Бөлісу құралы:

Использование построителя условий для создания поисковых запросов в eDiscovery (предварительная версия)

  • Мақала

Построитель условий в поиске обеспечивает визуальную условную фильтрацию при создании поисковых запросов в eDiscovery (предварительная версия). Построитель условий позволяет создавать запросы с операторами (AND, OR), чтобы повысить эффективность создания запросов и предоставить дополнительное пространство для создания и проверки сложных запросов ключевых слов.

Совет

Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.

Использование построителя условий

Чтобы создать запрос и пользовательскую условную фильтрацию для поиска, используйте следующие элементы управления:

  • AND/OR: эти условные логические операторы позволяют выбрать условие запроса, которое применяется к определенным фильтрам и подгруппам фильтров. Эти операторы позволяют использовать несколько фильтров или подгрупп, подключенных к одному фильтру в запросе.
  • Добавление условия. Позволяет добавить условие для конкретных источников данных и расположения, выбранных для поиска.
  • Выберите оператор. В зависимости от выбранного фильтра доступны операторы, совместимые с фильтром. Например, если выбран фильтр "Дата ", доступные операторы: "До", "После" и "Между". Если выбран фильтр Размер (в байтах), доступные операторы: Больше, Больше или равно, Меньше, Меньше или равно, Между и Равно.
  • Значение. В зависимости от выбранного фильтра доступны значения, совместимые с фильтром. Кроме того, некоторые фильтры поддерживают несколько значений, а некоторые — одно конкретное значение. Например, если выбран фильтр Дата , выберите значения даты. Если выбран фильтр Размер (в байтах), выберите значение для байтов.
  • Удалить условие фильтра. Чтобы удалить отдельный фильтр или подгруппу, щелкните значок удаления справа от каждой строки фильтра или подгруппы.
  • Очистить все. Чтобы очистить весь запрос от всех фильтров и подгрупп, выберите Очистить все.

Рекомендации по использованию условий

При использовании условий поиска необходимо учитывать следующее:

  • Условие логически связано с запросом к ключевому слову (указанному в поле ключевого слова) операторами AND и OR . Это означает, что элементы попадают в результаты поиска, если соответствуют как запросу по ключевому слову, так и условию.
  • При добавлении двух или более уникальных условий в поисковый запрос (условий, указывающих различные свойства), эти условия логически связываются операторами AND и OR . Это означает, что возвращаются только те элементы, которые удовлетворяют всем условиям (в дополнение к любым запросам по ключевому слову).
  • При добавлении более одного условия для одного свойства эти условия логически соединяются с помощью оператора OR. Это означает, что возвращаются элементы, которые удовлетворяют запросу по ключевому слову и любому одному условию. Таким образом, группы одинаковых условий соединяются друг с другом оператором OR, а группы уникальных условий затем соединяются оператором AND.
  • При добавлении нескольких значений (разделенных запятыми или точками с запятой) к одному условию эти значения соединяются оператором OR. Это означает, что элементы возвращаются, если они содержат любое из значений, указанных для свойства в условии.
  • Любое условие, использующее оператор с логикой Contains и Equals, возвращает аналогичные результаты поиска для простых строковых запросов. Простой поиск строк — это строка в условии, не включающая подстановочный знак). Например, условие, использующее значение Equals any of, возвращает те же элементы, что и условие, в котором используется параметр Contains any of .
  • Поисковый запрос, созданный с помощью поля ключевых слов и условий, отображается на странице Поиск в области сведений для выбранного поиска. В запросе все, что справа от нотации (c:c) указывает на условия, которые добавляются в запрос. (c:c) не должен использоваться в запросах, введенных вручную, и не равен И или ИЛИ.
  • Условия добавляют свойства только в поисковый запрос; они не добавляют операторы. Поэтому запрос, отображаемый в области сведений, не отображает операторы справа от (c:c) нотации. Язык KQL добавляет логические операторы (в соответствии с ранее разъясненными правилами) при выполнении запроса.
  • Для повторного изменения порядка условий можно использовать элемент управления перетаскиванием. Выберите элемент управления для условия и переместите его вверх или вниз.
  • Некоторые свойства условия позволяют вводить несколько значений (разделенных точками с запятой). Каждое значение логически соединено оператором OR и приводит к запросу (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). На следующем рисунке показан пример условия с несколькими значениями.

