Évaluer et affiner les résultats de recherche dans eDiscovery (préversion)
L’évaluation et l’affinement de vos résultats de recherche sont l’une des étapes les plus importantes de votre travail d’investigation eDiscovery. La requête de recherche que vous configurez et les résultats retournés vous aident à déterminer si vous avez découvert des éléments et des informations applicables à votre investigation ou si vous devez modifier votre recherche pour essayer de découvrir d’autres éléments pertinents. Cette recherche initiale d’éléments et cet examen initial des informations vous aident à déterminer les actions requises une fois que vous avez finalisé vos paramètres de recherche.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Après avoir créé une recherche et l’avoir exécutée, l’étape suivante consiste à afficher les statistiques de recherche pour vous aider à vérifier si le contenu pertinent est trouvé et les emplacements de contenu ayant le plus d’accès. Vous pouvez également consulter un exemple des résultats de la recherche pour vous aider à déterminer si le contenu est dans l’étendue de votre investigation.
Si vous avez sélectionné Statistiques comme type de résultat initial pour votre recherche, vous êtes automatiquement redirigé vers ce tableau de bord une fois les résultats de la recherche terminés. Si vous êtes déjà familiarisé avec les versions précédentes d’eDiscovery, les informations de l’onglet Statistiques sont similaires aux estimations de collection. Les résultats de la recherche pour le tableau de bord Statistiques sont inclus dans les sections suivantes :
-
Résumé : cette section indique le nombre d’accès à la recherche, les emplacements, les sources de données et la taille de fichier totale des éléments partiellement indexés.
- Résultats de recherche : affiche le nombre total d’accès à la recherche et le volume de tous les éléments correspondant aux critères de requête à partir des emplacements recherchés.
- Emplacements : affiche la fraction d’emplacements avec des accès hors de tous les emplacements recherchés. Le numérateur affiche les emplacements avec des accès et le dénominateur indique le nombre d’emplacements recherchés. Les emplacements avec des erreurs sont affichés en rouge. Pour afficher des détails complets sur tous les emplacements et les correspondances et erreurs associées, sélectionnez Télécharger le rapport pour télécharger le rapport de .csv complet.
- Sources de données : affiche la fraction des sources de données avec des correspondances de toutes les sources de données recherchées. Le numérateur affiche les sources de données avec des correspondances et le dénominateur indique le nombre de sources de données incluses dans la recherche. Cette source de données est cohérente avec la source de données dans le flux de conception de recherche et doit correspondre au nombre de personnes ou de groupes inclus dans la recherche. Une source de données à l’échelle du locataire de Toutes les personnes et tous les groupes est une source de données unique.
- Éléments partiellement indexés ou « Accès avancés aux éléments indexés » : affiche le nombre et le volume d’éléments partiellement et non indexés retournés dans le cadre de la recherche. Cette carte affiche des informations sur les éléments partiellement indexés si vous choisissez d’inclure des éléments partiellement ou non indexés dans le cadre de la configuration de la recherche. Si vous avez choisi d’inclure des éléments partiellement ou non indexés et que vous avez activé des options d’indexation avancée, cette carte affiche les accès supplémentaires que vous obtenez à partir d’éléments indexés avancés. Le nombre d’accès indexé avancé provient d’un échantillon statistique sur les éléments partiellement indexés. Les résultats réels peuvent être plus nombreux et doivent être confirmés à l’aide des actions Ajouter à un jeu de révision et exporter les résultats de recherche.
-
Tendances d’accès à la recherche : cette section présente les cartes de résultats de recherche suivantes. Les graphiques sont interactifs et pointent pour afficher les noms de section, les pourcentages et les numéros d’élément. Sélectionnez Afficher les 100 premiers pour plus d’informations sur les éléments inclus dans chaque tendance et pour télécharger les résultats dans un fichier .csv :
- Principales sources de données : affiche les cinq principales sources de données qui composent le plus d’accès à la recherche correspondant à votre requête. Le nom de ces sources de données (noms d’utilisateurs, de groupes ou d’emplacements à l’échelle de organization) est répertorié avec le nombre d’accès. Ces sources de données doivent correspondre à ce que vous avez sélectionné dans le flux de travail des sources de données lors de la création de la requête de recherche.
