Auswerten und Verfeinern von Suchergebnissen in eDiscovery (Vorschau)
Das Auswerten und Verfeinern Ihrer Suchergebnisse ist einer der wichtigsten Schritte in Ihrer eDiscovery-Untersuchung. Anhand der von Ihnen konfigurierten Suchabfrage und der zurückgegebenen Ergebnisse können Sie ermitteln, ob Sie Elemente und Informationen ermittelt haben, die für Ihre Untersuchung gelten, oder ob Sie Ihre Suche ändern müssen, um weitere relevante Elemente zu ermitteln. Diese anfängliche Suche nach Elementen und die erste Überprüfung der Informationen helfen Ihnen, zu bestimmen, welche Aktionen erforderlich sind, nachdem Sie Ihre Suchparameter abgeschlossen haben.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Nachdem Sie eine Suche erstellt und ausgeführt haben, besteht der nächste Schritt darin, die Suchstatistiken anzuzeigen, damit Sie überprüfen können, ob relevante Inhalte gefunden werden und welche Inhaltsspeicherorte die meisten Treffer aufweisen. Sie können auch ein Beispiel der Suchergebnisse überprüfen, um ihnen zu helfen, festzustellen, ob der Inhalt innerhalb des Bereichs Ihrer Untersuchung liegt.
Wenn Sie Statistik als anfänglichen Ergebnistyp für Ihre Suche ausgewählt haben, werden Sie automatisch zu diesem Dashboard weitergeleitet, wenn die Suchergebnisse abgeschlossen sind. Wenn Sie bereits mit früheren Versionen von eDiscovery vertraut sind, ähneln die Informationen auf der Registerkarte Statistiken den Sammlungsschätzungen. Die Suchergebnisse für die Statistik-Dashboard sind in den folgenden Abschnitten enthalten:
-
Zusammenfassung: In diesem Abschnitt werden die Anzahl der Suchtreffer, Speicherorte, Datenquellen und die Gesamtdateigröße der teilweise indizierten Elemente angezeigt.
- Suchtreffer: Zeigt die Gesamtzahl der Suchtreffer und das Volumen aller Elemente an, die den Abfragekriterien der durchsuchten Speicherorte entsprechen.
- Standorte: Zeigt den Anteil der Standorte mit Treffern aus allen durchsuchten Standorten an. Der Zähler zeigt die Standorte mit Treffern und nenner die Anzahl der durchsuchten Standorte an. Standorte mit Fehlern werden rot angezeigt. Um vollständige Details zu allen Speicherorten und den zugehörigen Treffern und Fehlern anzuzeigen, wählen Sie Bericht herunterladen aus, um den vollständigen .csv Bericht herunterzuladen.
- Datenquellen: Zeigt den Anteil der Datenquellen mit Treffern aus allen durchsuchten Datenquellen an. Der Zähler zeigt die Datenquellen mit Treffern an, und der Nenner zeigt die Anzahl der in der Suche enthaltenen Datenquellen an. Diese Datenquelle ist konsistent mit der Datenquelle im Suchentwurfsflow und sollte der Anzahl der Personen oder Gruppen entsprechen, die in der Suche enthalten sind. Eine mandantenweite Datenquelle von Alle Personen und alle Gruppen zählt als einzelne Datenquelle.
- Teilweise indizierte Elemente oder "Treffer für erweiterte indizierte Elemente": Zeigt die Anzahl und das Volumen der teilweisen und nicht indizierten Elemente an, die im Rahmen der Suche zurückgegeben werden. Diese Karte zeigt teilweise indizierte Elementinformationen an, wenn Sie sich dafür entscheiden, teilweise oder nicht indizierte Elemente als Teil der Suchkonfiguration einzuschließen. Wenn Sie sich dafür entschieden haben, teilweise und nicht indizierte Elemente einzuschließen und erweiterte Indizierungsoptionen aktiviert zu haben, zeigt diese Karte zusätzliche Treffer an, die Sie von erweiterten indizierten Elementen erhalten. Die erweiterte indizierte Trefferanzahl stammt aus einer Statistikstichprobe für die teilweise indizierten Elemente. Die tatsächlichen Treffer können höher sein und sollten mithilfe der Aktionen zu einem Überprüfungssatz hinzufügen und Suchergebnisse exportieren bestätigt werden.
-
Trends für Suchtreffer: In diesem Abschnitt werden die folgenden Suchergebnisse angezeigt. Die Diagramme sind interaktiv, zeigen Sie mit der Maus, um Abschnittsnamen, Prozentsätze und Elementnummern anzuzeigen. Wählen Sie Top 100 anzeigen aus, um weitere Informationen zu den in den einzelnen Trends enthaltenen Elementen zu erfahren und die Ergebnisse in eine .csv-Datei herunterzuladen:
- Top-Datenquellen: Zeigt die fünf wichtigsten Datenquellen an, die die meisten Suchtreffer für Ihre Abfrage bilden. Der Name dieser Datenquellen (Namen von Benutzern, Gruppen oder organization breiten Speicherorten) wird mit der Trefferanzahl aufgeführt. Diese Datenquellen sollten mit dem übereinstimmen, was Sie beim Erstellen der Suchabfrage im Datenquellenworkflow ausgewählt haben.