Пример сценария

Администратору обнаружения электронных данных необходимо создать запрос, чтобы найти сообщения электронной почты, отправленные от Эйми Миллера Адаму Эхаму, Адель Вэнс или Aditya Dash, которые были отправлены в период с 9 февраля 2023 г. по 9 марта 2023 г., в котором содержатся ключевые слова соответствия и аудита. В этом примере администратор создает следующий запрос с помощью нового построителя запросов:

  1. Для первого фильтра администратор выбирает Отправитель, затем выбирает оператор Равно любому из, а затем выбирает Aimee Miller из списка пользователей, доступных в элементе управления Значение .
  2. Затем администратор выбирает Добавить подгруппу и оператор OR , чтобы определить других пользователей, которым Aimee, возможно, отправлял сообщение электронной почты об аудите соответствия требованиям.
  3. В подгруппе администратор выбирает фильтр To , оператор Equals any of и Value (user) для каждого из других пользователей, которым Aimee может отправить электронное сообщение об аудите соответствия требованиям. В этом примере администратор создает фильтр в подгруппе для Адама Эхама, Адель Вэнса и Адитьи Даша.
  4. Чтобы определить диапазон дат, администратор выбирает добавить фильтр и выбирает фильтр Дата , оператор Between и начальную и конечную даты для значения.
  5. Наконец, администратор выбирает фильтр списка ключевых слов , оператор Equal и соответствие, аудит в качестве ключевого слова Value.

Пример построителя запросов.

Использование условий поиска

Вы можете добавить условия в поисковый запрос, чтобы сузить поиск и вернуть более точный набор результатов. Каждое условие добавляет предложение к поисковому KQL-запросу, которое создается и запускается в начале поиска.

Специальные символы

Некоторые специальные символы не включаются в поисковый индекс и, следовательно, недоступны для поиска. Сюда также входят специальные символы, представляющие операторы поиска в поисковом запросе. Ниже приведен список специальных символов, которые либо заменяются пустым пробелом в фактическом поисковом запросе, либо вызывают ошибку поиска.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Условия для общих свойств

Создайте условие с помощью общих свойств при поиске в почтовых ящиках и на сайтах. В следующей таблице перечислены доступные свойства, которые следует использовать при добавлении условия.

Условие Описание
Date Для электронной почты — дата создания или импорта сообщения из PST-файла. Для документов — дата последнего изменения документа.

Если вы ищете сообщения электронной почты за определенный период времени, следует использовать условия сообщения Получено и Отправлено , если вы не уверены, были ли импортированы сообщения электронной почты, а не изначально созданные в Exchange.
Идентификатор Для электронной почты — идентификатор определенного сообщения. Идентификаторы сообщений включаются в запись аудита, оповещения защиты от потери данных (DLP) или метаданные набора проверок и позволяют создать конкретный поиск для отдельного сообщения.

Для сообщений Microsoft Teams — идентификатор чата или реакции. ChatThreadID включается в запись аудита, оповещения защиты от потери данных (DLP) или метаданные набора проверок и позволяет создать конкретный поиск для отдельного чата или реакции.
Отправитель или автор Для электронной почты: отправитель сообщения. Для документов: пользователь, указанный в поле автора в документах Office. Можно ввести несколько имен, разделенных запятой. Два или более значений, логически соединенных с помощью оператора OR.
(См. раздел Расширение получателей)
Размер (в байтах) Для электронной почты и документов: размер элемента (в байтах).
Тема или заголовок Для электронной почты: текст в строке темы сообщения. Для документов: заголовок документа. Свойство Title — это метаданные, указанные в документах Microsoft Office. Можно ввести имена нескольких тем или заголовков, разделенных запятыми. Два или более значений, логически соединенных с помощью оператора OR.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. Если добавить кавычки к значению, к значению условия добавляются две пары двойных кавычек, и поисковый запрос вернет ошибку.
Метка хранения Для электронной почты и документов к сообщениям и документам применяются метки хранения. Метки хранения можно использовать для объявления записей и управления жизненным циклом данных содержимого путем применения правил хранения и удаления, заданных меткой. Дополнительные сведения о метках хранения см. в статье Сведения о политиках хранения и метках хранения.
Тип конфиденциальной информации (SIT) Как для электронной почты, так и для документов типы конфиденциальной информации, включенные в сообщения и документы. SIT — это классификаторы на основе шаблонов, и они обнаруживают конфиденциальную информацию, такую как социальное обеспечение, кредитные карты или номера банковских счетов, для идентификации конфиденциальных элементов. Дополнительные сведения о типах конфиденциальной информации см. в разделе Сведения о типах конфиденциальной информации.
Метка конфиденциальности Как для электронной почты, так и для документов к сообщениям и документам применяются метки конфиденциальности. Метки конфиденциальности позволяют классифицировать и защищать данные организации, обеспечивая при этом, чтобы производительность пользователей и их способность к совместной работе не препятствовали. Дополнительные сведения о метках конфиденциальности см. в статье Сведения о метках конфиденциальности.

