Compartir por

Creación de una consulta de búsqueda para un caso en eDiscovery (versión preliminar)

  • Artigo

Puede usar la búsqueda en eDiscovery (versión preliminar) para buscar contenido local, como correo electrónico, documentos y conversaciones de mensajería instantánea en su organización que sean relevantes para un caso. Use la búsqueda para buscar contenido en estos orígenes de datos de Microsoft 365 basados en la nube:

  • Buzones de correo de Exchange Online
  • Sitios de SharePoint
  • Cuentas de OneDrive
  • Microsoft Teams
  • Grupos de Microsoft 365
  • Viva Engage Grupos

Puede crear y ejecutar búsquedas diferentes asociadas al caso. Las condiciones (como las palabras clave) se usan para crear consultas de búsqueda que devuelven resultados de búsqueda con los datos que probablemente sean relevantes para el caso. También puede:

  • Vea las estadísticas de búsqueda que pueden ayudarle a refinar una consulta de búsqueda para restringir los resultados.
  • Obtenga una vista previa de los resultados de la búsqueda para comprobar rápidamente si se encuentran los datos pertinentes.
  • Revise una consulta y vuelva a ejecutar la búsqueda.

Después de buscar y buscar datos que sean relevantes para la investigación, puede enviar los resultados a un conjunto de revisión para una investigación posterior o exportarlos para que los revisen personas ajenas al equipo de investigación.

Nota:

Para las organizaciones que tienen requisitos del Reglamento General de Protección de Datos (RGPD) de la UE para proteger y habilitar los derechos de privacidad de las personas dentro de la Unión Europea (UE), también puede administrar las investigaciones en respuesta a las solicitudes de interesados (DSR) enviadas por una persona de su organización. La herramienta de casos búsqueda de datos de usuario se ha retirado y su funcionalidad se ha combinado con eDiscovery (versión preliminar). Ahora puede usar la búsqueda para buscar contenido que admita DSR en todas las ubicaciones admitidas por las búsquedas de exhibición de documentos electrónicos.

Sugerencia

Comience a usar Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

Sugerencias de búsqueda

  • La zona horaria para todas las búsquedas es hora universal coordinada (UTC). Actualmente no se admite el cambio de zonas horarias para su organización. La configuración de visualización de zona horaria en la vista de búsqueda solo es aplicable a los valores de la columna Datos y no afecta a las marcas de tiempo en los elementos recopilados.
  • Las búsquedas de palabras clave no distinguen mayúsculas de minúsculas. Por ejemplo, tanto si escribe gato como GATO, obtendrá los mismos resultados.
  • Los operadores booleanos AND, OR, NOT y NEAR deben estar en mayúsculas.
  • El uso de comillas detiene los caracteres comodín y cualquier operación dentro de las comillas.
  • Un espacio entre dos palabras clave o dos property:value expresiones es el mismo que el uso de OR. Por ejemplo, from:"Sara Davis" subject:reorganization devuelve todos los mensajes enviados por Sara Davis o mensajes que contienen la palabra reorganización en la línea de asunto. Sin embargo, el uso de una combinación de espacios y condicionales OR en una sola consulta puede dar lugar a resultados inesperados. Se recomienda usar espacios o OR en una sola consulta.
  • Use la sintaxis que coincida con el property:value formato. Los valores no distinguen mayúsculas de minúsculas y no pueden tener un espacio después del operador . Si hay un espacio, el valor previsto es una búsqueda de texto completo. Por ejemplo to: pilarp , busca "pilarp" como palabra clave, en lugar de mensajes enviados a pilarp.
  • Al buscar una propiedad de destinatario, como Para, De, Cc o los destinatarios, puede utilizar una dirección SMTP, un alias o un nombre para mostrar para indicar un destinatario. Por ejemplo, puede usar pilarp@contoso.com, pilarp o "Pilar Pinilla".
  • Solo puede usar búsquedas de prefijos; por ejemplo, cat* o set*. No se admiten las búsquedas de sufijos (*cat), las búsquedas de infijo (c*t) y las búsquedas de subcadenas (*cat*).
  • Al buscar una propiedad, use comillas dobles (" ") si el valor de búsqueda consta de varias palabras. Por ejemplo, subject:budget Q1 devuelve mensajes que contienen presupuesto en la línea de asunto y que contienen Q1 en cualquier lugar del mensaje o en cualquiera de las propiedades del mensaje. El uso subject:"budget Q1" devuelve todos los mensajes que contienen el presupuesto Q1 en cualquier lugar de la línea de asunto.
  • Para excluir de los resultados de la búsqueda el contenido marcado con un valor de propiedad determinado, coloque un signo menos (-) delante del nombre de la propiedad. Por ejemplo, -from:"Sara Davis" excluye los mensajes enviados por Sara Davis.
  • Puede exportar elementos en función del tipo de mensaje. Por ejemplo, para exportar conversaciones y chats de Skype en Microsoft Teams, use la sintaxis kind:im. Para devolver solo mensajes de correo electrónico, usaría kind:email. Para devolver chats, reuniones y llamadas en Microsoft Teams, use kind:microsoftteams.
  • Al buscar sitios, tiene que agregar el final / al final de la dirección URL cuando se usa la path propiedad para devolver solo los elementos de un sitio especificado. Si no incluye el final /, también se devuelven los elementos de un sitio con un nombre de ruta de acceso similar. Por ejemplo, si usa path:sites/HelloWorld elementos de sitios denominados sites/HelloWorld_East o sites/HelloWorld_West también se devolverán. Para devolver elementos solo del sitio HelloWorld, debe usar path:sites/HelloWorld/.
  • El país o región del lenguaje de consulta debe definirse en la consulta de búsqueda antes de recopilar contenido.
  • Al buscar correos electrónicos en las carpetas enviadas , no se admite el uso de la dirección SMTP para el remitente. Los elementos de la carpeta Sent solo contienen nombres para mostrar.

