Usare il generatore di condizioni per creare query di ricerca in eDiscovery (anteprima)
Il generatore di condizioni offre un'esperienza di ricerca facile da usare quando si compilano query di ricerca in eDiscovery (anteprima). Usare il generatore di condizioni nei set di ricerca e revisione per creare query con parole chiave semplici e complesse, query con operatori (AND, OR) o entrambe per identificare gli elementi nell'organizzazione.
Suggerimento
Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.
Per creare una query e un filtro condizionale personalizzato per la ricerca, usare i controlli seguenti:
- Parole chiave: questa condizione comune è sempre disponibile come prima condizione nella query e consente di iniziare rapidamente per le attività di ricerca. La condizione Keywords supporta solo l'operatore Equal e può essere esclusa dalla query lasciando vuoto il campo valore. Per aggiungere altre condizioni delle parole chiave , selezionare Aggiungi condizioni e selezionare Parole chiave.
- Aggiungi condizioni: consente di aggiungere una condizione per le origini dati specifiche per la ricerca. Per aggiungere altre condizioni alla query, selezionare Aggiungi condizioni per visualizzare l'elenco delle condizioni disponibili. Ogni selezione del valore della condizione aggiunge una nuova condizione alla query. Scegliere l'operatore AND/OR in base alle esigenze.
- AND/OR: questi operatori logici condizionali consentono di selezionare l'operazione di query che si applica a una condizione specifica. Questi operatori consentono di usare più condizioni connesse alla query.
- Selezione di un operatore: a seconda della condizione selezionata, gli operatori compatibili per la condizione sono disponibili per la selezione. Ad esempio, se la condizione Date è selezionata, gli operatori disponibili sono Before, After e Between. Se la condizione Size (in byte) è selezionata, gli operatori disponibili sono Greater than, Greater o equal, Less than, Less or equal, Between e Equal.
- Valore: a seconda della condizione selezionata, i valori compatibili per la condizione sono disponibili nel riquadro dei dettagli del valore oppure è possibile aggiungere inline. A seconda del tipo di condizione associato al valore, vengono visualizzate le opzioni per definire, filtrare o cercare i valori associati alla condizione selezionata. Ad esempio, se si seleziona Mittente come condizione, è possibile cercare e aggiungere utenti specifici nell'organizzazione o utenti esterni. Se si seleziona Dimensioni (in byte) come condizione, viene visualizzata l'opzione per immettere un numero per la dimensione come valore. Se il valore è vuoto, il bordo del campo valore viene visualizzato in rosso per notificare che è necessario un valore.
- Rimuovere una condizione di filtro: per rimuovere una singola condizione, selezionare l'icona di rimozione a destra di ogni riga di filtro.
- Salva come bozza: per salvare il set corrente di condizioni come bozza, selezionare Salva come bozza dall'elenco a discesa della query.
- Ignora: per eliminare tutte le modifiche apportate alla ricerca, incluse le condizioni e l'origine dati, selezionare Ignora dall'elenco a discesa Salva come bozza .
Tenere presente quanto segue quando si utilizzano le condizioni di ricerca.
- Una condizione è connessa logicamente alla query delle parole chiave (specificata nella casella della parola chiave) dagli operatori AND e OR . Ciò significa che, per essere inclusi nei risultati, gli elementi devono soddisfare sia la query con parola chiave, sia la condizione.
- Se si aggiungono due o più condizioni univoche a una query di ricerca (condizioni che specificano proprietà diverse), tali condizioni vengono connesse logicamente dagli operatori AND e OR . Ciò significa che vengono restituiti solo gli elementi che soddisfano tutte le condizioni (oltre alle query con parole chiave).
- Se si aggiunge più di una condizione per la stessa proprietà, tali condizioni vengono collegate logicamente dall'operatore OR. Ciò significa che vengono restituiti gli elementi che soddisfano la query con parola chiave e una delle condizioni. Pertanto, i gruppi con le stesse condizioni vengono collegati tra loro dall'operatore OR, quindi gli insiemi di condizioni univoche vengono collegati dall'operatore AND.