Условия для свойств почты

Создайте условие с помощью свойств почты при поиске почтовых ящиков или общедоступных папок в Exchange Online. В следующей таблице перечислены свойства электронной почты, которые можно использовать для условия. Эти свойства являются подмножеством свойств электронной почты, которые были описаны ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Тип сообщения Тип сообщений для поиска. Это свойство совпадает со свойством Kind электронного сообщения. Возможные значения:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Участники Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск". (См. раздел Расширение получателей)
Тип Свойство класса сообщений для элемента электронной почты. Это то же свойство, что и свойство электронной почты ItemClass. Это также условие с несколькими значениями. Поэтому, чтобы выбрать несколько классов сообщений, удерживайте клавишу CTRL , а затем выберите в раскрывающемся списке два или более классов сообщений, которые нужно добавить в условие. Каждый класс сообщений, выбираемый в списке, логически соединен оператором OR в соответствующем поисковом запросе.

Список классов сообщений (и их соответствующий идентификатор класса), которые используются Exchange и которые можно выбрать в списке Классы сообщений , см. в разделе Типы элементов и Классы сообщений.
ПОЛУЧЕНО Дата получения сообщения адресатом. Это свойство совпадает со свойством Received электронного сообщения.
Recipients Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск. (См. раздел Расширение получателей)
Sender Отправитель сообщения электронной почты.
Sent Дата отправки сообщения отправителем. Это свойство совпадает со свойством Sent электронного сообщения.
Subject Текст в строке темы сообщения электронной почты.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. Если добавить кавычки к значению, к значению условия добавляются две пары двойных кавычек, и поисковый запрос вернет ошибку.
To Получатель сообщения электронной почты в поле Кому.

Условия для свойств документов

Создайте условие с помощью свойств документа при поиске документов на сайтах SharePoint и OneDrive. В следующей таблице перечислены свойства документа, которые можно использовать для условия. Эти свойства являются подмножеством свойств сайта, описанных ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Автор Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему будет сохранен исходный автор.
Название Заголовок документа. Свойство Title — это метаданные, указанные в документах Office. Он отличается от имени файла документа.
Создано Дата создания документа.
Дата последнего изменения Дата последнего изменения документа.
Тип файла Расширение файла; например, docx, one, pptx или xlsx. Это свойство совпадает со свойством FileExtension сайта.

Заметка: При включении условия типа файла с помощью оператора Equals или Equals any of в поисковом запросе вы не сможете использовать поиск префиксов (включив подстановочный знак ( * ) в конце типа файла) для возврата всех версий типа файла. В этом случае подстановочный знак игнорируется. Например, если включить условие Equals any of doc*, будут возвращены только файлы с расширением .doc . Файлы с расширением .docx не возвращаются. Чтобы вернуть все версии типа файла, используется пара свойство:значение в запросе к ключевому слову; например, filetype:doc*.

Операторы, используемые с условиями

При добавлении условия вы можете выбрать оператор, относящийся к типу свойства для этого условия. В следующей таблице описаны операторы, используемые с условиями, и перечислены эквиваленты, используемые в поисковых запросах.

Оператор Эквивалент запроса Описание
После property>date Используется с условиями даты. Возвращает элементы, отправленные, полученные или измененные после указанной даты.
До property<date Используется с условиями даты. Возвращает элементы, отправленные, полученные или измененные до указанной даты.
Между date..date Используется с условиями даты и размера. При использовании с условием даты возвращает элементы, отправленные, полученные или измененные в указанный временной период. При использовании с условием размера возвращает элементы, размер которых находится в заданном диапазоне.
Contains any of (property:value) OR (property:value) Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые содержат любую часть одного или нескольких указанных строковых значений.
Doesn't contain any of -property:value

NOT property:value

 Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые не содержат ни одной части указанного строкового значения.
Doesn't equal any of -property=value

NOT property=value

 Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые не содержат определенную строку.
Равно size=value Возвращает элементы, равные указанному размеру. 1
Equals any of (property=value) OR (property=value) Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые совпадают с одним или несколькими заданными строковыми значениями.
Больше size>value Возвращает элементы, в которых указанное свойство больше указанного значения. 1
Greater or equal size>=value Возвращает элементы, в которых указанное свойство больше или равно указанному значению. 1
Менее size<value Возвращает элементы, которые больше или равны определенному значению. 1
Less or equal size<=value Возвращает элементы, которые больше или равны определенному значению. 1
Not equal size<>value Возвращает элементы, не равные указанному размеру. 1

Примечание.

1 Этот оператор доступен только для условий, использующих свойство Size.