Creación de una consulta de búsqueda

Sugerencia

¿Prefiere una experiencia de guía de configuración interactiva? Consulte la guía Diseño de una búsqueda .

Después de crear un nuevo caso, se le dirige automáticamente a la pestaña Búsquedas en el caso y está listo para crear una búsqueda del caso. Las búsquedas le ayudan a encontrar los elementos que desea recopilar para el caso.

  1. Seleccione Crear una búsqueda. Si se trata de un caso nuevo sin búsquedas anteriores, también puede seleccionar Crear una búsqueda en el panel principal en Iniciar búsqueda de datos pertinentes.

  2. En la página Escribir detalles para empezar , complete los campos siguientes:

    • Nombre de búsqueda: asigne un nombre (obligatorio) a la búsqueda. El nombre de búsqueda debe ser único en la organización.
    • Descripción de la búsqueda: agregue una descripción opcional para ayudar a otros usuarios a comprender esta búsqueda.

  3. Seleccione Crear para crear la nueva búsqueda e iniciar las consultas para buscar los datos pertinentes para el caso.

  4. En la pestaña Consulta de la búsqueda, agregue orígenes de datos para la búsqueda.

  5. Seleccione Agregar orígenes de datos.

  6. En el panel flotante Administrar orígenes de datos , agregará o quitará orígenes de datos para la consulta de búsqueda. Puede elegir uno o varios usuarios, grupos y ubicaciones de la organización.

    • Escriba los usuarios, grupos u ubicaciones de organización específicos que desea agregar en el campo de búsqueda.
    • Seleccione el menú de puntos suspensivos para que los usuarios muestren los diez principales colaboradores frecuentes y seleccionen los buzones y sitios asociados para estos usuarios.
    • Para ejecutar una búsqueda en toda la organización, puede elegir agregar todos los usuarios, grupos o ubicaciones de la organización, puede seleccionar Todas las personas y grupos, Todas las aplicaciones y Todas las carpetas públicas , si procede, en las opciones del campo de búsqueda.

  7. Haga clic en Guardar. Ahora ha limitado los orígenes de datos que examinan las consultas de búsqueda.

  8. Para definir los parámetros de la consulta de búsqueda, puede elegir entre las siguientes opciones en la pestaña Consulta :

    • Generador de condiciones: la opción generador de condiciones en la búsqueda proporciona una experiencia de filtrado visual al compilar consultas de búsqueda en eDiscovery (versión preliminar). Para obtener información detallada sobre cómo crear consultas de búsqueda con la opción generador de condiciones, consulte Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery (versión preliminar).

    • Lenguaje de consulta de palabras clave (KeyQL): la opción de consulta Lenguaje de consulta de palabras clave (KQL) en la búsqueda proporciona instrucciones y le permite pegar rápidamente consultas largas y complejas directamente en el editor. También le ayuda a crear consultas de búsqueda desde cero e identifica posibles errores y muestra sugerencias sobre cómo resolver problemas. Para obtener información detallada sobre cómo crear consultas de búsqueda con la opción KeyQL, consulte Uso del lenguaje de consulta de palabras clave para crear consultas de búsqueda en eDiscovery (versión preliminar).

