Leer en inglés

Compartir a través de


Creación de una consulta de búsqueda para un caso en eDiscovery (versión preliminar)

Puede usar la búsqueda en eDiscovery (versión preliminar) para buscar contenido local, como correo electrónico, documentos y conversaciones de mensajería instantánea en su organización que sean relevantes para un caso. Use la búsqueda para buscar contenido en estos orígenes de datos de Microsoft 365 basados en la nube:

  • Buzones de correo de Exchange Online
  • Sitios de SharePoint
  • Cuentas de OneDrive
  • Microsoft Teams
  • Grupos de Microsoft 365
  • Viva Engage Grupos

Puede crear y ejecutar búsquedas diferentes asociadas al caso. Las condiciones (como las palabras clave) se usan para crear consultas de búsqueda que devuelven resultados de búsqueda con los datos que probablemente sean relevantes para el caso. También puede:

  • Vea las estadísticas de búsqueda que pueden ayudarle a refinar una consulta de búsqueda para restringir los resultados.
  • Obtenga una vista previa de los resultados de la búsqueda para comprobar rápidamente si se encuentran los datos pertinentes.
  • Revise una consulta y vuelva a ejecutar la búsqueda.

Después de buscar y buscar datos que sean relevantes para la investigación, puede enviar los resultados a un conjunto de revisión para una investigación posterior o exportarlos para que los revisen personas ajenas al equipo de investigación.

Nota

Para las organizaciones que tienen requisitos del Reglamento General de Protección de Datos (RGPD) de la UE para proteger y habilitar los derechos de privacidad de las personas dentro de la Unión Europea (UE), también puede administrar las investigaciones en respuesta a las solicitudes de interesados (DSR) enviadas por una persona de su organización. La herramienta de casos búsqueda de datos de usuario se ha retirado y su funcionalidad se ha combinado con eDiscovery (versión preliminar). Ahora puede usar la búsqueda para buscar contenido que admita DSR en todas las ubicaciones admitidas por las búsquedas de exhibición de documentos electrónicos.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Sugerencias de búsqueda

  • La zona horaria para todas las búsquedas es hora universal coordinada (UTC). Actualmente no se admite el cambio de zonas horarias para su organización. La configuración de visualización de zona horaria en la vista de búsqueda solo es aplicable a los valores de la columna Datos y no afecta a las marcas de tiempo en los elementos recopilados.
  • Las búsquedas de palabras clave no distinguen mayúsculas de minúsculas. Por ejemplo, tanto si escribe gato como GATO, obtendrá los mismos resultados.
  • Los operadores booleanos AND, OR, NOT y NEAR deben estar en mayúsculas.
  • El uso de comillas detiene los caracteres comodín y cualquier operación dentro de las comillas.
  • Un espacio entre dos palabras clave o dos property:value expresiones es el mismo que el uso de OR. Por ejemplo, from:"Sara Davis" subject:reorganization devuelve todos los mensajes enviados por Sara Davis o mensajes que contienen la palabra reorganización en la línea de asunto. Sin embargo, el uso de una combinación de espacios y condicionales OR en una sola consulta puede dar lugar a resultados inesperados. Se recomienda usar espacios o OR en una sola consulta.
  • Use la sintaxis que coincida con el property:value formato. Los valores no distinguen mayúsculas de minúsculas y no pueden tener un espacio después del operador . Si hay un espacio, el valor previsto es una búsqueda de texto completo. Por ejemplo to: pilarp , busca "pilarp" como palabra clave, en lugar de mensajes enviados a pilarp.
  • Al buscar una propiedad de destinatario, como Para, De, Cc o los destinatarios, puede utilizar una dirección SMTP, un alias o un nombre para mostrar para indicar un destinatario. Por ejemplo, puede usar pilarp@contoso.com, pilarp o "Pilar Pinilla".
  • Solo puede usar búsquedas de prefijos; por ejemplo, cat* o set*. No se admiten las búsquedas de sufijos (*cat), las búsquedas de infijo (c*t) y las búsquedas de subcadenas (*cat*).
  • Al buscar una propiedad, use comillas dobles (" ") si el valor de búsqueda consta de varias palabras. Por ejemplo, subject:budget Q1 devuelve mensajes que contienen presupuesto en la línea de asunto y que contienen Q1 en cualquier lugar del mensaje o en cualquiera de las propiedades del mensaje. El uso subject:"budget Q1" devuelve todos los mensajes que contienen el presupuesto Q1 en cualquier lugar de la línea de asunto.
  • Para excluir de los resultados de la búsqueda el contenido marcado con un valor de propiedad determinado, coloque un signo menos (-) delante del nombre de la propiedad. Por ejemplo, -from:"Sara Davis" excluye los mensajes enviados por Sara Davis.
  • Puede exportar elementos en función del tipo de mensaje. Por ejemplo, para exportar conversaciones y chats de Skype en Microsoft Teams, use la sintaxis kind:im. Para devolver solo mensajes de correo electrónico, usaría kind:email. Para devolver chats, reuniones y llamadas en Microsoft Teams, use kind:microsoftteams.
  • Al buscar sitios, tiene que agregar el final / al final de la dirección URL cuando se usa la path propiedad para devolver solo los elementos de un sitio especificado. Si no incluye el final /, también se devuelven los elementos de un sitio con un nombre de ruta de acceso similar. Por ejemplo, si usa path:sites/HelloWorld elementos de sitios denominados sites/HelloWorld_East o sites/HelloWorld_West también se devolverán. Para devolver elementos solo del sitio HelloWorld, debe usar path:sites/HelloWorld/.
  • El país o región del lenguaje de consulta debe definirse en la consulta de búsqueda antes de recopilar contenido.
  • Al buscar correos electrónicos en las carpetas enviadas , no se admite el uso de la dirección SMTP para el remitente. Los elementos de la carpeta Sent solo contienen nombres para mostrar.