- Principaux types d’informations sensibles (SIT) : affiche les cinq principaux types d’informations sensibles (SIT) dans les fichiers SharePoint qui sont le plus souvent inclus dans les résultats de recherche correspondant à votre requête. L’ajout du nombre de chaque SIT n’équivaut pas nécessairement au nombre total d’accès, car un seul élément/document peut contenir plusieurs types SIT. Par exemple, un document contient à la fois un mot de passe et un numéro de sécurité sociale (SSN). Dans cet exemple, il est compté deux fois. Nous vous recommandons de sélectionner Afficher les 100 premiers pour mieux comprendre les emplacements de ces décomptes SIT afin de vérifier s’ils se chevauchent ou non.
- Mots clés principaux : mots clés de requête, ce qui a permis d’obtenir le plus de résultats de recherche correspondant à votre requête.
- Principaux types d’éléments : types d’éléments les plus fréquents dans les résultats de recherche correspondant à votre requête. Ce nombre est déterminé par itemClass pour le contenu Exchange et ContentType pour le contenu SharePoint.
- Indexation status : répartition des éléments de données non indexés (y compris partiellement indexés) et entièrement indexés.
- Principaux participants à la communication : expéditeurs ou destinataires pour les e-mails, les conversations Microsoft Teams et les invitations de calendrier dans les emplacements Exchange.
- Type d’emplacement supérieur : nombre d’accès par type d’emplacement (boîte aux lettres ou site).
Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger le rapport pour combiner tous les résultats statistiques dans un seul fichier .csv. Lorsque vous affichez les 100 premiers résultats d’une zone de tendance, sélectionnez Télécharger le rapport pour un fichier .csv des 100 premiers résultats de la tendance sélectionnée.
Si vous avez sélectionné Sample comme type de résultat initial pour votre recherche, vous êtes automatiquement redirigé vers ce tableau de bord une fois les résultats de la recherche terminés. Les résultats de la recherche pour les colonnes Exemple de tableau de bord contiennent les informations suivantes pour chaque élément :
- Objet/Titre : objet ou titre des éléments inclus dans l’exemple.
- Date : date à laquelle l’élément a été créé ou envoyé.
- Expéditeur/auteur : expéditeur ou auteur de l’élément.
Les exemples vous permettent d’inspecter un sous-ensemble représentatif d’éléments individuels et de détails pour chaque élément retourné pour la recherche. Le nombre d’échantillons par emplacement et le nombre d’emplacements définis dans la recherche déterminent le nombre d’exemples d’éléments et la représentation de l’emplacement dans les exemples d’éléments.
Sélectionnez un exemple d’élément pour afficher les informations source de l’élément. S’il est disponible pour l’élément, cet affichage affiche une vue enrichie d’un élément sélectionné afin que vous puissiez évaluer la pertinence de l’élément en ce qui concerne la source de données de recherche et les conditions définies.
Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger les rapports pour combiner tous les exemples de résultats dans un seul fichier .csv. Sélectionnez Afficher les paramètres pour afficher les paramètres appliqués à l’exemple de génération d’affichage.
En fonction des estimations et des statistiques retournées par la recherche, vous pouvez modifier et affiner la recherche en modifiant les sources de données recherchées et la requête de recherche pour développer ou affiner la recherche. Vous pouvez mettre à jour et réexécuter la recherche jusqu’à ce que vous soyez certain que les résultats de la recherche contiennent le contenu le plus pertinent pour votre cas.
Une fois que vous êtes satisfait des résultats de la recherche, vous pouvez effectuer les actions suivantes :