      También puede crear rápidamente consultas de KeyQL para la búsqueda mediante Microsoft Copilot para la seguridad. Para obtener instrucciones, consulte la sección siguiente de este artículo.

    • Buscar por archivo: cargue uno o varios archivos para buscar contenido relacionado o similar para un caso específico. Use csv de actividad de auditoría para buscar mensajes y archivos relacionados para un usuario específico dentro de un período de tiempo específico. O bien, proporcione pruebas de ejemplo para encontrar contenido similar. Cada archivo está limitado a un tamaño máximo de archivo de 10 MB y los archivos pueden ser csv o txt. Las opciones de compilación de consultas y KQL se deshabilitan al buscar por archivo.

  9. Seleccione Ejecutar consulta. Si desea guardar los parámetros de consulta que ha definido y ejecutar la consulta más adelante, seleccione Guardar como borrador.

Creación de una consulta de búsqueda de KeyQL con Microsoft Copilot (versión preliminar)

La opción KeyQL Builder de Natural Language Query (versión preliminar) en la búsqueda le permite usar lenguaje natural y Microsoft Copilot para seguridad para generar rápidamente una instrucción De lenguaje de consulta de palabras clave (KeyQL). Use el generador para construir consultas complejas con funcionalidad adicional, como AND, OR y agrupación de condiciones, todo ello mientras se usan mensajes de lenguaje natural.

Esta característica le ayuda a crear consultas más fácilmente mediante avisos predefinidos para escenarios de ejemplo y le permite refinar y mejorar las solicitudes personalizadas para consultas de búsqueda más precisas. También puede optar por usar sugerencias de solicitud como punto de partida para crear y refinar consultas de KeyQL para escenarios de búsqueda comunes o personalizados.

Para crear una consulta de búsqueda con Copilot, siga estos pasos:

  1. Después de seleccionar orígenes de datos para la consulta, seleccione Borrador de una consulta con Copilot.
  2. En el panel Símbolo del sistema de lenguaje natural , elija una de las siguientes opciones:
    • Escriba la pregunta de consulta de búsqueda. Puede incluir el usuario, el origen de datos y otros detalles de contenido según corresponda.
    • Seleccione Ver mensajes para seleccionar una de las siguientes sugerencias de aviso:
      • Buscar todos los correos electrónicos que contienen las palabras presupuesto y finanzas y tener datos adjuntos
      • Buscar en todos los chats del mes de enero de 2020 que contengan la palabra "ejercicio"
      • Buscar archivos de tipo .docx que contengan las palabras confidencial y presupuesto
  3. Revise el símbolo del sistema del lenguaje natural. Para refinar el aviso con Copilot, seleccione Refinar.
  4. Cuando finalice el aviso, seleccione Generar keyQL.
  5. Revise la consulta KeyQL en el panel de resultados lenguaje de consulta de palabras clave (KeyQL ). Si necesita refinar los resultados de la consulta KeyQL, puede actualizar el símbolo del sistema en el panel Símbolo del sistema de lenguaje natural y volver a seleccionar Generar keyQL . 1. Cuando finalicen los resultados de KeyQL, seleccione Copiar KeyQL.
  6. Pegue los resultados de KeyQL en el campo de consulta de la pestaña Lenguaje de consulta de palabras clave (KeyQL). Puede cerrar Borrador de una consulta con Copilot.
  7. Seleccione Ejecutar consulta. Si desea guardar los parámetros de consulta que ha definido y ejecutar la consulta más adelante, seleccione Guardar como borrador.

Ejecutar una consulta de búsqueda

Después de crear una consulta de búsqueda manualmente o mediante Microsoft Copilot para seguridad, está listo para ejecutar la consulta y generar resultados de búsqueda.

Para ejecutar una consulta de búsqueda, siga estos pasos:

  1. Vaya al portal de Microsoft Purview e inicie sesión con las credenciales de los permisos de exhibición de documentos electrónicos asignados a una cuenta de usuario.

  2. Seleccione la tarjeta de solución eDiscovery y, a continuación, seleccione Casos (versión preliminar) en el panel de navegación izquierdo.

  3. Seleccione un caso. En la pestaña Búsquedas , seleccione una búsqueda guardada.

  4. Seleccione Ejecutar consulta.

  5. Después de seleccionar Ejecutar consulta, verá el panel flotante Formato de resultados de la consulta . Elija la vista que desea generar para la consulta y su configuración. Puede elegir la vista Estadísticas o Ejemplo :

    • Estadísticas: esta vista genera un resumen de las estimaciones de datos recopiladas organizadas por los indicadores principales. Elija una o varias de las siguientes opciones:

      • Incluir categorías: ajuste la vista para incluir personas, tipos de información confidencial, tipos de elementos y errores.

      • Incluir informe de palabras clave de consulta: evaluar la relevancia de las palabras clave para diferentes partes de la consulta de búsqueda/

      • Investigar elementos parcialmente indexados: los elementos indizados parcialmente suelen tener en cuenta aproximadamente el uno por ciento del contenido de los orígenes de datos. Al seleccionar esta opción (y solo esta opción), se genera información de resumen (recuento de elementos y ubicación) sobre los elementos indizados parcialmente incluidos en los orígenes de datos seleccionados para la búsqueda. No se vuelve a indexar o procesar ningún elemento indizado parcialmente. Para procesar aún más elementos parcialmente indexados en orígenes de datos con ámbito, tenga en cuenta las siguientes opciones de indexación avanzada:

        • Excluir elementos parcialmente indexados en ubicaciones sin aciertos de búsqueda: al elegir esta opción adicional, se reduce el ámbito de los elementos parcialmente indexados (o la indexación avanzada si se seleccionan las opciones) limitando la inclusión de elementos parcialmente indizados solo de los orígenes de datos que incluyen elementos relevantes para la búsqueda. Esto excluye los elementos indizados parcialmente de los orígenes de datos que no incluyen ningún elemento relevante para la búsqueda.

          Por ejemplo, ha seleccionado varios buzones de correo, sitios de SharePoint y sitios de OneDrive como orígenes de datos para la búsqueda. Cuando se ejecuta la búsqueda, solo algunos de los buzones y sitios tienen elementos indexados relevantes para las condiciones de búsqueda, el resto de los buzones y sitios no contienen elementos indizados de forma nativa relevantes para las condiciones de búsqueda. Si ha seleccionado esta opción, los elementos indizados parcialmente en los buzones y sitios que contienen elementos indizados de forma nativa relevantes para la búsqueda se incluyen en los resultados de las estadísticas de búsqueda. Los elementos indizados parcialmente en los buzones y sitios que no contienen elementos indizados de forma nativa relevantes para la búsqueda se omiten y no se notifican en los resultados de las estadísticas de búsqueda.

        • Realizar la indexación avanzada en elementos parcialmente indizados: el ámbito de donde se ejecuta la indexación avanzada depende de si ha seleccionado la opción Excluir elementos parcialmente indexados en ubicaciones sin aciertos de búsqueda . El proceso de indexación avanzada ejecuta un ejemplo de estadística de elementos parcialmente indexados en el ámbito y determina si estos elementos coinciden con la consulta o no:

          • Seleccionado con la opción Excluir elementos indizados parcialmente en ubicaciones sin aciertos de búsqueda : esto se aplica a elementos indizados parcialmente solo a orígenes de datos con elementos totalmente indexados que coincidan con la consulta de búsqueda. Estos elementos son muestreados, indexados y los elementos que coinciden con la consulta de búsqueda se muestran en las estadísticas de búsqueda (según corresponda).
          • Seleccionado sin la opción Excluir elementos indizados parcialmente en ubicaciones sin aciertos de búsqueda : esto se aplica a todos los elementos indizados parcialmente en todos los orígenes de datos incluidos en la búsqueda. Todos los elementos son muestreados, indexados y los elementos que coinciden con la consulta de búsqueda se muestran en las estadísticas de búsqueda (según corresponda).

    • Ejemplo: esta vista genera una selección representativa de los resultados de búsqueda completos. Defina los parámetros para las siguientes opciones:

      • Seleccione el número de elementos de ejemplo que se van a generar por ubicación: elija 1, 10 o 100.
      • Seleccione el número de ubicaciones de las que obtener ejemplos: elija 10, 100, 1000 o 10000.

  6. Seleccione Ejecutar consulta para ejecutar inmediatamente la consulta.

En función de las opciones de vista de consulta seleccionadas, se le dirigirá automáticamente a la pestaña Estadísticas o Ejemplo . Se inicia la evaluación de la consulta de búsqueda y se calcula el tiempo restante para procesar la consulta. Para obtener más información sobre cómo evaluar y ajustar los resultados de la búsqueda, consulte Revisar y evaluar los resultados de la búsqueda.