验证 XML 并检查已知的错误模式和明显的性能问题。 下面是验证过程检查正则表达式的已知问题。

  • 不能以交流发电机“|”开头或结尾,该交流发电机“|”与所有内容匹配,因为它被视为空匹配项。
    • 例如,“|a”或“b|”不会通过验证。
  • 不能以 “开头或结尾。{0,m}“模式,它没有功能用途,只会损害性能。
    • 例如,“。{0,50}ASDF“或”ASDF”。{0,50}不会通过验证。
  • 不能有 “ 。{0,m}“或”.{1,m}“在组中,组中不能有”.*“或”.+”。
    • 例如,“ (。{0,50000}) “无法通过验证。
  • 不能在组中具有“{0,m}”或“{1,m}”中继器的任何字符。
    • 例如,“ (*) ”不会通过验证。
  • 不能以 “开头或结尾。{1,m}“;请改为仅使用“”。
    • 例如,“。{1,m}asdf“无法通过验证;请改为仅使用“.asdf”。
  • 组上不能有无限的中继器 (,例如“*”或“+”) 。
    • 例如,“ (xx) *”和“ (xx) +”不会通过验证。

条件和异常映射

下面介绍了迁移助手如何映射各种工作负载的 Symantec 和 Forcepoint、条件和异常元素,以Microsoft Purview DLP 条件。

Exchange 工作负载

Symantec 中的条件/异常 Microsoft Purview DLP 中的条件
内容与正则表达式匹配 内容包含 SIT
内容匹配关键字 内容包含 SIT
内容匹配数据标识符 内容包含 SIT
内容匹配分类 不支持
文件属性
  • 文件名
  • 文件类型
  • 一个或多个以下项:
  • 文档名称为
  • 文件扩展名为
  • 邮件附件或文件类型匹配 一个或多个以下项:
  • 附件受密码保护
  • 附件的文件扩展名为
  • 邮件附件或文件大小匹配 文档大小等于 或 大于
    邮件附件或文件名匹配 一个或多个以下项:
  • 文档名称包含字词或短语
  • 文档名称与模式匹配
  • 消息/Email属性和属性 一个或多个以下项:
  • Email主题包含
  • 发件人/用户匹配模式 一个或多个以下项:
  • 发件人为
  • 发件人是
  • 发件人域为
  • 发件人地址包含字词
  • 发件人地址与模式匹配
  • 发件人 IP 地址为
  • 收件人匹配模式 一个或多个以下项:
  • 收件人所在组为
  • 收件人域为
  • 收件人为
  • 收件人地址包含字词
  • 收件人地址与模式匹配
  • 基于目录服务器组的发件人/用户 不支持
    基于目录服务器组的收件人 不支持
    内容与来自 EDM) 的精确数据配置文件 (精确数据匹配 不支持
    内容与索引文档配置文件中的文档签名匹配 (IDM) 不支持
    使用矢量机器学习配置文件 (VML) 进行检测 不支持
    协议监视
  • SMTP 协议
  • Exchange (EXO) DLP 策略

    终结点设备、SharePoint Online、OneDrive 和其他工作负载

    Symantec 中的条件/异常 Microsoft Purview DLP 中的条件
    内容与正则表达式匹配 内容包含 SIT
    内容匹配关键字 内容包含 SIT
    内容匹配数据标识符 内容包含 SIT
    邮件附件或文件类型匹配 文档的文件扩展名为
    协议监视
  • HTTP
  • HTTPS
  • FTP
  • 跨工作负载 DLP 策略 ()
    协议监视:终结点设备类型
  • CD/DVD
  • 可移动存储
  • 复制到网络共享
  • 打印机/传真
  • 剪贴板
  • 云存储
  • 应用程序文件访问
  • SEP 密集型保护
  • 以下一个或多个 (设备) :
  • 复制到 USB 可移动媒体
  • 复制到网络共享
  • 复制到剪贴板
  • 打印
  • 上传到云服务域或由不允许的浏览器访问
  • 响应规则

    下面介绍了迁移助手如何将 Symantec 和 Forcepoint 响应规则映射到 Microsoft Purview DLP作。

    Symantec 响应规则 Microsoft Purview DLP作
    生成 DLP 事件 生成警报
    日志记录 (Syslog) 审核日志
    网络阻止:修改 SMTP 消息
  • 修改电子邮件主题
  • 修改标头
  • 一个或多个以下项:
  • 预置主题
  • 设置标头
  • 网络阻止:阻止 SMTP 邮件
  • 向发件人退回邮件
  • 将邮件重定向到此地址
  • 一个或多个以下项:
  • 阻止/限制访问
  • 发送用户通知
  • 将邮件重定向到
  • 发送Email通知 发送用户通知
    终结点阻止
  • 通知
  • 通知并取消
  • 阻止
  • 以下一个或多个 (终结点设备)
  • 通知
  • 阻止
  • Audit
  • 用户取消 一个或多个以下项:
  • 阻止/限制访问
  • 用户替代
  • 后续步骤

    了解 Symantec 的Microsoft Purview 数据丢失防护迁移助手后,接下来的步骤是:

    1. Symantec 和 Forcepoint 的Microsoft Purview 数据丢失防护迁移助手入门
    2. 对 Symantec 和 Forcepoint 使用Microsoft Purview 数据丢失防护迁移助手