Creación de una consulta de búsqueda

Sugerencia

¿Prefiere una experiencia de guía de configuración interactiva? Consulte la guía Diseño de una búsqueda .

Después de crear un nuevo caso, se le dirige automáticamente a la pestaña Búsquedas en el caso y está listo para crear una búsqueda del caso. Las búsquedas le ayudan a encontrar los elementos que desea recopilar para el caso.

  1. Seleccione Crear una búsqueda. Si se trata de un caso nuevo sin búsquedas anteriores, también puede seleccionar Crear una búsqueda en el panel principal en Iniciar búsqueda de datos pertinentes.

  2. En la página Escribir detalles para empezar , complete los campos siguientes:

    • Nombre de búsqueda: asigne un nombre (obligatorio) a la búsqueda. El nombre de búsqueda debe ser único en la organización.
    • Descripción de la búsqueda: agregue una descripción opcional para ayudar a otros usuarios a comprender esta búsqueda.
  3. Seleccione Crear para crear la nueva búsqueda e iniciar las consultas para buscar los datos pertinentes para el caso.

  4. En la pestaña Consulta de la búsqueda, agregue orígenes de datos para la búsqueda.

  5. Seleccione Agregar orígenes de datos o Agregar orígenes de todo el inquilino.

    • Agregar orígenes de datos: al seleccionar esta opción se agregan orígenes de datos individuales a su organización.

    • Agregar orígenes de todo el inquilino: al seleccionar esta opción se incluyen orígenes en toda la organización. Elija aplicar a todos los orígenes o refinar las selecciones a un subconjunto de orígenes de datos.

      Por ejemplo, al seleccionar Todas las personas y grupos y seleccionar Todos para buzones , se agregan todos los buzones de Exchange de usuario de la organización como origen de datos. Al seleccionar Todas las personas y grupos y seleccionar Todos para sitios , se agregan todos los sitios de SharePoint y OneDrive de usuario de la organización como origen de datos.

  6. En el panel flotante Buscar orígenes , buscará y agregará orígenes de datos para la consulta de búsqueda. Puede filtrar por orígenes de datos de ámbito para ayudarle a elegir uno o varios usuarios o orígenes de grupo para agregarlos a la búsqueda.

    En el lado izquierdo del panel se muestran las opciones de filtro para los orígenes; de forma predeterminada, todos los orígenes del inquilino están seleccionados para incluir todo el origen de la organización para su selección y adición a la búsqueda.

    Use las siguientes opciones en El filtro Mostrar para ayudar a definir el ámbito de los orígenes en la sección Buscar :

    • Todas las personas y grupos (valor predeterminado)
    • solo Personas
    • solo Grupos

    Si procede, seleccione Excluir usuarios inactivos para reducir el ámbito de los orígenes a solo los usuarios activos actualmente.