- Se si aggiungono più valori (separati da virgole o due punti) a una singola condizione, tali valori vengono collegati dall'operatore OR. Di conseguenza, vengono restituiti elementi se contengono uno qualsiasi dei valori specificati per la proprietà nella condizione.
- Qualsiasi condizione che usa un operatore con logica Contains e Equals restituisce risultati di ricerca simili per ricerche di stringhe semplici. Una ricerca di stringa semplice è una stringa nella condizione che non include un carattere jolly). Ad esempio, una condizione che usa Uguale a restituisce gli stessi elementi di una condizione che usa Contiene uno qualsiasi di.
- La query di ricerca che viene creata utilizzando la casella delle parole chiave e le condizioni viene visualizzata nella pagina Ricerca, nel riquadro dei dettagli della ricerca selezionata. In una query, tutto ciò che si trova a destra della notazione
(c:c)
indica le condizioni che sono state aggiunte alla query.(c:c)
non deve essere usato nelle query immesse manualmente e non è uguale a AND o OR. - Le condizioni aggiungono solo le proprietà alla query di ricerca, non gli operatori. Ciò dipende dal fatto che la query visualizzata nel riquadro dei dettagli non mostra gli operatori a destra della notazione
(c:c)
. KQL aggiunge gli operatori logici (in base alle regole illustrate in precedenza) quando viene eseguita la query. - È possibile utilizzare il controllo di trascinamento della selezione per modificare l'ordine delle condizioni. Selezionare il controllo di una condizione e spostarlo verso l'alto o verso il basso.
- Alcune proprietà della condizione consentono di digitare più valori (separati da punti e virgola). I valori sono collegati logicamente dall'operatore OR e producono la query
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx)
. La figura seguente mostra un esempio di una condizione con più valori.
Quando si seleziona Aggiungi condizioni nel generatore di condizioni, viene visualizzato il riquadro a comparsa Scegliere quali condizioni aggiungere per ottimizzare la query di ricerca con condizioni specifiche. Usare le opzioni nelle sezioni seguenti per scegliere le condizioni applicabili:
Filtrare rapidamente la visualizzazione condizione per le cassette postali e le proprietà del sito per individuare una condizione specifica per la query di ricerca. Filtrare le condizioni disponibili nei gruppi globali seguenti:
- Tutto: mostra tutte le condizioni e i gruppi di condizioni.
- Comune: filtra e visualizza solo le condizioni che si applicano sia alle cassette postali che ai siti.
- Cassette postali di Exchange: filtra e visualizza solo le condizioni applicabili alle cassette postali.
- Siti di SharePoint e OneDrive: filtra e visualizza solo le condizioni applicabili ai siti di SharePoint e OneDrive.
Per cercare rapidamente una condizione specifica, usare il campo Indica cosa si sta cercando per immettere il nome della condizione. L'ambito dei risultati viene automaticamente applicato al filtro per i gruppi globali. Ad esempio, per cercare qualsiasi condizione denominata Type (o una che contiene il tipo di termine nel nome della condizione), selezionare Tutto come filtro globale, quindi immettere il tipo nel campo Dicci cosa si sta cercando . La visualizzazione condizione restituisce tutte le condizioni in tutti i gruppi di condizioni che contengono il tipo di termine. Selezionare la condizione applicabile da aggiungere alla query di ricerca.
L'amministratore di eDiscovery deve creare una query per trovare i messaggi di posta elettronica inviati da User1 a User4 inviati tra il 15 settembre 2024 e il 15 ottobre 2024 che contiene le parole chiave conformità e controllo. Per questo esempio, l'amministratore crea la query seguente usando il nuovo generatore di query:
- Per il primo filtro, l'amministratore usa la condizione Keywords , l'operatore Equal e la conformità, audit come parola chiave Value.
