Compartir vía

Más información sobre el flujo de trabajo de eDiscovery (versión preliminar)

  • Artículo

El flujo de trabajo de eDiscovery ahora le ayuda a identificar, investigar y tomar medidas más rápidamente sobre la información almacenada electrónica (ESI) en su organización. La identificación y la realización de acciones en elementos de ESI con eDiscovery (versión preliminar) usa el siguiente flujo de trabajo mejorado:

Diagrama de flujo de trabajo de eDiscovery.

Paso 1: Escalamiento del evento de desencadenador

Los eventos de desencadenador son actividades que se escalan en su organización y solicitan la creación de un nuevo caso en eDiscovery (versión preliminar). Estos eventos pueden ser solicitudes de asociados internos o externos, eventos integrados asociados a alertas en otras soluciones de Microsoft Purview (por ejemplo, casos de Insider Risk Management) o cualquier otra actividad que pueda beneficiarse de las acciones de búsqueda, investigación y mitigación incluidas con eDiscovery (versión preliminar).

Paso 2: Crear y administrar casos

Un caso de eDiscovery (versión preliminar) contiene todas las búsquedas, retenciones y conjuntos de revisión relacionados con una investigación específica. Esto puede incluir la respuesta a solicitudes de regulación, investigación y litigio. También puede asignar miembros a un caso para controlar quién puede acceder al caso y ver el contenido del caso. eDiscovery (versión preliminar) también admite la integración de nuevos casos de creación de casos con Microsoft Purview Insider Risk Management.

Paso 3: Buscar, evaluar resultados y refinar

Después de crear un caso, use las herramientas de búsqueda integradas en eDiscovery (versión preliminar) para buscar en las ubicaciones de contenido de la organización. Puede crear y ejecutar búsquedas diferentes asociadas al caso. Las condiciones (como las palabras clave) se usan para compilar varias consultas de búsqueda que devuelven resultados de búsqueda con los datos que probablemente sean relevantes para el caso. También puede:

  • Vea las estadísticas de búsqueda que pueden ayudarle a refinar una consulta de búsqueda para restringir los resultados.
  • Obtenga una vista previa de los resultados de la búsqueda para comprobar rápidamente si se encuentran los datos pertinentes.
  • Revise las consultas y vuelva a ejecutar las búsquedas.

Paso 4a: Acciones de los resultados de la búsqueda

  • Exportar resultados de búsqueda: una vez completada correctamente una búsqueda en un caso de exhibición de documentos electrónicos, puede exportar los resultados de la búsqueda. Al exportar los resultados de búsqueda, los elementos de buzón se descargan en archivos PST o como mensajes individuales. Al exportar contenido desde sitios de SharePoint y OneDrive, se exportan copias de documentos nativos de Office y otros documentos.
  • Crear conjuntos de revisión: un conjunto de revisión es una ubicación segura de Azure Storage proporcionada por Microsoft en la nube de Microsoft. Al agregar datos a un conjunto de revisión, los elementos recopilados se copian de su ubicación de contenido original en el conjunto de revisión. Los conjuntos de revisión proporcionan un conjunto de contenido estático y conocido que puede buscar, filtrar, etiquetar y analizar. También puede realizar un seguimiento e informar sobre qué contenido se agrega al conjunto de revisión.

Paso 4b: Crear retenciones

Para conservar y proteger los datos pertinentes para una investigación, puede colocar una suspensión de eDiscovery en los orígenes de datos asociados a un caso. Las características de eDiscovery Premium también incluirán pronto un flujo de trabajo de comunicaciones integrado para que pueda enviar notificaciones de suspensión a los usuarios y realizar un seguimiento de sus confirmaciones.

Después de crear un caso, puede colocar inmediatamente una suspensión en las ubicaciones de contenido de las personas de interés en la investigación. También puede crear retenciones basadas en consultas si es necesario. Las ubicaciones de contenido incluyen buzones de Exchange, sitios de SharePoint, cuentas de OneDrive y buzones y sitios asociados a Microsoft Teams y grupos de Microsoft 365. Aunque la colocación de una suspensión es opcional, la creación de una suspensión conserva el contenido que puede ser relevante para el caso durante la investigación.

Al crear una suspensión, puede conservar todo el contenido en ubicaciones de contenido específicas o puede crear una suspensión basada en consultas para conservar solo el contenido que coincida con una consulta de suspensión. Además de conservar el contenido, otra buena razón para crear retenciones es buscar rápidamente las ubicaciones de contenido en espera (en lugar de tener que seleccionar cada ubicación para buscar) al crear y ejecutar búsquedas en el paso siguiente. Después de completar la investigación, puede liberar cualquier retención que haya creado. Para obtener más información, vea Administrar retenciones en eDiscovery.

Paso 5: Revisión y toma de medidas de conjuntos de revisión

  • Buscar contenido: en la mayoría de los casos, es útil profundizar en el contenido de un conjunto de revisión y organizarlo para facilitar una revisión más eficaz. El uso de filtros y consultas en un conjunto de revisión le ayuda a centrarse en un subconjunto de documentos que cumplen los criterios de la revisión.
  • Ejecutar análisis: eDiscovery proporciona una herramienta de análisis integrada que le ayuda a seleccionar más datos del conjunto de revisión que determine que no son relevantes para la investigación. Además de reducir el volumen de datos pertinentes, eDiscovery también le ayuda a ahorrar costos de revisión legales, ya que le permite organizar el contenido para que el proceso de revisión sea más fácil y eficaz. Para obtener más información, vea Analizar datos en un conjunto de revisión en eDiscovery.
  • Elementos de etiqueta: la organización del contenido en un conjunto de revisión es importante para completar varios flujos de trabajo en el proceso de exhibición de documentos electrónicos. Esta organización a menudo incluye la identificación de contenido relevante, la selección de contenido innecesario y la identificación de contenido que debe ser revisado por un experto o un abogado. Cuando los responsables de cumplimiento normativo, los abogados u otros usuarios revisan el contenido de un conjunto de revisión, sus opiniones relacionadas con el contenido pueden capturarse mediante el uso de etiquetas. Las etiquetas proporcionan elementos de estructura y organización incluidos en una investigación. Para obtener más información, vea Etiquetar documentos en un conjunto de revisión en eDiscovery.
  • Crear un informe de consulta (versión preliminar): genere y descargue un informe consolidado en varias consultas para un conjunto de revisión. Este informe le permite ver rápidamente el número total y el volumen de elementos filtrados en una búsqueda de palabras clave determinada o en varias consultas de KeyQL compuestas.
  • Agregar elementos del conjunto de revisión a otro conjunto de revisión: en algunos casos, puede ser necesario seleccionar documentos de un conjunto de revisión y trabajar con ellos individualmente en otro conjunto de revisión.
  • Exportar elementos: después de buscar y buscar datos relevantes para la investigación, puede exportarlos fuera de su organización de Microsoft 365 para que los revisen personas ajenas al equipo de investigación. Además de los archivos de datos exportados, el paquete de exportación contiene un informe de exportación, un informe de resumen y un informe de errores. Para obtener más información, vea Exportar documentos desde un conjunto de revisión en eDiscovery.

Componentes de flujo de trabajo

Casos

Un caso contiene todas las búsquedas, retenciones y conjuntos de revisión relacionados con una investigación específica. Esto puede incluir la respuesta a solicitudes de regulación, investigación y litigio. También puede asignar miembros a un caso para controlar quién puede acceder al caso y ver el contenido del caso. eDiscovery (versión preliminar) también admite la integración de nuevos casos de creación de casos con Microsoft Purview Insider Risk Management.

Orígenes de datos

Los orígenes de datos definen dónde se realizan las búsquedas y dónde se pueden aplicar las retenciones. Los orígenes de datos organizan las ubicaciones de datos en una estructura jerárquica de árbol con dos niveles. Por ejemplo, para un usuario o grupo, el usuario o grupo sería el nivel superior y los buzones, los sitios de OneDrive y otros sitios serían el segundo nivel, ya que se relacionan con el usuario o grupo. Para un grupo de Microsoft Teams, el segundo nivel constaría del buzón de grupo, el sitio del grupo, los canales o sitios compartidos, los canales o sitios privados y otros canales o sitios relacionados con el grupo de Teams.

Los orígenes de datos de eDiscovery (versión preliminar) se dividen en tres grupos independientes:

  • Usuarios: los usuarios son personas de su organización con cuentas de Microsoft 365 e incluyen cualquier buzón, sitio de OneDrive o cualquier otro sitio asociado al usuario individual.

  • Grupos: los grupos incluyen buzones de grupo, sitios de grupo y sitios o canales compartidos y privados de Teams y SharePoint.

  • Orígenes de toda la organización: los orígenes de toda la organización incluyen:

    • Todas las personas y grupos: incluye todos los usuarios y todos los grupos de la organización.
    • Todas las aplicaciones: incluye todos los conectores de Graph establecidos en su organización, incluidos los datos indexados de aplicaciones como Salesforce, Oracle SQL y Azure DevOps.
    • Todas las carpetas públicas: incluye todo el contenido de los buzones de carpetas públicas de Exchange.

La sincronización del origen de datos en tiempo real ayuda a garantizar que siempre esté informado sobre los cambios más recientes en las ubicaciones de datos asociadas a usuarios y grupos. Puede consultar si se agregan orígenes de datos específicos a una búsqueda, si una retención tiene ubicaciones de datos recién aprovisionadas o si se quitan las ubicaciones de datos. Por ejemplo, si se crea un canal privado para un grupo de Teams, la característica de sincronización del panel de origen de datos le avisa de la nueva ubicación, lo que le permite incluirla rápida y fácilmente en búsquedas o retenciones. Esto garantiza que los nuevos datos no pasen desapercibidos y se incluyan en las investigaciones. Esto también ayuda a evitar posibles pérdidas de datos por los cambios de ubicación.

Colaboradores frecuentes

Al seleccionar personas como origen de datos para búsquedas, puede encontrar rápidamente otros usuarios que colaboren con frecuencia con el usuario seleccionado. Los colaboradores frecuentes son los diez usuarios más relevantes para el usuario seleccionado y puede seleccionar los buzones y sitios de estos usuarios como orígenes de datos para las búsquedas.

Exportaciones y descargas

Una vez que una búsqueda asociada a un caso de exhibición de documentos electrónicos (versión preliminar) se ejecuta correctamente, puede exportar los resultados de la búsqueda. Al exportar los resultados de búsqueda, los elementos de buzón se descargan en archivos PST o como mensajes individuales. Al exportar contenido desde sitios de SharePoint y OneDrive, se exportan copias de documentos nativos de Office y otros documentos.

Si ha agregado los resultados de la búsqueda a un conjunto de revisión de un caso, también puede exportar el contenido del conjunto de revisión a un paquete de descarga. Este paquete es configurable e incluye opciones para exportar solo documentos seleccionados, todos los documentos filtrados o todos los documentos del conjunto de revisión.

Directivas de suspensión y suspensión

Puede usar un caso de exhibición de documentos electrónicos (versión preliminar) para crear directivas de suspensión para conservar el contenido que podría ser relevante para la investigación con una suspensión de eDiscovery. Puede colocar una suspensión en los buzones de Exchange y las cuentas de OneDrive de las personas que está investigando en el caso. También puede colocar una suspensión en los buzones y sitios asociados a Microsoft Teams, grupos de Microsoft 365 y grupos de Interacción Viva. Al colocar ubicaciones de contenido en espera, el contenido se conserva hasta que se quita la ubicación del contenido de la suspensión o hasta que se elimina la suspensión.

Si es necesario, también puede colocar un buzón en suspensión por juicio para conservar todo el contenido del buzón, incluidos los elementos eliminados y las versiones originales de los elementos modificados. Al colocar el buzón de correo en retención por juicio, el buzón de archivo del usuario (si está habilitado) también se coloca en retención.

Permissions

Si desea que los usuarios usen cualquiera de las características relacionadas con eDiscovery en el portal de Microsoft Purview, debe asignarles los permisos adecuados. La manera más fácil de asignar roles es agregar a la persona el grupo de roles adecuado en la página Grupos de roles del portal de Microsoft Purview.

Sugerencia

Puede ver sus propios permisos en la página de información general de eDiscovery (versión preliminar) en el portal de Microsoft Purview. Debe tener al menos un rol asignado para que se muestren los permisos.

Procesos

eDiscovery (versión preliminar) incluye un informe de proceso que enumera todas las actividades que cuentan para la simultaneidad de mayúsculas y minúsculas y los límites diarios en eDiscovery durante un período de tiempo definido. Los procesos de eDsicovery (versión preliminar) son actividades asociadas a tareas específicas que admiten casos, búsquedas y conjuntos de revisión. Los procesos se desencadenan mediante acciones del usuario al usar estos componentes.

Los administradores de eDiscovery y los administradores de exhibición de documentos electrónicos (versión preliminar) pueden acceder a este informe. Los administradores de procesos le ayudan a ver información que se limita automáticamente a casos, búsquedas, conjuntos de revisión y retenciones.

Conjuntos de revisión

Un conjunto de revisión es una ubicación segura de Azure Storage proporcionada por Microsoft en la nube de Microsoft. Al agregar datos a un conjunto de revisión, los elementos recopilados se copian de su ubicación de contenido original en el conjunto de revisión. Los conjuntos de revisión proporcionan un conjunto de contenido estático y conocido que puede buscar, filtrar, etiquetar, analizar y predecir la relevancia mediante modelos de codificación predictiva. También puede realizar un seguimiento e informar sobre qué contenido se agrega al conjunto de revisión.

Búsquedas

Use la búsqueda para encontrar rápidamente contenido relevante para un caso. Esto incluye correo electrónico en buzones de Exchange, documentos en sitios de SharePoint y ubicaciones de OneDrive, y conversaciones de mensajería instantánea en Skype para empresas. Puede usar las herramientas de búsqueda para buscar correo electrónico, documentos y conversaciones de mensajería instantánea en herramientas de colaboración como Microsoft Teams y grupos de Microsoft 365.

Puede crear y ejecutar búsquedas diferentes asociadas al caso. Las condiciones (como las palabras clave) se usan para crear consultas de búsqueda que devuelven resultados de búsqueda con los datos que probablemente sean relevantes para el caso.

También puede:

  • Vea las estadísticas de búsqueda y los elementos de ejemplo que pueden ayudarle a refinar una consulta de búsqueda para restringir los resultados.
  • Obtenga una vista previa de los resultados de la búsqueda para comprobar rápidamente si se encuentran los datos pertinentes.
  • Revise una consulta y vuelva a ejecutar la búsqueda.
  • Exporte los resultados de la búsqueda o agregue los resultados de la búsqueda a un conjunto de revisión.

Ejemplos de búsqueda

Los ejemplos de una búsqueda proporcionan una muestra representativa de los elementos devueltos por los criterios de búsqueda definidos. La visualización de detalles sobre elementos individuales puede ayudarle a determinar si es necesario refinar la búsqueda o si los elementos representativos admiten la adición de los resultados de la búsqueda a un conjunto de revisión o a un archivo de exportación.

Estadísticas de búsqueda

Las estadísticas de una búsqueda proporcionan información sobre el volumen de datos, las ubicaciones de contenido que contienen resultados y el número de aciertos para la condición de consulta de búsqueda, etc. Estas conclusiones pueden ayudar a informar si se debe revisar la búsqueda para restringir o expandir el ámbito de la búsqueda antes de pasar a las fases de revisión y análisis en el flujo de trabajo de eDiscovery.

Eventos de desencadenador

Los eventos de desencadenador son actividades que se escalan en su organización y solicitan la creación de un nuevo caso en eDiscovery (versión preliminar). Estos eventos pueden ser solicitudes de asociados internos o externos, eventos integrados asociados a alertas en otras soluciones de Microsoft Purview (por ejemplo, casos de Insider Risk Management) o cualquier otra actividad que pueda beneficiarse de las acciones de búsqueda, investigación y mitigación incluidas con eDiscovery (versión preliminar).

¿Está listo para empezar?