    Después de filtrar los orígenes de datos, use el control de búsqueda y los selectores de la sección Búsqueda para agregar orígenes de datos, usuarios y grupos específicos a la consulta de búsqueda. Escriba los usuarios, grupos u ubicaciones de organización específicos que quiera agregar en el campo de búsqueda y seleccione Buscar.

    Busque personas que usen los valores siguientes:

    • Nombre y apellido del nombre para mostrar del usuario (por ejemplo, John Smith)
    • Solo nombre
    • Dirección SMTP de usuario
    • Alias de usuario
    • Exchange GUID
    • Dirección URL del sitio de OneDrive del usuario

    Busque grupos con los valores siguientes:

    • Dirección SMTP del buzón de grupo
    • Dirección URL del sitio de grupo. La dirección URL de un sitio de canal de Teams resuelve el grupo de Teams como origen de datos.
  7. Seleccione Administrar para actualizar el buzón de correo o el sitio asociado a los orígenes seleccionados. De lo contrario, seleccione Guardar y cerrar.

  8. Revise las selecciones y confirme los recursos incluidos para cada origen de datos. Haga clic en Guardar. Ahora ha limitado los orígenes de datos que examinan las consultas de búsqueda.

  9. En la sección Orígenes de datos, seleccione el menú de puntos suspensivos de cualquier origen de datos para las opciones de administración del origen de datos.

    Para las opciones de administración, seleccione una de las siguientes opciones:

    • Administrar origen de datos: administre orígenes de datos para el usuario o sitio seleccionado.
    • Deshabilitar buzones: deshabilite los buzones para el usuario o sitio seleccionado. Vuelva a seleccionar esta opción para habilitar el buzón para el usuario o sitio.
    • Deshabilitar sitios: deshabilite el sitio para el usuario o sitio seleccionado. Vuelva a seleccionar esta opción para habilitar el sitio para el usuario o sitio.
    • Colaboradores frecuentes: seleccione buzones y sitios asociados para los usuarios que colaboren con frecuencia con el usuario seleccionado.
    • Administrador: seleccione los buzones y sitios asociados del administrador del usuario.
    • Informes directos: seleccione los buzones y sitios asociados de los informes directos del usuario.
    • Grupos el usuario posee: seleccione los buzones de correo asociados y los sitios de grupos de los que el usuario es propietario.
    • Grupos el usuario está en: seleccione los buzones y sitios asociados de los grupos de los que el usuario es miembro.

    Para los orígenes de grupo, seleccione una de las opciones siguientes:

    • Miembros: seleccione los buzones y sitios asociados de las personas que son miembros del grupo.
  10. Use los controles de barra de comandos Orígenes de datos para agregar, actualizar, sincronizar y buscar otros orígenes de datos para la búsqueda (según sea necesario)

    • Buscar y agregar: seleccione el icono + para agregar orígenes de datos.
    • Administrar: seleccione el icono de lápiz para administrar los orígenes de datos asignados.
    • Sincronización: seleccione el icono de sincronización para sincronizar orígenes de datos y actualizar los orígenes de datos con los orígenes de datos más recientes de la organización.
    • Buscar: seleccione el icono de búsqueda para buscar en los orígenes de datos incluidos actualmente en la consulta de búsqueda.
  11. Para definir los parámetros de la consulta de búsqueda, puede elegir entre las siguientes opciones en la pestaña Consulta :

    • Generador de condiciones: la opción generador de condiciones en la búsqueda proporciona una experiencia de búsqueda fácil de usar al compilar consultas de búsqueda en eDiscovery (versión preliminar). Use palabras clave o condiciones personalizadas para centrar el ámbito de las consultas de búsqueda. Además, puede usar la opción de condición de consulta lenguaje de consulta de palabras clave (KQL) en la búsqueda que proporciona instrucciones y le permite pegar rápidamente consultas largas y complejas directamente en el editor. También le ayuda a crear consultas de búsqueda desde cero e identifica posibles errores y muestra sugerencias sobre cómo resolver problemas.

      También puede crear rápidamente consultas de KeyQL para la búsqueda mediante Microsoft Security Copilot. Para obtener instrucciones, consulte la sección siguiente de este artículo.

    • Buscar por archivo: cargue uno o varios archivos para buscar contenido relacionado o similar para un caso específico. Use csv de actividad de auditoría para buscar mensajes y archivos relacionados para un usuario específico dentro de un período de tiempo específico. O bien, proporcione pruebas de ejemplo para encontrar contenido similar. Cada archivo está limitado a un tamaño máximo de archivo de 10 MB y los archivos pueden ser csv o txt. Las opciones de compilación de consultas y KQL se deshabilitan al buscar por archivo.

  12. Seleccione Ejecutar consulta. Si desea guardar los parámetros de consulta que ha definido y ejecutar la consulta más adelante, seleccione Guardar como borrador.

Creación de una consulta de búsqueda de KeyQL con Microsoft Copilot (versión preliminar)

La opción KeyQL Builder de Consulta de lenguaje natural (versión preliminar) en la búsqueda le permite usar lenguaje natural y Microsoft Security Copilot para generar rápidamente una instrucción De lenguaje de consulta de palabras clave (KeyQL). Use el generador para construir consultas complejas con funcionalidad adicional, como AND, OR y agrupación de condiciones, todo ello mientras se usan mensajes de lenguaje natural.

Esta característica le ayuda a crear consultas más fácilmente mediante avisos predefinidos para escenarios de ejemplo y le permite refinar y mejorar las solicitudes personalizadas para consultas de búsqueda más precisas. También puede optar por usar sugerencias de solicitud como punto de partida para crear y refinar consultas de KeyQL para escenarios de búsqueda comunes o personalizados.

Para crear una consulta de búsqueda con Copilot, siga estos pasos:

  1. Después de seleccionar orígenes de datos para la consulta, seleccione Borrador de una consulta con Copilot.
  2. En el panel Símbolo del sistema de lenguaje natural , elija una de las siguientes opciones:
    • Escriba la pregunta de consulta de búsqueda. Puede incluir el usuario, el origen de datos y otros detalles de contenido según corresponda.
    • Seleccione Ver mensajes para seleccionar una de las siguientes sugerencias de aviso:
      • Buscar todos los correos electrónicos que contienen las palabras presupuesto y finanzas y tener datos adjuntos
      • Buscar en todos los chats del mes de enero de 2020 que contengan la palabra "ejercicio"
      • Buscar archivos de tipo .docx que contengan las palabras confidencial y presupuesto
  3. Revise el símbolo del sistema del lenguaje natural. Para refinar el aviso con Copilot, seleccione Refinar.
  4. Cuando finalice el aviso, seleccione Generar keyQL.
  5. Revise la consulta KeyQL en el panel de resultados lenguaje de consulta de palabras clave (KeyQL ). Si necesita refinar los resultados de la consulta KeyQL, puede actualizar el símbolo del sistema en el panel Símbolo del sistema de lenguaje natural y volver a seleccionar Generar keyQL . 1. Cuando finalicen los resultados de KeyQL, seleccione Copiar KeyQL.
  6. Pegue los resultados de KeyQL en el campo de consulta de la pestaña Lenguaje de consulta de palabras clave (KeyQL). Puede cerrar Borrador de una consulta con Copilot.
  7. Seleccione Ejecutar consulta. Si desea guardar los parámetros de consulta que ha definido y ejecutar la consulta más adelante, seleccione Guardar como borrador.

Ejecutar una consulta de búsqueda

Después de crear una consulta de búsqueda manualmente o mediante Security Copilot, está listo para ejecutar la consulta y generar resultados de búsqueda.

Para ejecutar una consulta de búsqueda, siga estos pasos:

  1. Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de los permisos de exhibición de documentos electrónicos asignados a una cuenta de usuario.

  2. Seleccione la tarjeta de solución eDiscovery y, a continuación, seleccione Casos (versión preliminar) en el panel de navegación izquierdo.

  3. Seleccione un caso. En la pestaña Búsquedas , seleccione una búsqueda guardada.

  4. Seleccione Ejecutar consulta.

  5. Después de seleccionar Ejecutar consulta, verá el panel flotante Formato de resultados de la consulta . Elija la vista que desea generar para la consulta y su configuración. Puede elegir la vista Estadísticas o Ejemplo :

    • Estadísticas: esta vista genera un resumen de las estimaciones de datos recopiladas organizadas por los indicadores principales. Elija una o varias de las siguientes opciones:

      • Incluir categorías: ajuste la vista para incluir personas, tipos de información confidencial, tipos de elementos y errores.

