Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery (versión preliminar)
El generador de condiciones en la búsqueda proporciona una experiencia de filtrado condicional visual al compilar consultas de búsqueda en eDiscovery (versión preliminar). Use el generador de condiciones para construir consultas con operadores (AND, OR) para ayudarle a crear consultas de forma más eficaz y proporcionar espacio adicional para que las consultas de palabras clave complejas se construyan y revisen.
Sugerencia
Empiece a trabajar con Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot for Security en Microsoft Purview.
Uso del generador de condiciones
Para crear una consulta y un filtrado condicional personalizado para la búsqueda, use los siguientes controles:
- AND/OR: estos operadores lógicos condicionales permiten seleccionar la condición de consulta que se aplica a filtros y subgrupos de filtro específicos. Estos operadores permiten usar varios filtros o subgrupos conectados a un único filtro en la consulta.
- Agregar una condición: permite agregar una condición para los orígenes de datos y la ubicación específicos seleccionados para la búsqueda.
- Seleccionar un operador: en función del filtro seleccionado, los operadores compatibles con el filtro están disponibles para seleccionar. Por ejemplo, si se selecciona el filtro Date , los operadores disponibles son Before, After y Between. Si se selecciona el filtro Tamaño (en bytes), los operadores disponibles son Mayor que, Mayor o igual, Menor que, Menor o igual, Entre y Igual.
- Valor: en función del filtro seleccionado, están disponibles los valores compatibles con el filtro. Además, algunos filtros admiten varios valores y algunos filtros admiten un valor específico. Por ejemplo, si el filtro Fecha está seleccionado, seleccione valores de fecha. Si está seleccionado el filtro Tamaño (en bytes), seleccione un valor para bytes.
- Quitar una condición de filtro: para quitar un filtro o subgrupo individuales, seleccione el icono quitar situado a la derecha de cada línea de filtro o subgrupo.
- Borrar todo: para borrar toda la consulta de todos los filtros y subgrupos, seleccione Borrar todo.
Directrices para el uso de condiciones
Tenga en cuenta lo siguiente al usar condiciones de búsqueda.
- Los operadores AND y OR conectan lógicamente una condición a la consulta de palabras clave (especificada en el cuadro palabra clave). Eso significa que los elementos tienen que satisfacer la consulta de palabra clave y la condición para que se incluyan en los resultados.
- Si agrega dos o más condiciones únicas a una consulta de búsqueda (condiciones que especifican propiedades diferentes), esas condiciones están conectadas lógicamente por los operadores AND y OR . Esto significa que solo se devuelven los elementos que satisfacen todas las condiciones (además de cualquier consulta de palabras clave).
- Si agrega más de una condición a la misma propiedad, las condiciones se conectan lógicamente mediante el operador OR. Eso significa que se devuelven los elementos que satisfacen la consulta de palabras clave y cualquiera de las condiciones. Por lo tanto, los grupos de las mismas condiciones se conectan entre sí mediante el operador OR y, después, los conjuntos de condiciones únicas se conectan mediante el operador AND.
- Si agrega varios valores (separados por comas o por punto y coma) a una única condición, esos valores se conectan mediante el operador O. Eso significa que se devuelven los elementos que contengan cualquiera de los valores especificados para la propiedad en la condición.
- Cualquier condición que use un operador con lógica Contains e Equals devuelve resultados de búsqueda similares para búsquedas de cadenas simples. Una búsqueda de cadenas simple es una cadena en la condición que no incluye un carácter comodín). Por ejemplo, una condición que usa Equals cualquiera de devuelve los mismos elementos que una condición que usa Contains any of.
- La consulta de búsqueda que se crea mediante el cuadro de palabras clave y las condiciones se muestra en la página Buscar , en el panel de detalles de la búsqueda seleccionada. En una consulta, todo a la derecha de la notación
(c:c)indica las condiciones que se agregan a la consulta.(c:c)no se debe usar en consultas especificadas manualmente y no es igual a AND o OR. - Las condiciones solo agregan propiedades a la consulta de búsqueda; no agregan operadores. Por este motivo, la consulta que se muestra en el panel de detalles no muestra operadores a la derecha de la
(c:c)notación. KQL agrega operadores lógicos (según las reglas explicadas anteriormente) al ejecutar la consulta. - Puede usar el control de arrastrar y colocar para volver a secuenciar el orden de las condiciones. Seleccione el control de una condición y muévalo hacia arriba o hacia abajo.
- Algunas propiedades de condición permiten escribir varios valores (separados por puntos y comas). Cada valor está conectado lógicamente por el operador OR y da como resultado la consulta
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). En la ilustración siguiente se muestra un ejemplo de una condición con varios valores.
Ejemplo de escenario
El administrador de eDiscovery debe crear una consulta para encontrar correos electrónicos enviados desde Aimee Miller a Adam Eham, Adele Vance o Aditya Dash que se enviaron entre el 9 de febrero de 2023 y el 9 de marzo de 2023 que contienen el cumplimiento y la auditoría de palabras clave. En este ejemplo, el administrador crea la siguiente consulta mediante el nuevo generador de consultas:
- Para el primer filtro, el administrador selecciona Remitente, después selecciona el operador Equals any of y, a continuación, selecciona Aimee Miller en la lista de usuarios disponibles en el control Valor .
- A continuación, el administrador selecciona Agregar subgrupo y el operador OR para definir los demás usuarios a los que Aimee puede haber enviado un correo electrónico sobre la auditoría de cumplimiento.
- En el subgrupo, el administrador selecciona el filtro Para , el operador Equals any of y el valor (usuario) para cada uno de los demás usuarios a los que Aimee puede haber enviado un correo electrónico sobre la auditoría de cumplimiento. En este ejemplo, el administrador crea un filtro en el subgrupo para Adam Eham, Adele Vance y Aditya Dash.
- Para definir el intervalo de fechas, el administrador selecciona Agregar filtro y selecciona el filtro Fecha , el operador Between y las fechas de inicio y finalización del valor.
- Por último, el administrador selecciona el filtro de lista Palabras clave , el operador Equal y compliance, audit como la palabra clave Value.
Uso de condiciones de búsqueda
Puede agregar condiciones a una consulta de búsqueda para restringir una búsqueda y devolver un conjunto de resultados más refinado. Cada condición agrega una cláusula a la consulta de búsqueda KQL que se crea y se ejecuta cuando se inicia la búsqueda.
- Caracteres especiales
- Condiciones para las propiedades comunes
- Condiciones para las propiedades de correo
- Condiciones para las propiedades de documento
- Operadores usados con condiciones
Caracteres especiales
Algunos caracteres especiales no se incluyen en el índice de búsqueda y, por tanto, no se pueden buscar. Esto también incluye los caracteres especiales que representan a los operadores de búsqueda en la consulta de búsqueda. Esta es una lista de caracteres especiales que se reemplazan por un espacio en blanco en la consulta de búsqueda real o provocan un error de búsqueda.
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
Condiciones para las propiedades comunes
Cree una condición mediante propiedades comunes al buscar en buzones y sitios de la misma búsqueda. En la tabla siguiente se enumeran las propiedades disponibles que se usarán al agregar una condición.
| Condición | Descripción |
|---|---|
| Fecha | En el caso del correo electrónico, la fecha en que se creó o importó un mensaje desde un archivo PST. En el caso de los documentos, la fecha en que se modificó por última vez un documento. Si está buscando mensajes de correo electrónico durante un período de tiempo específico, debe usar las condiciones de mensaje Recibido y Enviado si no está seguro de si los mensajes de correo electrónico pueden haberse importado en lugar de crearse de forma nativa en Exchange. |
| Identificador | En el caso del correo electrónico, el identificador de un mensaje específico.
Los identificadores de mensaje se incluyen en el registro de auditoría, las alertas de prevención de pérdida de datos (DLP) o los metadatos del conjunto de revisiones y permiten crear una búsqueda específica de un mensaje individual. Para los mensajes de Microsoft Teams, el identificador del chat o la reacción. ChatThreadID se incluye en el registro de auditoría, las alertas de prevención de pérdida de datos (DLP) o los metadatos del conjunto de revisiones y le permiten crear una búsqueda específica de un chat o reacción individuales. |
| Remitente/autor | Para correo electrónico, la persona que envió un mensaje. Para los documentos, la persona mencionada en el campo del autor de documentos de Office. Puede escribir más de un nombre, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. (Consulte Expansión de destinatarios) |
| Tamaño (en bytes) | Para los correos electrónicos y documentos, el tamaño del elemento (en bytes). |
| Asunto o título | Para correo electrónico, el texto en la línea de asunto de un mensaje. Para los documentos, el título del documento. La propiedad Title es metadatos especificados en documentos de Microsoft Office. Puede escribir el nombre de más de un valor de asunto o título, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregan dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error. |
| Etiqueta de retención | Para el correo electrónico y los documentos, etiquetas de retención aplicadas a mensajes y documentos. Las etiquetas de retención se pueden usar para declarar registros y ayudarle a administrar el ciclo de vida de los datos del contenido mediante la aplicación de reglas de retención y eliminación especificadas por la etiqueta. Para obtener más información sobre las etiquetas de retención, consulte Información sobre las directivas de retención y las etiquetas de retención. |
| Tipo de información confidencial (SIT) | Tanto para el correo electrónico como para los documentos, tipos de información confidencial incluidos en mensajes y documentos. Los SIT son clasificadores basados en patrones y detectan información confidencial como seguridad social, tarjeta de crédito o números de cuenta bancaria para identificar elementos confidenciales. Para obtener más información sobre los SIT, consulte Información sobre los tipos de información confidencial. |
| Etiqueta de confidencialidad | Tanto para el correo electrónico como para los documentos, las etiquetas de confidencialidad se aplican a los mensajes y documentos. Las etiquetas de confidencialidad le permiten clasificar y proteger los datos de su organización, a la vez que se asegura de que la productividad del usuario y su capacidad de colaboración no se ve obstaculizada. Para obtener más información sobre las etiquetas de confidencialidad, consulte Información sobre las etiquetas de confidencialidad. |
Condiciones para las propiedades de correo
Cree una condición mediante propiedades de correo al buscar buzones o carpetas públicas en Exchange Online. En la tabla siguiente se enumeran las propiedades de correo electrónico que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades de correo electrónico que se describieron anteriormente. Estas descripciones se repiten para su comodidad.
| Condición | Descripción |
|---|---|
| Tipo de mensaje | El tipo de mensaje para buscar. Se trata de la misma propiedad que la propiedad de correo electrónico Tipo. Posibles valores:
|
| Participantes | Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc. (Consulte Expansión de destinatarios) |
| Tipo | Propiedad de clase de mensaje para un elemento de correo electrónico. Esta es la misma propiedad que la propiedad de correo electrónico ItemClass. También es una condición de varios valores. Por lo tanto, para seleccionar varias clases de mensaje, mantenga presionada la tecla CTRL y, a continuación, seleccione dos o más clases de mensaje en la lista desplegable que desea agregar a la condición. Cada clase de mensaje que seleccione en la lista se conecta lógicamente mediante el operador OR en la consulta de búsqueda correspondiente. Para obtener una lista de las clases de mensaje (y su identificador de clase de mensaje correspondiente) que exchange usa y que puede seleccionar en la lista Clase de mensaje, vea Tipos de elementos y Clases de mensaje. |
| Cantidad.Recibida | La fecha en la que un destinatario recibió un mensaje de correo electrónico. Se trata de la misma propiedad que la propiedad de correo electrónico Recibido. |
| Recipientes | Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc. (Consulte Expansión de destinatarios) |
| Remitente | El remitente de un mensaje de correo electrónico. |
| Sent | La fecha en la que un remitente envió un mensaje de correo electrónico. Se trata de la misma propiedad que la propiedad de correo electrónico Enviado. |
| Asunto | El texto en la línea de asunto de un mensaje de correo electrónico. Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregan dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error. |
| To | Destinatario de un mensaje de correo electrónico en el campo Para. |
Condiciones para las propiedades de documento
Cree una condición mediante propiedades de documento al buscar documentos en sitios de SharePoint y OneDrive. En la tabla siguiente se enumeran las propiedades del documento que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades del sitio que se describieron anteriormente. Estas descripciones se repiten para su comodidad.
| Condición | Descripción |
|---|---|
| Autor | El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conservará el autor original. |
| Cargo | El título del documento. La propiedad Título son metadatos que se especifican en los documentos de Office. Es diferente del nombre de archivo del documento. |
| Creados | La fecha en la que se creó el documento. |
| Última modificación | La fecha en la que el documento se modificó por última vez. |
| Tipo de archivo | Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. Se trata de la misma propiedad que la propiedad del sitio FileExtension.
Nota: Si incluye una condición de tipo File mediante el operador Equals o Equals en una consulta de búsqueda, no puede usar una búsqueda de prefijo (incluyendo el carácter comodín ( * ) al final del tipo de archivo) para devolver todas las versiones de un tipo de archivo. Si lo hace, se omite el carácter comodín. Por ejemplo, si incluye la condición |
Operadores usados con condiciones
Cuando se agrega una condición, puede seleccionar un operador que sea pertinente para el tipo de propiedad de la condición. En la tabla siguiente se describen los operadores que se usan con condiciones y se enumera el equivalente que se usa en la consulta de búsqueda.
| Operador | Equivalente de consulta | Descripción |
|---|---|---|
| Después | property>date |
Se usa con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron después de la fecha especificada. |
| Antes | property<date |
Se usa con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron antes de la fecha especificada. |
| Between | date..date |
Se usa con condiciones de fecha y tamaño. Cuando se usa con una condición de fecha, devuelve los elementos que se enviaron, recibieron o modificaron durante el intervalo de fechas especificado. Cuando se usa con una condición de tamaño, devuelve los elementos cuyo tamaño está dentro del intervalo especificado. |
| Contiene cualquiera de | (property:value) OR (property:value) |
Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que contienen cualquier parte de uno o más valores de cadena especificados. |
| No contiene ninguno de | -property:value |
Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen ninguna parte del valor de cadena especificado. |
| No es igual a ninguno de | -property=value |
Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen la cadena especificada. |
| Igual a | size=value |
Devuelve elementos que son iguales al tamaño especificado. 1 |
| Es igual a cualquiera de | (property=value) OR (property=value) |
Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que coinciden con uno o varios valores de cadena especificados. |
| Mayor | size>value |
Devuelve elementos donde la propiedad especificada es mayor que el valor especificado. 1 |
| Mayor o igual | size>=value |
Devuelve elementos donde la propiedad especificada es mayor o igual que el valor especificado. 1 |
| Menos | size<value |
Devuelve elementos que son mayores o iguales que el valor específico. 1 |
| Menor o igual | size<=value |
Devuelve elementos que son mayores o iguales que el valor específico. 1 |
| No es igual | size<>value |
Devuelve elementos que no son iguales al tamaño especificado. 1 |
Nota:
1 Este operador solo está disponible para las condiciones que usan la propiedad Size.