- Successivamente, l'amministratore seleziona Aggiungi condizioni, seleziona Mittente, quindi seleziona l'operatore Contiene uno qualsiasi degli operatori, quindi seleziona User1 dall'elenco di utenti disponibili nel riquadro Dettagli valore . Possono essere inclusi utenti esterni.
- Successivamente, l'amministratore seleziona Aggiungi condizioni, seleziona il filtro A , quindi seleziona l'operatore Contiene uno qualsiasi degli operatori, quindi seleziona User4 dall'elenco di utenti disponibili nel riquadro Dettagli valore . Possono essere inclusi utenti esterni.
- Per definire l'intervallo di date, l'amministratore seleziona Aggiungi condizioni, seleziona Data, quindi seleziona l'operatore Tra e quindi seleziona le date di inizio e di fine per Il valore.
- Infine, l'amministratore seleziona Esegui query per restituire i risultati applicabili.
È possibile aggiungere delle condizioni a una query di ricerca per circoscrivere una ricerca e ottenere un set di risultati più preciso. Ogni condizione aggiunge una clausola alla query di ricerca KQL creata ed eseguita all'avvio della ricerca.
- Caratteri speciali
- Condizioni per le proprietà comuni
- Condizioni per le proprietà della posta
- Condizioni per le proprietà dei documenti
- Operatori utilizzati con condizioni
Alcuni caratteri speciali non sono inclusi nell'indice di ricerca e pertanto non sono ricercabili. Essi comprendono anche i caratteri speciali che rappresentano gli operatori di ricerca nella query di ricerca. Di seguito è riportato un elenco di caratteri speciali sostituiti da uno spazio vuoto nella query di ricerca effettiva o che causano un errore di ricerca.
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
Creare una condizione utilizzando le proprietà comuni quando si cercano cassette postali e siti nella stessa ricerca. Nella tabella seguente vengono elencate le proprietà disponibili da usare quando si aggiunge una condizione.
Condizione | Descrizione |
---|---|
Tipo di contenuto | Applicato agli elementi di Exchange e SharePoint, fa riferimento al tipo o alla categoria del contenuto. Ad esempio, ContentKind:SharePointDocument, ContentKind:Copilot e così via. |
Applicazione origine contenuto | Identifica l'applicazione o il servizio da cui ha avuto origine il contenuto. Ad esempio, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint e così via. |
Data | Per la posta elettronica, la data di creazione o importazione di un messaggio da un file PST. Per i documenti, la data dell'ultima modifica apportata. Se si cercano messaggi di posta elettronica per un periodo di tempo specifico, è consigliabile usare le condizioni Ricevuto and Inviato se non si è certi che i messaggi di posta elettronica siano stati importati anziché creati in modo nativo in Exchange. |
Identificatore | Per il messaggio di posta elettronica, l'ID per un messaggio specifico.