- Top Sensitive Information Types (SITs): Zeigt die fünf wichtigsten Typen vertraulicher Informationen (SITs) in SharePoint-Dateien an, die am häufigsten in den Suchtreffern enthalten sind, die Ihrer Abfrage entsprechen. Das Hinzufügen der Anzahl jeder SIT entspricht nicht unbedingt der Gesamtzahl der Treffer, da ein einzelnes Element/Dokument mehr als einen SIT-Typ enthalten kann. Beispielsweise enthält ein Dokument sowohl ein Kennwort als auch eine Sozialversicherungsnummer (SSN). In diesem Beispiel wird sie zweimal gezählt. Es wird empfohlen, die Ersten 100 anzeigen auszuwählen, um ein tieferes Verständnis der Speicherorte dieser SIT-Zählungen zu erhalten, um zu überprüfen, ob sie sich überschneiden oder nicht.
- Top-Schlüsselwörter: Abfrageschlüsselwörter, die zu den meisten Suchtreffern geführt haben, die Ihrer Abfrage entsprechen.
- Häufigste Elementtypen: Die häufigsten Elementtypen innerhalb der Suchtreffer, die Ihrer Abfrage entsprechen. Diese Anzahl wird durch itemClass für Exchange-Inhalte und ContentType für SharePoint-Inhalte bestimmt.
- Indizierung status: Aufschlüsselung der nicht indizierten (einschließlich teilweise indizierten) und vollständig indizierten Datenelementen.
- Wichtigste Kommunikationsteilnehmer: Absender oder Empfänger für E-Mails, Microsoft Teams-Chats und Kalender-Einladungen an Exchange-Standorten.
- Top-Standorttyp: Trefferanzahl nach Standorttyp (Postfach im Vergleich zu Website).
Wählen Sie Ansicht erneut generieren aus, um die Abfrage erneut auszuführen und die aktuellsten Ergebnisse zu überprüfen. Wählen Sie Bericht herunterladen aus, um alle Statistikergebnisse in einer einzelnen .csv-Datei zu kombinieren. Wenn Sie die top 100 Ergebnisse für einen beliebigen Trendbereich anzeigen, wählen Sie Bericht herunterladen aus, um eine .csv Datei der 100 wichtigsten Ergebnisse des ausgewählten Treffertrends zu sehen.
Wenn Sie Sample als ersten Ergebnistyp für Ihre Suche ausgewählt haben, werden Sie automatisch zu diesem Dashboard weitergeleitet, wenn die Suchergebnisse abgeschlossen sind. Die Suchergebnisse für die Spalten Sample Dashboard enthalten die folgenden Informationen für jedes Element:
- Betreff/Titel: Der Betreff oder Titel der elemente, die im Beispiel enthalten sind.
- Datum: Das Datum, an dem das Element erstellt oder gesendet wurde.
- Absender/Autor: Der Absender oder Autor des Elements.
Mit Beispielen können Sie eine repräsentative Teilmenge einzelner Elemente und Details für jedes Element überprüfen, das für die Suche zurückgegeben wird. Die Anzahl der Stichproben pro Standort und die Anzahl der in der Suche definierten Stichprobenstandorte bestimmen die Anzahl der Stichprobenelemente und die Positionsdarstellung in den Stichprobenelementen.
Wählen Sie ein Beispielelement aus, um die Quellinformationen für das Element anzuzeigen. Falls für das Element verfügbar, zeigt diese Ansicht eine umfangreiche Ansicht eines ausgewählten Elements an, sodass Sie die Relevanz des Elements im Zusammenhang mit der definierten Suchdatenquelle und den bedingungen auswerten können.
Wählen Sie Ansicht erneut generieren aus, um die Abfrage erneut auszuführen und die aktuellsten Ergebnisse zu überprüfen. Wählen Sie Berichte herunterladen aus, um alle Beispielergebnisse in einer einzelnen .csv-Datei zu kombinieren. Wählen Sie Einstellungen anzeigen aus, um die Einstellungen anzuzeigen, die auf die Generierung der Beispielansicht angewendet werden.
Basierend auf den von der Suche zurückgegebenen Schätzungen und Statistiken können Sie die Suche bearbeiten und verfeinern, indem Sie die durchsuchten Datenquellen und die Suchabfrage ändern, um die Suche zu erweitern oder einzugrenzen. Sie können die Suche aktualisieren und erneut ausführen, bis Sie sicher sind, dass die Suchergebnisse die Inhalte enthalten, die für Ihren Fall am relevantesten sind.
Nachdem Sie mit den Suchergebnissen zufrieden sind, können Sie die folgenden Aktionen ausführen: