Créer une requête de recherche pour un cas dans eDiscovery (préversion)
Vous pouvez utiliser la recherche dans eDiscovery (préversion) pour rechercher du contenu sur place tel que des e-mails, des documents et des conversations de messagerie instantanée dans votre organization qui sont pertinents pour un cas. Utilisez la recherche pour rechercher du contenu dans ces sources de données Microsoft 365 basées sur le cloud :
- Echange de boîtes aux lettres en ligne
- Sites SharePoint
- Les comptes OneDrive
- Microsoft Teams
- Groupes Microsoft 365
- Viva Engage Groupes
Vous pouvez créer et exécuter différentes recherches associées au cas. Vous utilisez des conditions (telles que des mots clés) pour créer des requêtes de recherche qui retournent des résultats de recherche avec les données les plus susceptibles d’être pertinentes pour le cas. Vous pouvez également :
- Affichez les statistiques de recherche qui peuvent vous aider à affiner une requête de recherche pour affiner les résultats.
- Affichez un aperçu des résultats de la recherche pour vérifier rapidement si les données pertinentes sont trouvées.
- Modifiez une requête et réexécutez la recherche.
Une fois que vous avez recherché et trouvé des données pertinentes pour votre enquête, vous pouvez envoyer les résultats à un jeu de révision pour une investigation plus approfondie ou les exporter pour qu’ils soient examinés par des personnes extérieures à l’équipe d’enquête.
Notes
Pour les organisations qui ont des exigences du Règlement général sur la protection des données (RGPD) de l’UE pour protéger et activer les droits de confidentialité des individus au sein de l’Union européenne (UE), vous pouvez également gérer les enquêtes en réponse à une demande de personne concernée (DSR) soumise par une personne dans votre organization. L’outil de cas de recherche de données utilisateur a été mis hors service et ses fonctionnalités ont été fusionnées avec eDiscovery (préversion). Vous pouvez maintenant utiliser la recherche pour rechercher du contenu afin de prendre en charge les DSR de tous les emplacements pris en charge par les recherches eDiscovery.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
- Le fuseau horaire de toutes les recherches est le temps universel coordonné (UTC). La modification des fuseaux horaires pour votre organization n’est actuellement pas prise en charge. Les paramètres d’affichage de fuseau horaire dans l’affichage de recherche s’appliquent uniquement aux valeurs de la colonne Données et n’affectent pas les horodatages sur les éléments collectés.
- Les recherches par mot clé ne respectent pas la casse. Par exemple, cat et CAT renvoient les mêmes résultats.
- Les opérateurs booléens AND, OR, NOT et NEAR doivent être en majuscules.
- L’utilisation de guillemets arrête les caractères génériques et toutes les opérations à l’intérieur des guillemets.
- Un espace entre deux mots clés ou deux
property:value
expressions est identique à l’utilisation de OR. Par exemple,from:"Sara Davis" subject:reorganization
retourne tous les messages envoyés par Sara Davis ou les messages qui contiennent le mot réorganisation dans la ligne d’objet. Toutefois, l’utilisation d’une combinaison d’espaces et de conditions OR dans une seule requête peut entraîner des résultats inattendus. Nous vous recommandons d’utiliser des espaces ou OU dans une seule requête. - Utilisez une syntaxe qui correspond au
property:value
format. Les valeurs ne respectent pas la casse et ne peuvent pas avoir d’espace après l’opérateur. S’il existe un espace, votre valeur prévue est une recherche en texte intégral. Par exempleto: pilarp
, recherche « pilarp » comme mot clé, plutôt que pour les messages envoyés à pilarp. - Lorsque vous lancez une recherche sur une propriété de destinataire, telle que To, From, Cc ou Recipients, vous pouvez utiliser une adresse SMTP, un alias ou un nom d'affichage pour désigner un destinataire. Par exemple, vous pouvez utiliser pilarp@contoso.com, pilarp ou « Pilar Pinilla ».
- Vous ne pouvez utiliser que des recherches de préfixe ; par exemple, cat* ou set*. Les recherches de suffixe (*cat), les recherches infix (c*t) et les recherches de sous-chaînes (*cat*) ne sont pas prises en charge.
- Lorsque vous recherchez une propriété, utilisez des guillemets (" ") si la valeur est composée de plusieurs mots. Par exemple,
subject:budget Q1
retourne des messages qui contiennent le budget dans la ligne d’objet et qui contiennent Q1 n’importe où dans le message ou dans l’une des propriétés du message. L’utilisationsubject:"budget Q1"
de renvoie tous les messages qui contiennent le budget Q1 n’importe où dans la ligne d’objet. - Pour exclure de vos résultats de recherche du contenu marqué avec une certaine valeur de propriété, placez un signe moins (-) avant le nom de la propriété. Par exemple,
-from:"Sara Davis"
exclut tous les messages envoyés par Sara Davis. - Vous pouvez exporter des éléments en fonction du type de message. Par exemple, pour exporter des conversations et des conversations Skype dans Microsoft Teams, utilisez la syntaxe
kind:im
. Pour renvoyer uniquement les messages électroniques, vous devez utiliserkind:email
. Pour retourner des conversations, des réunions et des appels dans Microsoft Teams, utilisezkind:microsoftteams
. - Lors de la recherche de sites, vous devez ajouter la fin
/
de l’URL lors de l’utilisation de lapath
propriété pour renvoyer uniquement les éléments d’un site spécifié. Si vous n’incluez pas la fin/
, les éléments d’un site avec un nom de chemin d’accès similaire sont également retournés. Par exemple, si vous utilisezpath:sites/HelloWorld
, les éléments des sites nomméssites/HelloWorld_East
ousites/HelloWorld_West
sont également retournés. Pour renvoyer des éléments uniquement à partir du site HelloWorld, vous devez utiliserpath:sites/HelloWorld/
. - Le pays/région langue de la requête doit être défini dans votre requête de recherche avant de collecter du contenu.
- Lors de la recherche d’e-mails dans les dossiers envoyés , l’utilisation de l’adresse SMTP de l’expéditeur n’est pas prise en charge. Les éléments du dossier Envoyé contiennent uniquement des noms d’affichage.
Conseil
Préférez-vous une expérience de guide de configuration interactive ? Consultez le guide Concevoir une recherche .
Après avoir créé un cas, vous êtes automatiquement dirigé vers l’onglet Recherches dans le cas et vous êtes prêt à créer une recherche pour le cas. Les recherches vous aident à trouver les éléments que vous souhaitez collecter pour le cas.
Sélectionnez Créer une recherche. S’il s’agit d’un nouveau cas sans recherche précédente, vous pouvez également sélectionner Créer une recherche dans le volet main sous Démarrer la recherche de données pertinentes.
Dans la page Entrer les détails pour commencer, renseignez les champs suivants :
- Nom de la recherche : donnez un nom à la recherche (obligatoire). Le nom de la recherche doit être unique dans votre organization
- Description de la recherche : ajoutez une description facultative pour aider les autres utilisateurs à comprendre cette recherche.
Sélectionnez Créer pour créer la recherche et démarrer vos requêtes afin de trouver les données pertinentes pour le cas.
Sous l’onglet Requête de la recherche, ajoutez des sources de données pour votre recherche
Sélectionnez Ajouter des sources de données ou Ajouter des sources à l’échelle du locataire.
Ajouter des sources de données : cette option ajoute des sources de données individuelles à votre organization.
Ajouter des sources à l’échelle du locataire : cette option inclut les sources de votre organization. Choisissez d’appliquer à toutes les sources ou d’affiner les sélections à un sous-ensemble de sources de données.
Par exemple, si vous sélectionnez Toutes les personnes et tous les groupes pour lesboîtes aux lettres, vous ajoutez toutes les boîtes aux lettres Exchange utilisateur dans votre organization en tant que source de données. Si vous sélectionnez Toutes les personnes et tous les groupes et Tous pour les sites, vous ajoutez tous les sites SharePoint et OneDrive utilisateur dans votre organization en tant que source de données.
Dans le volet volant Rechercher des sources , vous allez rechercher et ajouter des sources de données pour votre requête de recherche. Vous pouvez filtrer pour étendre les sources de données pour vous aider à choisir un ou plusieurs utilisateurs ou sources de groupe à ajouter à la recherche.
Le côté gauche du volet affiche les options Filtrer les sources. Par défaut, Toutes les sources dans le locataire est sélectionnée pour inclure toutes les sources dans votre organization pour la sélection et l’ajout à la recherche.
Utilisez les options suivantes dans le filtre Afficher pour vous aider à définir l’étendue de vos sources dans la section Recherche :
- Toutes les personnes et groupes (par défaut)
- Personnes uniquement
- Groupes uniquement
Le cas échéant, sélectionnez Exclure les utilisateurs inactifs pour réduire l’étendue des sources aux utilisateurs actuellement actifs uniquement.
Une fois que vous avez filtré les sources de données, utilisez le contrôle de recherche et les sélecteurs dans la section Recherche pour ajouter des sources de données, des utilisateurs et des groupes spécifiques à la requête de recherche. Entrez les utilisateurs, groupes ou emplacements organization spécifiques que vous souhaitez ajouter dans le champ de recherche, puis sélectionnez Rechercher.
Recherchez des personnes utilisant les valeurs suivantes :
- Prénom et nom de famille du nom d’affichage de l’utilisateur (par exemple, John Smith)
- Prénom uniquement
- Adresse SMTP de l’utilisateur
- Alias de l'utilisateur
- Exchange GUID
- URL du site OneDrive de l’utilisateur
Recherchez des groupes à l’aide des valeurs suivantes :
- Adresse SMTP de la boîte aux lettres de groupe
- URL du site de groupe. L’URL d’un site de canal Teams résout le groupe Teams en tant que source de données.
Sélectionnez Gérer pour mettre à jour la boîte aux lettres ou le site associé aux sources sélectionnées. Sinon, sélectionnez Enregistrer et fermer.
Passez en revue vos sélections et confirmez les ressources incluses pour chaque source de données. Sélectionnez Enregistrer. Vous avez maintenant limité les sources de données que vos requêtes de recherche examinent.
Dans la section Sources de données, sélectionnez le menu ellipse pour n’importe quelle source de données pour les options de gestion de la source de données.
Pour les options de gestion, sélectionnez l’une des options suivantes :
- Gérer la source de données : gérez les sources de données pour l’utilisateur ou le site sélectionné.
- Désactiver les boîtes aux lettres : désactivez les boîtes aux lettres pour l’utilisateur ou le site sélectionné. Sélectionnez à nouveau cette option pour activer la boîte aux lettres pour l’utilisateur ou le site.
- Désactiver les sites : désactivez le site pour l’utilisateur ou le site sélectionné. Sélectionnez à nouveau cette option pour activer le site pour l’utilisateur ou le site.
- Collaborateurs fréquents : sélectionnez les boîtes aux lettres et les sites associés pour les utilisateurs qui collaborent fréquemment avec l’utilisateur sélectionné.
- Responsable : sélectionnez les boîtes aux lettres et les sites associés du responsable de l’utilisateur.
- Rapports directs : sélectionnez les boîtes aux lettres et les sites associés des rapports directs de l’utilisateur.
- Groupes l’utilisateur possède : sélectionnez les boîtes aux lettres et les sites associés des groupes dont l’utilisateur est propriétaire.
- Groupes l’utilisateur : sélectionnez les boîtes aux lettres et les sites associés des groupes dont l’utilisateur est membre.
Pour les sources de groupe, sélectionnez l’une des options suivantes :
- Membres : sélectionnez les boîtes aux lettres associées et les sites des personnes qui sont membres du groupe.
Utilisez les contrôles de barre de commande Sources de données pour ajouter, mettre à jour, synchroniser et rechercher d’autres sources de données pour la recherche (si nécessaire)
- Rechercher et ajouter : sélectionnez l’icône + pour ajouter des sources de données.
- Gérer : sélectionnez l’icône en forme de crayon pour gérer les sources de données affectées.
- Synchroniser : sélectionnez l’icône de synchronisation pour synchroniser les sources de données et mettre à jour les sources de données avec les sources de données les plus récentes dans votre organization.
- Rechercher : sélectionnez l’icône de recherche pour rechercher les sources de données actuellement incluses dans la requête de recherche.
Pour définir les paramètres de votre requête de recherche, vous pouvez choisir parmi les options suivantes sous l’onglet Requête :
Générateur de conditions : l’option générateur de conditions dans la recherche offre une expérience de recherche facile à l’utilisateur lorsque vous créez des requêtes de recherche dans eDiscovery (préversion). Utilisez des mots clés ou des conditions personnalisées pour concentrer l’étendue de vos requêtes de recherche. En outre, vous pouvez utiliser l’option de condition de requête KQL (Keyword Query Language) dans la recherche qui fournit des conseils et vous permet de coller rapidement des requêtes longues et complexes directement dans l’éditeur. Il vous aide également à créer des requêtes de recherche à partir de zéro, à identifier les erreurs potentielles et à afficher des conseils sur la façon de résoudre les problèmes.
Vous pouvez également créer rapidement des requêtes KeyQL pour votre recherche à l’aide de Microsoft Security Copilot. Pour obtenir des conseils, consultez la section suivante de cet article.
Rechercher par fichier : chargez un ou plusieurs fichiers pour rechercher du contenu connexe ou similaire pour un cas spécifique. Utilisez le fichier csv d’activité d’audit pour rechercher des messages et des fichiers associés pour un utilisateur spécifique dans un laps de temps spécifique. Ou fournissez un exemple de preuve pour trouver un contenu similaire. Chaque fichier est limité à une taille maximale de 10 Mo, et les fichiers peuvent être csv ou txt. Les options build de requête et KQL sont désactivées lors de la recherche par fichier.
Sélectionnez Exécuter la requête. Si vous souhaitez enregistrer les paramètres de requête que vous avez définis et exécuter la requête ultérieurement, sélectionnez Enregistrer en tant que brouillon.
L’option Générateur KeyQL de requête en langage naturel (préversion) dans la recherche vous permet d’utiliser le langage naturel et Microsoft Security Copilot pour générer rapidement une instruction KeyQL (Keyword Query Language). Utilisez le générateur pour construire des requêtes complexes avec des fonctionnalités supplémentaires, notamment AND, OR et le regroupement de conditions, tout en utilisant des invites en langage naturel.
Cette fonctionnalité vous permet de créer des requêtes plus facilement à l’aide d’invites prédéfinies pour des scénarios par exemple et vous permet d’affiner et d’améliorer les invites personnalisées pour des requêtes de recherche plus précises. Vous pouvez également choisir d’utiliser des suggestions d’invite comme point de départ pour créer et affiner des requêtes KeyQL pour des scénarios de recherche courants ou personnalisés.
Pour créer une requête de recherche avec Copilot, procédez comme suit :
- Une fois que vous avez sélectionné des sources de données pour votre requête, sélectionnez Brouillon d’une requête avec Copilot.
- Dans le volet d’invite en langage naturel , choisissez l’une des options suivantes :
- Entrez votre question de requête de recherche. Vous pouvez inclure l’utilisateur, la source de données et d’autres détails de contenu, le cas échéant.
- Sélectionnez Afficher les invites pour sélectionner l’une des suggestions d’invite suivantes :
- Rechercher tous les e-mails contenant les mots budget et finance et avoir des pièces jointes
- Rechercher dans toutes les conversations du mois de janvier 2020 qui contiennent le mot « exercice financier »
- Rechercher des fichiers de type .docx qui contiennent les mots confidentiel et budget
- Passez en revue l’invite de langage naturel. Pour affiner l’invite avec Copilot, sélectionnez Affiner.
- Une fois l’invite finalisée, sélectionnez Générer un keyQL.
- Passez en revue la requête KeyQL dans le volet de résultats KeyQL (Keyword Query Language). Si vous devez affiner les résultats de la requête KeyQL, vous pouvez mettre à jour l’invite dans le volet d’invite en langage naturel et sélectionner à nouveau Générer une cléQL . 1. Une fois les résultats KeyQL finalisés, sélectionnez Copier keyQL.
- Collez les résultats KeyQL dans le champ de requête sous l’onglet Langage de requête de mot clé (KeyQL). Vous pouvez fermer Brouillon d’une requête avec Copilot.
- Sélectionnez Exécuter la requête. Si vous souhaitez enregistrer les paramètres de requête que vous avez définis et exécuter la requête ultérieurement, sélectionnez Enregistrer en tant que brouillon.
Une fois que vous avez créé une requête de recherche manuellement ou à l’aide de Security Copilot, vous êtes prêt à exécuter la requête et à générer les résultats de la recherche.
Pour exécuter une requête de recherche, procédez comme suit :
Accédez au portail Microsoft Purview et connectez-vous à l’aide des informations d’identification d’un compte d’utilisateur affecté à des autorisations eDiscovery.
Sélectionnez la solution eDiscovery carte, puis sélectionnez Cas (préversion) dans la navigation de gauche.
Sélectionnez un cas. Sous l’onglet Recherches , sélectionnez une recherche enregistrée.
Sélectionnez Exécuter la requête.
Une fois que vous avez sélectionné Exécuter la requête, le volet de menu volant Mettre en forme les résultats de la requête s’affiche. Choisissez la vue que vous souhaitez générer pour la requête et ses paramètres. Vous pouvez choisir l’affichage Statistiques ou Exemple :
Statistiques : cette vue génère un résumé des estimations des données collectées organisées par indicateurs principaux. Choisissez une ou plusieurs des options suivantes :
Inclure des catégories : affinez votre vue pour inclure des personnes, des types d’informations sensibles, des types d’éléments et des erreurs.
Inclure le rapport sur les mots clés de requête : Évaluer mot clé pertinence pour différentes parties de votre requête de recherche/
Examiner les éléments partiellement indexés : les éléments partiellement indexés représentent généralement environ un pour cent du contenu des sources de données par nombre. La sélection de cette option (et uniquement de cette option) génère des informations récapitulatives (nombre d’éléments et emplacement) sur les éléments partiellement indexés inclus dans les sources de données sélectionnées pour la recherche. Aucun élément partiellement indexé n’est réindexé ou traité. Pour traiter davantage les éléments partiellement indexés dans des sources de données délimitées, envisagez les options d’indexation avancées suivantes :
Exclure des éléments partiellement indexés dans des emplacements sans résultats de recherche : cette option supplémentaire réduit l’étendue des éléments partiellement indexés (ou l’indexation avancée si cette option est sélectionnée) en limitant l’inclusion d’éléments partiellement indexés provenant uniquement des sources de données qui incluent des éléments pertinents pour votre recherche. Cela exclut les éléments partiellement indexés des sources de données qui n’incluent aucun élément pertinent pour votre recherche.
Par exemple, vous avez sélectionné plusieurs boîtes aux lettres, sites SharePoint et sites OneDrive comme sources de données pour votre recherche. Lorsque la recherche est exécutée, seuls quelques-uns des sites et boîtes aux lettres ont des éléments indexés pertinents pour les conditions de recherche ; le reste des boîtes aux lettres et des sites ne contiennent pas d’éléments indexés en mode natif correspondant à vos conditions de recherche. Si vous avez sélectionné cette option, les éléments partiellement indexés dans les boîtes aux lettres et les sites qui contiennent des éléments indexés en mode natif correspondant à la recherche sont inclus dans les résultats des statistiques de recherche. Les éléments partiellement indexés dans les boîtes aux lettres et les sites qui ne contiennent aucun élément indexé en mode natif pertinent pour la recherche sont ignorés et ne sont pas signalés dans les résultats des statistiques de recherche.
Effectuer une indexation avancée sur des éléments partiellement indexés : l’étendue de l’exécution de l’indexation avancée dépend du fait que vous avez sélectionné l’option Exclure les éléments partiellement indexés dans les emplacements sans accès à la recherche. Le processus d’indexation avancé exécute un exemple statistique d’éléments partiellement indexés dans l’étendue et détermine si ces éléments correspondent ou non à la requête :
- Sélectionné avec l’option Exclure les éléments partiellement indexés dans les emplacements sans résultats de recherche : cela s’applique uniquement aux éléments partiellement indexés aux sources de données dont les éléments entièrement indexés correspondent à la requête de recherche. Ces éléments sont échantillonnés, indexés et les éléments correspondant à la requête de recherche sont affichés dans les statistiques de recherche (le cas échéant).
- Sélectionné sans l’option Exclure les éléments partiellement indexés dans les emplacements sans accès à la recherche : cela s’applique à tous les éléments partiellement indexés dans toutes les sources de données incluses dans la recherche. Tous les éléments sont échantillonnés, indexés et les éléments correspondant à la requête de recherche sont affichés dans les statistiques de recherche (le cas échéant).
Exemple : cette vue génère une sélection représentative des résultats complets de la recherche. Définissez les paramètres pour les options suivantes :
- Sélectionnez le nombre d’exemples d’éléments à générer par emplacement : choisissez 1, 10 ou 100.
- Sélectionnez le nombre d’emplacements à partir duquel obtenir des exemples : choisissez 10, 100, 1000 ou 10 000.
Sélectionnez Exécuter la requête pour exécuter immédiatement la requête.
Selon les options d’affichage de requête que vous avez sélectionnées, vous êtes automatiquement dirigé vers l’onglet Statistiques ou Exemple . L’évaluation de la requête de recherche est démarrée et le temps restant pour traiter la requête est calculé. Pour plus d’informations sur l’évaluation et l’optimisation de vos résultats de recherche, consultez Examiner et évaluer les résultats de la recherche.