本文可帮助你了解 Symantec 和 Forcepoint 的Microsoft Purview 数据丢失防护迁移助手。
迁移助手是基于 Windows 的桌面应用程序,用于将 Symantec 和 Forcepoint 数据丢失防护 (DLP) 策略迁移到Microsoft Purview 数据丢失防护。 本文介绍五步迁移过程。 迁移助手接受 Symantec DLP 策略 XML 导出和 Forcepoint DLP 策略备份,执行映射,并通过 PowerShell 脚本创建等效的 DLP 策略。 可以使用迁移助手在模拟模式下运行策略中创建 DLP 策略。 模拟模式下的策略不会影响实时数据或影响现有业务流程。
迁移助手有什么帮助?
迁移助手有助于完成 DLP 迁移项目中涉及的一些任务:
- 在手动迁移方案中,需要在源和目标 DLP 平台之间执行可行性分析、映射功能、手动迁移策略以及测试和调整 DLP 策略。 使用迁移助手,迁移的 DLP 策略可以在启动迁移助手过程后的几分钟内启动并运行。
- 使用迁移助手,可以快速纵向扩展迁移项目。 首先,可以手动将单个策略同时移动到多个策略。
- 迁移助手在源策略中自动识别敏感信息类型 (SIT) 或数据标识符,并在Microsoft租户中创建自定义 SCT。 它还只需单击几下鼠标,就会移动所有自定义正则表达式和关键字。
- 迁移助手检测源策略中当前使用的条件、排除项和作,并自动创建具有相同条件和作的新规则。
- 迁移助手提供了详细的迁移报告,其中包括策略级别的迁移状态和建议。
- 迁移助手可确保 DLP 策略迁移项目是专用的,并且发生在组织的边界内。
Symantec 和 Forcepoint 的迁移助手如何工作?
迁移过程的工作原理如下:
每次运行迁移助手时,它都会执行以下步骤:
- 输入:迁移助手引入一个或多个 Symantec DLP 策略 XML 文件或 Forcepoint DLP 策略备份 (.bak) 文件。
- 分析:迁移助手解释文件并标识 Symantec 和 Forcepoint DLP 策略构造。
- 合理化:迁移助手将标识的 Symantec 和 Forcepoint DLP 策略构造映射到Microsoft DLP 功能。 它针对Microsoft DLP 平台限制执行验证。
- 迁移:迁移助手针对 Microsoft Purview DLP 平台确定和支持的 DLP 方案运行 PowerShell 脚本。
- 报告:迁移助手报告已成功迁移的策略、部分迁移的策略以及无法迁移的策略。 它还提供了改进未来迁移的建议。
了解 Symantec 和 Forcepoint DLP 元素到 Microsoft Purview DLP 元素的映射
迁移助手将不同的策略元素从 Symantec DLP 转换为 Microsoft Purview DLP。
Symantec DLP 支持的版本
迁移助手支持从 Symantec 版本 15.0 到 16.0(包括维护包)迁移 DLP 策略。
Forcepoint DLP 支持的版本
迁移助手支持将 DLP 策略从 Forcepoint 版本 8.0 迁移到 10.0。
支持的工作负载
迁移助手将策略迁移到以下工作负载:
| Workload | 迁移助手支持 |
|---|---|
| Exchange | 是 |
| SharePoint | 是 |
| OneDrive | 是 |
| Teams 聊天和通道消息 | 是 |
| 终结点设备 | 是 |
提示
可以使用迁移助手将策略扩展到比输入 Symantec 或 Forcepoint DLP 策略中检测到的工作负载更多的工作负载。
分类元素
下面介绍了迁移助手如何将 Symantec 和 Forcepoint 元素映射到 Purview DLP 元素。
| Symantec Classification 元素 | Microsoft Purview DLP 分类元素 |
|---|---|
| 正则表达式 | 使用正则表达式 (SIT) 创建新的自定义敏感信息类型。 |
| 关键字 | 使用关键字 (keyword) 列表或关键字 (keyword) 字典创建新的自定义 SIT。 |
| 关键字对 | 创建一个新的自定义 SIT,其中第一个关键字 (keyword) 列表作为主要元素 & 第二个关键字 (keyword) 列表作为支持元素,具有 300 个字符的邻近感应。 |
| 数据标识符 | 如果等效项可用,则映射到预配置的 SIT,否则创建新的自定义 SIT。 |
下面是迁移助手在转换 Symantec DLP 策略时使用的敏感信息类型的可选验证器的映射详细信息 (也称为 Symantec DLP) 数据标识符:
| Symantec 可选验证程序 | Microsoft Purview DLP 可选验证程序 |
|---|---|
| 排除完全匹配项 | 排除特定匹配项 |
| 完全匹配数据标识符检查 | 不适用 |
| 排除起始字符 | 以字符开头或不以字符开头 |
| 排除结束字符 | 结尾或不以字符结尾 |
| 排除前缀 | 包含或排除前缀 |
| 排除后缀 | 包含或排除前缀 |
| 数字分隔符 | 不适用 |
| 需要起始字符 | 以字符开头或不以字符开头 |
| 完全匹配 | 不适用 |
| 重复的数字 | 排除重复字符 |
| 需要结束字符 | 结尾或不以字符结尾 |
| 查找关键字 | 作为主要 & 支持元素提供 |
正则表达式 - 需要注意的潜在验证问题
上传规则包 XML 文件时,系统会验证 XML 并检查已知的错误模式和明显的性能问题。 下面是验证过程检查正则表达式的已知问题。
- 不能以交流发电机“|”开头或结尾,该交流发电机“|”与所有内容匹配,因为它被视为空匹配项。
- 例如,“|a”或“b|”不会通过验证。
- 不能以 “开头或结尾。{0,m}“模式,它没有功能用途,只会损害性能。
- 例如,“。{0,50}ASDF“或”ASDF”。{0,50}不会通过验证。
- 不能有 “ 。{0,m}“或”.{1,m}“在组中,组中不能有”.*“或”.+”。
- 例如,“ (。{0,50000}) “无法通过验证。
- 不能在组中具有“{0,m}”或“{1,m}”中继器的任何字符。
- 例如,“ (*) ”不会通过验证。
- 不能以 “开头或结尾。{1,m}“;请改为仅使用“”。
- 例如,“。{1,m}asdf“无法通过验证;请改为仅使用“.asdf”。
- 组上不能有无限的中继器 (,例如“*”或“+”) 。
- 例如,“ (xx) *”和“ (xx) +”不会通过验证。
条件和异常映射
下面介绍了迁移助手如何映射各种工作负载的 Symantec 和 Forcepoint、条件和异常元素,以Microsoft Purview DLP 条件。
Exchange 工作负载
| Symantec 中的条件/异常 | Microsoft Purview DLP 中的条件 |
|---|---|
| 内容与正则表达式匹配 | 内容包含 SIT |
| 内容匹配关键字 | 内容包含 SIT |
| 内容匹配数据标识符 | 内容包含 SIT |
| 内容匹配分类 | 不支持 |
| 文件属性 |
一个或多个以下项: |
| 邮件附件或文件类型匹配 | 一个或多个以下项: |
| 邮件附件或文件大小匹配 | 文档大小等于 或 大于 |
| 邮件附件或文件名匹配 | 一个或多个以下项: |
| 消息/Email属性和属性 | 一个或多个以下项: |
| 发件人/用户匹配模式 | 一个或多个以下项: |
| 收件人匹配模式 | 一个或多个以下项: |
| 基于目录服务器组的发件人/用户 | 不支持 |
| 基于目录服务器组的收件人 | 不支持 |
| 内容与来自 EDM) 的精确数据配置文件 (精确数据匹配 | 不支持 |
| 内容与索引文档配置文件中的文档签名匹配 (IDM) | 不支持 |
| 使用矢量机器学习配置文件 (VML) 进行检测 | 不支持 |
| 协议监视 |
Exchange (EXO) DLP 策略 |
终结点设备、SharePoint Online、OneDrive 和其他工作负载
| Symantec 中的条件/异常 | Microsoft Purview DLP 中的条件 |
|---|---|
| 内容与正则表达式匹配 | 内容包含 SIT |
| 内容匹配关键字 | 内容包含 SIT |
| 内容匹配数据标识符 | 内容包含 SIT |
| 邮件附件或文件类型匹配 | 文档的文件扩展名为 |
| 协议监视 |
跨工作负载 DLP 策略 () |
| 协议监视:终结点设备类型 |
以下一个或多个 (设备) : |
响应规则
下面介绍了迁移助手如何将 Symantec 和 Forcepoint 响应规则映射到 Microsoft Purview DLP作。
| Symantec 响应规则 | Microsoft Purview DLP作 |
|---|---|
| 生成 DLP 事件 | 生成警报 |
| 日志记录 (Syslog) | 审核日志 |
| 网络阻止:修改 SMTP 消息 |
一个或多个以下项: |
| 网络阻止:阻止 SMTP 邮件 |
一个或多个以下项: |
| 发送Email通知 | 发送用户通知 |
| 终结点阻止 |
以下一个或多个 (终结点设备) |
| 用户取消 | 一个或多个以下项: |
后续步骤
了解 Symantec 的Microsoft Purview 数据丢失防护迁移助手后,接下来的步骤是: