Бөлісу құралы:

Создание поискового запроса для дела в обнаружении электронных данных (предварительная версия)

  • Мақала

Вы можете использовать поиск в eDiscovery (предварительная версия) для поиска содержимого на месте, такого как электронная почта, документы и беседы с мгновенными сообщениями в вашей организации, которые относятся к делу. Используйте поиск, чтобы найти содержимое в этих облачных источниках данных Microsoft 365:

  • Почтовых ящиках Exchange Online.
  • Сайты SharePoint
  • Учетные записи OneDrive
  • Microsoft Teams
  • Группы Microsoft 365
  • Viva Engage Группы

Вы можете создавать и выполнять различные поисковые запросы, связанные с делом. Условия (например, ключевые слова) используются для создания поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к данному случаю. Кроме того, у вас есть следующие возможности.

  • Просмотр статистики поиска, которая может помочь уточнить поисковый запрос, чтобы сузить результаты.
  • Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
  • Изменять запрос и повторять поиск.

После поиска и поиска данных, относящихся к вашему расследованию, вы можете отправить результаты в набор проверки для дальнейшего исследования или экспортировать их для проверки людьми, не входящими в группу по расследованию.

Примечание.

Для организаций, у которых есть требования Общего регламента ес по защите данных (GDPR) для защиты и предоставления прав на частную жизнь физических лиц в Пределах Европейского союза (ЕС), вы также можете управлять расследованиями в ответ на запросы субъектов данных (DSR), отправленные лицом в вашей организации. Средство поиска пользовательских данных было прекращено, и его функции объединены с обнаружением электронных данных (предварительная версия). Теперь вы можете использовать поиск, чтобы найти содержимое для поддержки dsr всех расположений, поддерживаемых поиском eDiscovery.

Совет

Начните работу с Microsoft Copilot для безопасности, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot для безопасности в Microsoft Purview.

Советы по поиску

  • Часовой пояс для всех поисковых запросов — utc. Изменение часовых поясов в организации в настоящее время не поддерживается. Параметры отображения часового пояса в представлении поиска применимы только для значений в столбце Данных и не влияют на метки времени для собранных элементов.
  • Поиск по ключевым словам не учитывает регистр. Например, результаты поиска по словам кот и КОТ будут одинаковыми.
  • Логические операторы AND, OR, NOT и NEAR должны быть прописаны в верхнем регистре.
  • Использование кавычек останавливает подстановочные знаки и любые операции внутри кавычек.
  • Пространство между двумя ключевыми словами или двумя property:value выражениями такое же, как и при использовании ИЛИ. Например, возвращает все сообщения, from:"Sara Davis" subject:reorganization отправленные Сарой Дэвис, или сообщения, содержащие слово "реорганизация" в строке темы. Однако использование сочетания пробелов и условий OR в одном запросе может привести к непредвиденным результатам. Рекомендуется использовать пробелы или ИЛИ в одном запросе.
  • Используйте синтаксис, соответствующий формату property:value . Значения не чувствительны к регистру и не могут содержать пробел после оператора. Если есть пробел, предполагаемое значение — это полнотекстовый поиск. Например, to: pilarp выполняет поиск "pilarp" в качестве ключевое слово, а не сообщений, отправляемых в pilarp.
  • При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно использовать pilarp@contoso.com, pilarp или "Pilar Pinilla".
  • Можно использовать только поиск префиксов; например, cat* или set*. Поиск суффиксов (*cat), поиск infix (c*t) и поиск подстроки (*cat*) не поддерживаются.
  • Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например, возвращает сообщения, subject:budget Q1 содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. С помощью subject:"budget Q1" возвращаются все сообщения, содержащие бюджетный квартал 1 в любом месте в строке темы.
  • Чтобы исключить из результатов поиска контент с определенным значением свойства, поставьте знак минус (-) перед именем свойства. Например, исключает все сообщения, -from:"Sara Davis" отправленные Сара Дэвис.
  • Элементы можно экспортировать в зависимости от типа сообщения. Например, чтобы экспортировать беседы и чаты Skype в Microsoft Teams, используйте синтаксис kind:im. Чтобы вернуть только сообщения электронной почты, используйте kind:email. Чтобы вернуть чаты, собрания и звонки в Microsoft Teams, используйте .kind:microsoftteams
  • При поиске сайтов необходимо добавить конечный / конец URL-адреса при использовании path свойства для возврата только элементов на указанном сайте. Если не включить конечный /элемент , также возвращаются элементы с сайта с похожим именем пути. Например, если вы используете path:sites/HelloWorld , то также возвращаются элементы с сайтов с именем sites/HelloWorld_East или sites/HelloWorld_West . Чтобы вернуть элементы только с сайта HelloWorld, необходимо использовать path:sites/HelloWorld/.
  • Перед сбором содержимого в поисковом запросе необходимо определить язык, страну или регион запроса.
  • При поиске сообщений электронной почты в папках "Отправленные" использование SMTP-адреса для отправителя не поддерживается. Элементы в папке Отправленные содержат только отображаемые имена.

Создание поискового запроса

Совет

Предпочитаете ли вы интерактивное руководство по настройке? Ознакомьтесь с руководством по проектированию поиска .

После создания нового дела вы автоматически перенаправитесь на вкладку Поиск в данном случае и будете готовы к созданию поиска по делу. Поиск помогает найти элементы, которые вы хотите собрать для дела.

  1. Выберите Создать поиск. Если это новый случай без предыдущих поисковых запросов, вы также можете выбрать Создать поиск в области main в разделе Начать поиск соответствующих данных.

  2. На странице Ввод сведений для начала работы заполните следующие поля:

    • Имя поиска: присвойте поиску имя (обязательно). Имя поиска должно быть уникальным в вашей организации.
    • Описание поиска. Добавьте необязательное описание, чтобы помочь другим понять этот поиск.

  3. Выберите Создать , чтобы создать новый поиск и запустить запросы, чтобы найти соответствующие данные для дела.

  4. На вкладке Запрос в поиске добавьте источники данных для поиска.

  5. Выберите Добавить источники данных.

  6. Во всплывающей области Управление источниками данных вы добавите или удалите источники данных для поискового запроса. Вы можете выбрать одного или нескольких пользователей, группы, расположения организации.

    • Введите в поле поиска конкретные пользователи, группы или расположения организации, которые вы хотите добавить.
    • Выберите меню с многоточием для пользователей, чтобы отобразить десять основных участников совместной работы и выбрать связанные почтовые ящики и сайты для этих пользователей.
    • Чтобы выполнить поиск в масштабах всей организации, можно добавить всех пользователей, группы или расположения организации. Вы можете выбрать Все люди и группы, Все приложения и Все общедоступные папки , если применимо, в параметрах поля поиска.

  7. Выберите Сохранить. Теперь вы определили область источников данных, которые проверяют поисковые запросы.

  8. Чтобы определить параметры поискового запроса, на вкладке Запрос можно выбрать один из следующих параметров:

    • Построитель условий. Параметр построителя условий в поиске обеспечивает визуальную фильтрацию при создании поисковых запросов в eDiscovery (предварительная версия). Подробные сведения о создании поисковых запросов с параметром построителя условий см. в статье Использование построителя условий для создания поисковых запросов в eDiscovery (предварительная версия).

    • Язык запросов ключевых слов (KeyQL):параметр запроса KQL в поиске предоставляет рекомендации и позволяет быстро вставлять длинные сложные запросы непосредственно в редактор. Он также помогает создавать поисковые запросы с нуля, выявляет потенциальные ошибки и отображает подсказки по устранению проблем. Подробные сведения о создании поисковых запросов с параметром KeyQL см. в статье Использование языка запросов ключевых слов для создания поисковых запросов в eDiscovery (предварительная версия).

      Вы также можете быстро создавать запросы KeyQL для поиска с помощью Microsoft Copilot для безопасности. Инструкции см. в следующем разделе этой статьи.

    • Поиск по файлам. Отправьте один или несколько файлов, чтобы найти связанное или аналогичное содержимое для конкретного случая. Используйте csv-файл действий аудита для поиска связанных сообщений и файлов для конкретного пользователя в течение определенного периода времени. Или предоставьте пример доказательства, чтобы найти аналогичное содержимое. Размер каждого файла ограничен 10 МБ, а файлы могут быть csv или txt. Параметры сборки запросов и KQL отключаются при поиске по файлу.

  9. Выберите Выполнить запрос. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, выберите Сохранить как черновик.

Создание поискового запроса KeyQL с Microsoft Copilot (предварительная версия)

Параметр конструктора KeyQL для естественного языка (предварительная версия) позволяет использовать естественный язык и Microsoft Copilot для обеспечения безопасности для быстрого создания оператора KeyQL. С помощью построителя можно создавать сложные запросы с дополнительными функциями, включая AND, OR и группирование условий, при использовании запросов на естественном языке.

Эта функция упрощает создание запросов с помощью стандартных запросов для примеров сценариев, а также позволяет уточнить и улучшить настраиваемые запросы для более точных поисковых запросов. Вы также можете использовать подсказки в качестве отправной точки для создания и уточнения запросов KeyQL для распространенных или пользовательских сценариев поиска.

Чтобы создать поисковый запрос с помощью Copilot, выполните следующие действия.

  1. Выбрав источники данных для запроса, выберите Черновик запроса с помощью Copilot.
  2. В области Запрос на естественный язык выберите один из следующих параметров:
    • Введите вопрос поискового запроса. При необходимости можно включить сведения о пользователе, источнике данных и других сведениях о содержимом.
    • Выберите Просмотреть запросы , чтобы выбрать один из следующих вариантов запроса:
      • Поиск всех сообщений электронной почты, содержащих слова "бюджет" и "финансы", а также вложения
      • Поиск во всех чатах в январе 2020 года, содержащих слово "финансовый год"
      • Поиск файлов типа .docx, содержащих слова "конфиденциальный" и "бюджет"
  3. Просмотрите запрос на естественном языке. Чтобы уточнить запрос с помощью Copilot, выберите Уточнить.
  4. После завершения запроса выберите Создать KeyQL.
  5. Просмотрите запрос KeyQL в области результатов языка запросов ключевых слов (KeyQL). Если необходимо уточнить результаты запроса KeyQL, вы можете обновить запрос в области Запрос на естественном языке и снова выбрать Создать KeyQL . 1. Когда результаты KeyQL будут завершены, выберите Копировать KeyQL.
  6. Вставьте результаты KeyQL в поле запроса на вкладке Язык запросов ключевых слов (KeyQL). Вы можете закрыть черновик запроса с помощью Copilot.
  7. Выберите Выполнить запрос. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, выберите Сохранить как черновик.

Запуск поискового запроса

После создания поискового запроса вручную или использования Microsoft Copilot для безопасности вы можете выполнить запрос и создать результаты поиска.

Чтобы выполнить поисковый запрос, выполните следующие действия.

  1. Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.

  2. Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.

  3. Выберите дело. На вкладке Поиск выберите сохраненный поиск.

  4. Выберите Выполнить запрос.

  5. После нажатия кнопки Выполнить запрос вы увидите всплывающее окно Формат результатов запроса . Выберите представление, необходимое для запроса и его параметров. Вы можете выбрать представление Статистика или Пример :

    • Статистика. Это представление создает сводку собранных оценок данных, упорядоченных по лучшим индикаторам. Выберите один или несколько из следующих вариантов:

      • Включить категории. Уточните представление, чтобы включить людей, типы конфиденциальной информации, типы элементов и ошибки.

      • Включить отчет по ключевым словам запроса: оценка ключевое слово релевантности для различных частей поискового запроса/

      • Анализ частично индексированных элементов. Частично индексированные элементы обычно составляют около одного процента содержимого в источниках данных по количеству. При выборе этого параметра (и только этого параметра) формируется сводная информация (количество элементов и расположение) о частично индексированных элементах, включенных в выбранные источники данных для поиска. Частично индексированные элементы не переиндексируются или не обрабатываются. Для дальнейшей обработки частично индексированных элементов в источниках данных с областью действия рассмотрите следующие расширенные варианты индексирования:

        • Исключить частично индексированные элементы в расположениях без попаданий в поиск. Выбор этого дополнительного параметра уменьшает область частично индексированных элементов (или расширенное индексирование, если выбраны эти параметры), ограничивая включение частично индексированных элементов только из источников данных, в которых содержатся элементы, относящиеся к поиску. Это исключает частично индексированные элементы из источников данных, которые не включают элементы, относящиеся к поиску.

          Например, вы выбрали несколько почтовых ящиков, сайтов SharePoint и сайтов OneDrive в качестве источников данных для поиска. При выполнении поиска только некоторые почтовые ящики и сайты имеют индексированные элементы, соответствующие условиям поиска, а остальные почтовые ящики и сайты не содержат элементов, индексированных в собственном коде, соответствующих условиям поиска. Если вы выбрали этот параметр, частично индексированные элементы в почтовых ящиках и на сайтах, которые содержат элементы с индексированием в собственном коде, относящиеся к поиску, включаются в результаты поиска. Частично индексированные элементы в почтовых ящиках и сайтах, которые не содержат элементов, индексированных в собственном коде, относящихся к поиску, игнорируются и не отображаются в результатах поиска.

        • Выполнение расширенного индексирования частично индексированных элементов. Область, где выполняется расширенное индексирование, зависит от того, выбран ли параметр Исключить частично индексированные элементы в расположениях без попаданий поиска. Расширенный процесс индексирования запускает статистический пример частично индексированных элементов в область и определяет, соответствуют ли эти элементы запросу:

          • Выбрано с параметром Исключить частично индексированные элементы в расположениях без попаданий в поиск . Это относится только к частично индексированных элементов только к источникам данных с полностью индексированных элементов, соответствующих поисковому запросу. Эти элементы используются для выборки, индексации, а элементы, соответствующие поисковому запросу, отображаются в статистике поиска (если применимо).
          • Выбрано без параметра Исключить частично индексированные элементы в местах без попаданий в поиск. Это относится ко всем частично индексированных элементам во всех источниках данных, включенных в поиск. Все элементы выборки, индексируются, а элементы, соответствующие поисковому запросу, отображаются в статистике поиска (если применимо).

    • Пример. В этом представлении создается репрезентативный выбор полных результатов поиска. Определите параметры для следующих параметров:

      • Выберите количество примеров элементов для каждого расположения. Выберите 1, 10 или 100.
      • Выберите количество расположений для получения примеров: выберите 10, 100, 1000 или 10000.

  6. Выберите Выполнить запрос , чтобы немедленно выполнить запрос.

В зависимости от выбранных параметров представления запроса вы автоматически перейдете на вкладку Статистика или Пример . Запускается оценка поискового запроса и вычисляется время, оставшееся на обработку запроса. Дополнительные сведения об оценке и точной настройке результатов поиска см. в разделе Проверка и оценка результатов поиска.