      • Incluir informe de palabras clave de consulta: evaluar la relevancia de las palabras clave para diferentes partes de la consulta de búsqueda/

      • Investigar elementos parcialmente indexados: los elementos indizados parcialmente suelen tener en cuenta aproximadamente el uno por ciento del contenido de los orígenes de datos. Al seleccionar esta opción (y solo esta opción), se genera información de resumen (recuento de elementos y ubicación) sobre los elementos indizados parcialmente incluidos en los orígenes de datos seleccionados para la búsqueda. No se vuelve a indexar o procesar ningún elemento indizado parcialmente. Para procesar aún más elementos parcialmente indexados en orígenes de datos con ámbito, tenga en cuenta las siguientes opciones de indexación avanzada:

        • Excluir elementos parcialmente indexados en ubicaciones sin aciertos de búsqueda: al elegir esta opción adicional, se reduce el ámbito de los elementos parcialmente indexados (o la indexación avanzada si se seleccionan las opciones) limitando la inclusión de elementos parcialmente indizados solo de los orígenes de datos que incluyen elementos relevantes para la búsqueda. Esto excluye los elementos indizados parcialmente de los orígenes de datos que no incluyen ningún elemento relevante para la búsqueda.

          Por ejemplo, ha seleccionado varios buzones de correo, sitios de SharePoint y sitios de OneDrive como orígenes de datos para la búsqueda. Cuando se ejecuta la búsqueda, solo algunos de los buzones y sitios tienen elementos indexados relevantes para las condiciones de búsqueda, el resto de los buzones y sitios no contienen elementos indizados de forma nativa relevantes para las condiciones de búsqueda. Si ha seleccionado esta opción, los elementos indizados parcialmente en los buzones y sitios que contienen elementos indizados de forma nativa relevantes para la búsqueda se incluyen en los resultados de las estadísticas de búsqueda. Los elementos indizados parcialmente en los buzones y sitios que no contienen elementos indizados de forma nativa relevantes para la búsqueda se omiten y no se notifican en los resultados de las estadísticas de búsqueda.

        • Realizar la indexación avanzada en elementos parcialmente indizados: el ámbito de donde se ejecuta la indexación avanzada depende de si ha seleccionado la opción Excluir elementos parcialmente indexados en ubicaciones sin aciertos de búsqueda . El proceso de indexación avanzada ejecuta un ejemplo de estadística de elementos parcialmente indexados en el ámbito y determina si estos elementos coinciden con la consulta o no:

          • Seleccionado con la opción Excluir elementos indizados parcialmente en ubicaciones sin aciertos de búsqueda : esto se aplica a elementos indizados parcialmente solo a orígenes de datos con elementos totalmente indexados que coincidan con la consulta de búsqueda. Estos elementos son muestreados, indexados y los elementos que coinciden con la consulta de búsqueda se muestran en las estadísticas de búsqueda (según corresponda).
          • Seleccionado sin la opción Excluir elementos indizados parcialmente en ubicaciones sin aciertos de búsqueda : esto se aplica a todos los elementos indizados parcialmente en todos los orígenes de datos incluidos en la búsqueda. Todos los elementos son muestreados, indexados y los elementos que coinciden con la consulta de búsqueda se muestran en las estadísticas de búsqueda (según corresponda).
    • Ejemplo: esta vista genera una selección representativa de los resultados de búsqueda completos. Defina los parámetros para las siguientes opciones:

      • Seleccione el número de elementos de ejemplo que se van a generar por ubicación: elija 1, 10 o 100.
      • Seleccione el número de ubicaciones de las que obtener ejemplos: elija 10, 100, 1000 o 10000.
  6. Seleccione Ejecutar consulta para ejecutar inmediatamente la consulta.

En función de las opciones de vista de consulta seleccionadas, se le dirigirá automáticamente a la pestaña Estadísticas o Ejemplo . Se inicia la evaluación de la consulta de búsqueda y se calcula el tiempo restante para procesar la consulta. Para obtener más información sobre cómo evaluar y ajustar los resultados de la búsqueda, consulte Revisar y evaluar los resultados de la búsqueda.