Gli ID messaggio sono inclusi nel record di controllo, negli avvisi di prevenzione della perdita dei dati (DLP) o nella revisione dei metadati del set e consentono di compilare una ricerca specifica per un singolo messaggio. Per i messaggi di Microsoft Teams, l'ID della chat o della reazione. ChatThreadID è incluso nel record di controllo, negli avvisi di prevenzione della perdita dei dati o nella revisione dei metadati del set e consente di creare una ricerca specifica per una singola chat o reazione. |
Mittente/autore | Per la posta elettronica, l'utente che ha inviato un messaggio. Per i documenti, l'utente menzionato nel campo dell'autore dei documenti di Office. È possibile digitare più nomi, separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR. (Visualizzare Espansione dei destinatari) |
Dimensioni (in byte) | Per la posta elettronica e i documenti, la dimensione dell'elemento (in byte). |
Oggetto/Titolo | Per la posta elettronica, il testo nella riga dell'oggetto di un messaggio. Per i documenti, il titolo del documento. La proprietà Title è metadati specificati nei documenti di Microsoft Office. È possibile digitare il nome di più valori oggetto/titolo separati da virgole. Due o più valori sono collegati logicamente dall'operatore OR. Nota: non includere virgolette doppie nei valori per questa condizione perché queste vengono aggiunte automaticamente quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, al valore della condizione vengono aggiunte due coppie di virgolette doppie e la query di ricerca restituirà un errore. |
Etichetta di conservazione | Sia per la posta elettronica che per i documenti, le etichette di conservazione applicate a messaggi e documenti. È possibile usare le etichette di conservazione per dichiarare i record e semplificare la gestione del ciclo di vita dei dati dei contenuti applicando le regole di conservazione ed eliminazione specificate dall'etichetta. Per saperne di più sulle etichette di conservazione, vedere Informazioni sui criteri e sulle etichette di conservazione. |
Tipo di informazioni riservate (SIT) | Sia per la posta elettronica che per i documenti, i tipi di informazioni sensibili inclusi nei messaggi e nei documenti. I SIT sono classificatori basati su modelli e rilevano informazioni sensibili come la previdenza sociale, la carta di credito o i numeri di conto bancario per identificare gli elementi sensibili. Per altre informazioni sui SIT, vedere Informazioni sui tipi di informazioni riservate. |
Etichetta di riservatezza | Sia per la posta elettronica che per i documenti, le etichette di riservatezza applicate a messaggi e documenti. Le etichette di riservatezza consentono di classificare e proteggere i dati dell'organizzazione, assicurando al contempo che la produttività degli utenti e la loro capacità di collaborare non siano ostacolate. Per altre informazioni sulle etichette di riservatezza, vedere Informazioni sulle etichette di riservatezza. |
Creare una condizione utilizzando le proprietà della posta quando si effettuano ricerche in cassette postali o cartelle pubbliche in Exchange Online. Nella tabella seguente vengono elencate le proprietà della posta elettronica che è possibile utilizzare per una condizione. Queste proprietà sono un sottoinsieme delle proprietà e-mail descritte in precedenza. Queste descrizioni vengono ripetute per praticità.
Condizione | Descrizione |
---|---|
Tipo di messaggio | Il tipo di messaggio da cercare. Corrisponde alla proprietà della posta elettronica Kind (Tipo). Valori possibili:
|
Partecipanti | Tutti i campi delle persone in un messaggio di posta elettronica. Questi campi sono Da, a, Cc e Ccn. (Visualizzare Espansione dei destinatari) |
Ricevuto | La data in cui un messaggio di posta elettronica viene ricevuto da un destinatario. Corrisponde alla proprietà della posta elettronica Received (Ricevuto). |
Destinatari | Tutti i campi dei destinatari in un messaggio di posta elettronica. Questi campi sono A, Cc e Ccn. (Visualizzare Espansione dei destinatari) |
Mittente | Il mittente di un messaggio di posta elettronica. |
Sent | La data in cui un messaggio di posta elettronica viene inviato dal mittente. Corrisponde alla proprietà della posta elettronica Sent (Inviato). |
Oggetto | Il testo nella riga dell'oggetto di un messaggio di posta elettronica. Nota: non includere virgolette doppie nei valori per questa condizione perché queste vengono aggiunte automaticamente quando si usa questa condizione di ricerca. Se si aggiungono virgolette al valore, al valore della condizione vengono aggiunte due coppie di virgolette doppie e la query di ricerca restituirà un errore. |
A | Destinatario di un messaggio di posta elettronica nel campo A. |
Argomento | Riepilogo dell'oggetto o del tema principale discusso in un thread di posta elettronica o in una conversazione. |
Tipo | Proprietà della classe messaggio per un elemento e-mail. Corrisponde alla proprietà dell'e-mail ItemClass. È anche una condizione multivalore. Di conseguenza, per selezionare più classi di messaggi, tenere premuto il tasto CTRL e selezionare due o più classi di messaggi nell'elenco a discesa che si desidera aggiungere alla condizione. Ogni classe messaggio selezionata nell'elenco è connessa logicamente dall'operatore OR nella query di ricerca corrispondente. Per un elenco delle classi di messaggi (e del relativo ID classe messaggio corrispondente) usate da Exchange e che è possibile selezionare nell'elenco Classe messaggio, vedere Tipi di elemento e classi di messaggio. |
Creare una condizione usando le proprietà dei documenti durante la ricerca di documenti nei siti di SharePoint e OneDrive. Nella tabella seguente vengono elencate le proprietà dei documenti che è possibile utilizzare per una condizione. Queste proprietà sono un sottoinsieme delle proprietà del sito descritte in precedenza. Queste descrizioni vengono ripetute per praticità.
Condizione | Descrizione |
---|---|
Author | Il campo dell'autore dei documenti di Office, che persiste se un documento viene copiato. Ad esempio, se un utente crea un documento e lo invia tramite posta elettronica a un altro utente che poi lo carica su SharePoint, il documento conserverà l'autore originale. |
Creazione | La data di creazione di un documento. |
Tipo di file | Estensione di un file; ad esempio docx, one, pptx o xlsx. Corrisponde alla proprietà dei siti FileExtension.
Nota: se si include una condizione File type usando l'operatore Uguale o Uguale a qualsiasi in una query di ricerca, non è possibile usare una ricerca di prefissi (includendo il carattere jolly ( * ) alla fine del tipo di file) per restituire tutte le versioni di un tipo di file. In tal caso, il carattere jolly viene ignorato. Se ad esempio si include la condizione |
Data ultima modifica | La data dell'ultima modifica di un documento. |
Percorso | URL o percorso di un file o di una cartella all'interno di un sito di SharePoint. |
Titolo | Il titolo del documento. La proprietà Title è rappresentata dai metadati specificati nei documenti di Office. È diverso dal nome file del documento. |
Quando si aggiunge una condizione, è possibile selezionare un operatore pertinente al tipo di proprietà per la condizione. Nella tabella seguente vengono descritti gli operatori utilizzati con condizioni e ne vengono elencati gli equivalenti utilizzati nella query di ricerca.
Operatore | Equivalente nella query | Descrizione |
---|---|---|
Dopo | property>date |
Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati dopo la data specificata. |
Prima | property<date |
Utilizzato con condizioni relative alla data. Restituisce gli elementi che sono stati inviati, ricevuti o modificati prima della data specificata. |
Between | date..date |
Utilizzato con condizioni relative alla data e alla dimensione. Se utilizzato con una condizione relativa alla data, restituisce gli elementi che sono stati inviati, ricevuti o modificati entro l'intervallo di date specificato. Se utilizzato con una condizione relativa alla dimensione, restituisce gli elementi di dimensioni comprese nell'intervallo specificato. |
Contains any of | (property:value) OR (property:value) |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che contengono una parte qualsiasi di uno o più valori di stringa specificati. |
Doesn't contain any of | -property:value |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono parti del valore di stringa specificato. |
Doesn't equal any of | -property=value |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che non contengono la stringa specificata. |
Uguale | size=value |
Restituisce gli elementi equivalenti alla dimensione specificata.1 |
Equals any of | (property=value) OR (property=value) |
Utilizzato con condizioni per le proprietà che specificano un valore di stringa. Restituisce gli elementi che corrispondono esattamente a uno o più valori di stringa specificati. |
Greater | size>value |
Restituisce gli elementi dove la proprietà specificata è maggiore del valore indicato.1 |
Greater or equal | size>=value |
Restituisce gli elementi dove la proprietà specificata è maggiore o uguale al valore indicato.1 |
Less | size<value |
Restituisce gli elementi maggiori o uguali al valore specificato.1 |
Less or equal | size<=value |
Restituisce gli elementi maggiori o uguali al valore specificato.1 |
Not equal | size<>value |
Restituisce gli elementi che non sono equivalenti alla dimensione specificata.1 |
Nota
1 Questo operatore è disponibile solo per le condizioni che utilizzano la proprietà Size.