Búsqueda de contenido en sitios en eDiscovery (versión preliminar)
Al buscar documentos y archivos ubicados en sitios de SharePoint o OneDrive, puede tener sentido ajustar el enfoque de consulta en función de los metadatos de los documentos y archivos de interés. Los archivos y documentos tienen propiedades relevantes como Author, Created, CreatedBy, FileName, LastModifiedTime y Title. La mayoría de estas propiedades no son pertinentes al buscar contenido de comunicaciones en Exchange Online y el uso de estas propiedades puede dar lugar a resultados inesperados si se usan en documentos y comunicaciones. Además, es posible que FileName y Title de un documento no sean iguales y usar uno u otro para intentar encontrar un archivo con contenido específico puede dar lugar a resultados diferentes o inexactos. Tenga en cuenta estas propiedades al buscar contenido específico de documentos y archivos en SharePoint y OneDrive.
Por ejemplo, para buscar contenido relacionado con documentos creados por el usuario 1, para un proyecto denominado Tradewinds, para archivos específicos denominados Financials y desde enero de 2020 hasta enero de 2022, puede usar una consulta con las siguientes propiedades:
- Agregue User 1 como origen de datos a la búsqueda.
- Seleccione el sitio de OneDrive del usuario 1 como ubicación de interés.
- Agregue grupos adicionales y sus sitios de SharePoint asociados relacionados con el proyecto como orígenes de datos.
- Para FileName, use Financials
- Para la palabra clave , use Tradewinds.
- Para Intervalo de fechas, use el intervalo del 1 de enero de 2020 al 31 de enero de 2022 .
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
En la tabla siguiente se enumeran las propiedades de SharePoint y OneDrive que se pueden buscar mediante las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview o mediante New-ComplianceSearch o el cmdlet Set-ComplianceSearch .
Importante
Aunque los documentos y archivos almacenados en SharePoint y OneDrive pueden tener otras propiedades admitidas en otros servicios de Microsoft 365, solo se admiten las propiedades de documento y archivo enumeradas en esta tabla en las herramientas de búsqueda de exhibición de documentos electrónicos. No se admite el intento de incluir otras propiedades de documento o archivo en las búsquedas.
La tabla incluye un ejemplo de la sintaxis propiedad:valor de cada propiedad y una descripción de los resultados de búsqueda devueltos por los ejemplos.
Propiedad | Descripción de la propiedad | Ejemplo | Resultados de la búsqueda devueltos por los ejemplos |
---|---|---|---|
Autor | El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conservará el autor original. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | author:"Garth Fort" |
Todos los documentos que se han creado por Juan Casanova. |
ContentType | Tipo de contenido de SharePoint de un elemento, como Item, Document o Video. | contenttype:document |
Se devolverán todos los documentos. |
Creados | La fecha en la que se crea un elemento. | created>=2021-06-01 |
Todos los elementos creados a partir del 1 de junio de 2021. |
CreatedBy | La persona que creó o cargó un elemento. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | createdby:"Garth Fort" |
Todos los elementos creados o cargados por Juan Casanova. |
DetectedLanguage | El idioma de un elemento. | detectedlanguage:english |
Todos los elementos en inglés. |
DocumentLink | Ruta de acceso (URL) de una carpeta específica en un sitio de SharePoint o OneDrive. Si usa esta propiedad, asegúrese de buscar en el sitio en el que se encuentra la carpeta especificada. Se recomienda usar esta propiedad en lugar de las propiedades Site y Path . Para devolver elementos ubicados en subcarpetas de la carpeta que especifique para la propiedad documentlink, debe agregar /* a la dirección URL de la carpeta especificada; por ejemplo |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
El primer ejemplo devuelve todos los elementos de la carpeta de OneDrive especificada. En el segundo ejemplo se devuelven documentos de la carpeta de sitio especificada (y todas las subcarpetas) que contienen la palabra "confidencial" en el nombre de archivo. |
FileExtension | Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. | fileextension:xlsx |
Todos los archivos de Excel (Excel 2007 y versiones posteriores) |
FileName | El nombre de un archivo. | filename:"marketing plan" |
El primer ejemplo devuelve archivos con la frase exacta "plan de marketing" en el título. El segundo ejemplo devuelve archivos con la palabra "estimación" en el nombre del archivo. |
LastModifiedTime | La fecha de la última modificación de un elemento. | lastmodifiedtime>=2021-05-01 |
El primer ejemplo devuelve elementos que se cambiaron el 1 de mayo de 2021 o después de . El segundo ejemplo devuelve elementos modificados entre el 1 de mayo de 2021 y el 1 de junio de 2021. |
ModifiedBy | La última persona que modificó un elemento. Asegúrese de usar el nombre para mostrar del usuario para esta propiedad. | modifiedby:"Garth Fort" |
Todos los elementos que Juan Casanova modificó por última vez. |
SharedWithUsersOWSUser | Documentos que se han compartido con el usuario especificado y que se muestran en la página Compartido conmigo del sitio de OneDrive del usuario. Estos son documentos que otras personas de la organización han compartido explícitamente con el usuario especificado. Al exportar documentos que coinciden con una consulta de búsqueda que usa la propiedad SharedWithUsersOWSUser, los documentos se exportan desde la ubicación de contenido original de la persona que compartió el documento con el usuario especificado. Para obtener más información, consulte Búsqueda de contenido de sitio compartido dentro de su organización. | sharedwithusersowsuser:garthf |
Ambos ejemplos devuelven todos los documentos internos que se han compartido explícitamente con Garth Fort y que aparecen en la página Compartido conmigo de la cuenta de OneDrive de Garth Fort. |
Size | El tamaño de un elemento, en bytes. | size>=1 |
El primer ejemplo devuelve elementos mayores de 1 byte. El segundo ejemplo devuelve elementos que tienen un tamaño de entre 1 y 10 000 bytes. |
Cargo | El título del documento. La propiedad Title es metadatos que se especifican en documentos de Microsoft Office. Es diferente del nombre de archivo del documento. | title:"communication plan" |
Cualquier documento que contenga la frase "plan de comunicación" en la propiedad Título de metadatos de un documento de Office. |
Puede usar las herramientas de búsqueda de eDiscovery en el portal de Microsoft Purview para buscar datos confidenciales, como números de tarjeta de crédito o números de seguridad social, almacenados en documentos en sitios de SharePoint y OneDrive. Para ello, use la SensitiveType
propiedad y el nombre (o identificador) de un tipo de información confidencial en una consulta de palabras clave. Por ejemplo, la consulta SensitiveType:"Credit Card Number"
devuelve documentos que contienen un número de tarjeta de crédito. La consulta SensitiveType:"U.S. Social Security Number (SSN)"
devuelve documentos que contienen un número de seguro social estadounidense.
Para ver una lista de los tipos de información confidencial que puede buscar, vaya a Clasificaciones> de datosTipos de información confidencial en el portal de Microsoft Purview. O bien, puede usar el cmdlet Get-DlpSensitiveInformationType en PowerShell de cumplimiento de seguridad & para mostrar una lista de tipos de información confidencial.
Para buscar tipos de información confidencial personalizados, debe especificar el identificador del tipo de información confidencial en la
SensitiveType
propiedad . El uso del nombre de un tipo de información confidencial personalizada (como se muestra en el ejemplo para los tipos de información confidencial integrados en la sección anterior) no devuelve ningún resultado. Use la columna Publicador en la página Tipos de información confidencial del portal de Microsoft Purview (o la propiedad Publisher en PowerShell) para diferenciar entre los tipos de información confidencial integrados y personalizados. Los tipos de datos confidenciales integrados tienen un valor deMicrosoft Corporation
para la propiedad Publisher .Para mostrar el nombre y el identificador de los tipos de datos confidenciales personalizados de su organización, ejecute el siguiente comando en PowerShell de seguridad & cumplimiento:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
A continuación, puede usar el identificador en la
SensitiveType
propiedad de búsqueda para devolver documentos que contengan el tipo de datos confidenciales personalizado; por ejemplo,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
No puede usar tipos de información confidencial y la
SensitiveType
propiedad de búsqueda para buscar datos confidenciales en reposo en Exchange Online buzones. Esto incluye mensajes de chat 1:1, mensajes de chat de grupo 1:N y conversaciones de canal de equipo en Microsoft Teams porque todo este contenido se almacena en buzones de correo. Sin embargo, puede usar directivas de prevención de pérdida de datos (DLP) para proteger los datos de correo electrónico confidenciales en tránsito. Para obtener más información, consulte Información sobre la prevención de pérdida de datos y Búsqueda y búsqueda de datos personales.
Hay tres partes que componen una consulta básica: SensitiveType, intervalo de recuento e intervalo de confianza. Por ejemplo, Se requiere SensitiveType:"<type>" y ambos |<count range> y |<el intervalo de> confianza es opcional.
Las consultas suelen comenzar con la propiedad SensitiveType:"
y un nombre de tipo de información del inventario de tipos de información confidencial y terminan con ."
También puede usar el nombre de un tipo de información confidencial personalizado que creó para su organización. Por ejemplo, tal vez esté buscando documentos que contienen números de tarjetas de crédito.
En tal instancia, usaría el formato siguiente: SensitiveType:"Credit Card Number"
. Dado que no incluye el intervalo de recuento ni el intervalo de confianza, la consulta devuelve todos los documentos en los que se detecta un número de tarjeta de crédito. Esta es la consulta más sencilla que se puede ejecutar y devuelve la mayoría de los resultados. Tenga en cuenta que la ortografía y el espaciado del tipo confidencial son importantes.
Las dos partes siguientes son intervalos, por lo que vamos a examinar rápidamente el aspecto de un rango. En las consultas de SharePoint, un intervalo básico se representa mediante dos números separados por dos puntos, lo que tiene este aspecto: [number]..[number]
. Por ejemplo, si 10..20
se usa, ese intervalo capturaría números de 10 a 20. Hay muchas combinaciones de rango diferentes y se tratan varias en este artículo.
Vamos a agregar un intervalo de recuento a la consulta. Puede usar el intervalo de recuento para definir el número de repeticiones de información confidencial que un documento debe contener antes de que se incluya en los resultados de la consulta. Por ejemplo, si desea que la consulta devuelva solo documentos que contengan exactamente cinco números de tarjeta de crédito, use esto: SensitiveType:"Credit Card Number|5"
. El intervalo de recuento también puede ayudar a identificar los documentos que suponen altos niveles de riesgo. Por ejemplo, su organización puede considerar como un riesgo alto los documentos con cinco o más números de tarjeta de crédito. Para buscar documentos que ajusten este criterio, use esta consulta: SensitiveType:"Credit Card Number|5.."
. Como alternativa, puede encontrar documentos con cinco o menos números de tarjeta de crédito mediante esta consulta: SensitiveType:"Credit Card Number|..5"
.
Por último, el intervalo de confianza es el nivel de confianza con el que el tipo confidencial detectado coincide en realidad. Los valores para el intervalo de confianza funcionan de forma similar al intervalo de recuento. Puede crear una consulta sin incluir un intervalo de recuento. Por ejemplo, para buscar documentos con cualquier número de números de tarjeta de crédito (siempre que el intervalo de confianza sea del 85 por ciento o superior), use esta consulta: SensitiveType:"Credit Card Number|*|85.."
.
Importante
El asterisco ( *
) es un carácter comodín que significa que cualquier valor funciona. Puede usar el carácter comodín ( *
) en el intervalo de recuento o en el intervalo de confianza, pero no en un tipo confidencial.
Las consultas en SharePoint también contienen la propiedad LastSensitiveContentScan, que puede ayudarle a buscar archivos examinados dentro de un período de tiempo específico. Para ver ejemplos de consulta con la LastSensitiveContentScan
propiedad , vea los ejemplos de consultas complejas en la sección siguiente.
Puede usar las propiedades de búsqueda de eDiscovery de SharePoint, como Author
o FileExtension
. Puede usar operadores para crear consultas complejas. Para obtener la lista de propiedades y operadores disponibles, vea la entrada de blog Uso de propiedades y operadores de búsqueda con eDiscovery .
En los ejemplos siguientes se usan diferentes tipos confidenciales, propiedades y operadores para ilustrar cómo puede refinar las consultas para encontrar exactamente lo que está buscando.
Consulta | Explicación |
---|---|
SensitiveType:"International Banking Account Number (IBAN)" |
El nombre puede parecer extraño porque es tan largo, pero es el nombre correcto para ese tipo confidencial. Asegúrese de usar nombres exactos del inventario de tipos de información confidencial. También puede usar el nombre de un tipo de información confidencial personalizado que creó para su organización. |
SensitiveType:"Credit Card Number|1..4294967295|1..100" |
Esto devuelve documentos con al menos una coincidencia con el tipo confidencial "Número de tarjeta de crédito". Los valores de cada intervalo son los valores mínimo y máximo respectivos. Una manera más sencilla de escribir esta consulta es SensitiveType:"Credit Card Number" , pero ¿dónde está la diversión en eso? |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
Esto devuelve documentos con entre 5 y 25 números de tarjeta de crédito que se escanearon del 11 de agosto de 2018 al 13 de agosto de 2018. |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
Esto devuelve documentos con entre 5 y 25 números de tarjeta de crédito que se escanearon del 11 de agosto de 2018 al 13 de agosto de 2018. Los archivos con una extensión XLSX no se incluyen en los resultados de la consulta.
FileExtension es una de las muchas propiedades que puede incluir en una consulta. Para obtener más información, vea Uso de propiedades y operadores de búsqueda con eDiscovery. |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
Esto devuelve los documentos que contienen un número de tarjeta de crédito o un número de seguro social. |
No todas las consultas son iguales. En la tabla siguiente se proporcionan ejemplos de consultas que no funcionan en SharePoint y se describe por qué.
Consulta no compatible | Reason |
---|---|
SensitiveType:"Credit Card Number|.." |
Debe agregar, al menos, un número. |
SensitiveType:"NotARule" |
"NotARule" no es un nombre de tipo confidencial válido. Solo los nombres del inventario de tipos de información confidencial funcionan en consultas de eDiscovery. |
SensitiveType:"Credit Card Number|0" |
Cero no es válido como el valor mínimo o el valor máximo de un intervalo. |
SensitiveType:"Credit Card Number" |
Es posible que sea difícil de ver, pero hay espacio en blanco adicional entre "Crédito" y "Tarjeta" que hace que la consulta no sea válida. Use nombres de tipos confidenciales exactos del inventario de tipos de información confidencial. |
SensitiveType:"Credit Card Number|1. .3" |
La parte de dos períodos no debe estar separada por un espacio. |
SensitiveType:"Credit Card Number| |1..|80.." |
Hay demasiados delimitadores de canalización (|). Siga este formato en su lugar: SensitiveType: "Credit Card Number|1..|80.." |
SensitiveType:"Credit Card Number|1..|80..101" |
Dado que los valores de confianza representan un porcentaje, no pueden superar los 100. Elija un número del 1 al 100 en su lugar. |
También puede usar herramientas de búsqueda de exhibición de documentos electrónicos en el portal de Microsoft Purview para buscar documentos almacenados en sitios de SharePoint y OneDrive que se hayan compartido con personas ajenas a su organización. Esto puede ayudarle a identificar información confidencial o de propiedad que esté compartiéndose fuera de su organización. Para ello, use la ViewableByExternalUsers
propiedad en una consulta de palabra clave. Esta propiedad devuelve documentos o sitios que se han compartido con usuarios externos mediante uno de los métodos de uso compartido siguientes:
- Una invitación para compartir que requiere que los usuarios inicien sesión en su organización como un usuario autenticado.
- Un vínculo de invitado anónimo, que permite a cualquier usuario con este vínculo acceder al recurso sin tener que autenticarse.
Estos son algunos ejemplos:
- La consulta
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
devuelve todos los elementos que se han compartido con personas ajenas a la organización y contienen un número de tarjeta de crédito. - La consulta
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
devuelve una lista de documentos en todos los sitios de equipo de la organización que se han compartido con usuarios externos.
Sugerencia
Una consulta de búsqueda como ViewableByExternalUsers:true AND ContentType:document
podría devolver una gran cantidad de archivos .aspx en los resultados de la búsqueda. Para eliminar estos (u otros tipos de archivos), puede usar la FileExtension
propiedad para excluir tipos de archivo específicos; por ejemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
, .
¿Qué se considera contenido que se comparte con personas externas de su organización? Documentos de los sitios de SharePoint y OneDrive de la organización que se comparten mediante el envío de una invitación para compartir o que se comparten en ubicaciones públicas. Por ejemplo, las siguientes actividades de usuario dan lugar a contenido que es visible para los usuarios externos:
- Un usuario comparte un archivo o una carpeta con una persona externa a su organización.
- Un usuario crea y envía un vínculo a un archivo compartido a una persona externa a su organización. Este vínculo permite al usuario externo ver (o editar) el archivo.
- Un usuario envía una invitación de uso compartido o un vínculo de invitado a una persona externa a su organización para ver (o editar) un archivo compartido.
Aunque la ViewableByExternalUsers
propiedad representa el estado de si un documento o sitio se comparte con usuarios externos, hay algunas advertencias sobre lo que hace y no refleja esta propiedad. En los escenarios siguientes, el valor de la ViewableByExternalUsers
propiedad no se actualizará y los resultados de una consulta de búsqueda que usa esta propiedad pueden ser inexactos.
- Cambios en la directiva de uso compartido, como desactivar el uso compartido externo para un sitio o para la organización. La propiedad seguirá mostrando documentos compartidos anteriormente como accesibles externamente aunque se haya revocado el acceso externo.
- Cambios en la pertenencia a grupos, como agregar o quitar usuarios externos a Grupos de Microsoft 365 o grupos de seguridad de Microsoft 365. La propiedad no se actualizará automáticamente para los elementos a los que el grupo tiene acceso.
- Enviar invitaciones de uso compartido a usuarios externos donde el destinatario no ha aceptado la invitación y, por tanto, aún no tiene acceso al contenido.
En estos escenarios, la ViewableByExternalUsers
propiedad no reflejará el estado de uso compartido actual hasta que el sitio o la biblioteca de documentos se vuelvan a rastrear y volver a indexar.
Puede usar la SharedWithUsersOWSUser
propiedad para buscar documentos que se hayan compartido entre personas de su organización. Cuando una persona comparte un archivo (o carpeta) con otro usuario de su organización, aparece un vínculo al archivo compartido en la página Compartido conmigo de la cuenta de OneDrive de la persona con la que se ha compartido el archivo. Por ejemplo, para buscar los documentos que se han compartido con Sara Davis, puede usar la consulta SharedWithUsersOWSUser:"sarad@contoso.com"
. Si exporta los resultados de esta búsqueda, se descargan los documentos originales (ubicados en la ubicación de contenido de la persona que compartió los documentos con Sara).
Los documentos deben compartirse explícitamente con un usuario específico para que se devuelvan en los resultados de búsqueda cuando se use la SharedWithUsersOWSUser
propiedad . Por ejemplo, cuando una persona comparte un documento en su cuenta de OneDrive, tiene la opción de compartirlo con cualquier persona (dentro o fuera de la organización), compartirlo solo con personas dentro de la organización o compartirlo con una persona específica.
Solo los documentos que se comparten mediante la tercera opción (compartida con personas específicas) se devuelven mediante una consulta de búsqueda que usa la SharedWithUsersOWSUser
propiedad .
Puede usar la siguiente consulta de palabra clave para buscar específicamente contenido en Skype Empresarial conversaciones:
kind:im
La consulta de búsqueda anterior también devuelve chats de Microsoft Teams. Para evitar esto, puede restringir los resultados de la búsqueda para incluir solo Skype Empresarial conversaciones mediante la siguiente consulta de palabra clave:
kind:im AND subject:conversation
La consulta de palabra clave anterior excluye los chats en Microsoft Teams porque Skype Empresarial conversaciones se guardan como mensajes de correo electrónico con una línea subject que comienza con la palabra "Conversation".
Para buscar Skype Empresarial conversaciones que se produjeron dentro de un intervalo de fechas específico, use la siguiente consulta de palabra clave:
kind:im AND subject:conversation AND (received=startdate..enddate)
Para obtener más información sobre los límites de caracteres, vea límites de búsqueda de exhibición de documentos electrónicos.