eDiscovery에서 검색 결과 평가 및 구체화(미리 보기)
검색 결과를 평가하고 구체화하는 것은 eDiscovery 조사 작업에서 가장 중요한 단계 중 하나입니다. 구성한 검색 쿼리와 반환되는 결과는 조사에 적용할 수 있는 항목 및 정보를 검색했는지 또는 추가 관련 항목을 검색하기 위해 검색을 수정해야 하는지 여부를 확인하는 데 도움이 됩니다. 항목의 초기 검색 및 정보의 초기 검토는 검색 매개 변수를 완료한 후 필요한 작업을 결정하는 데 도움이 됩니다.
팁
Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.
검색을 만들고 실행한 후 다음 단계는 검색 통계를 확인하여 관련 콘텐츠가 발견되고 있는지 여부와 적중이 가장 많은 콘텐츠 위치를 확인하는 것입니다. 또한 검색 결과 샘플을 검토하여 콘텐츠가 조사 scope 내에 있는지 확인하는 데 도움이 될 수 있습니다.
검색의 초기 결과 유형으로 통계를 선택한 경우 검색 결과가 완료되면 이 dashboard 자동으로 리디렉션됩니다. 이전 버전의 eDiscovery에 이미 익숙한 경우 통계 탭의 정보는 컬렉션 예상과 유사합니다. 통계 dashboard 대한 검색 결과는 다음 섹션에 포함되어 있습니다.
-
요약: 이 섹션에서는 검색 적중 횟수, 위치, 데이터 원본 및 부분적으로 인덱싱된 항목의 총 파일 크기를 보여 줍니다.
- 검색 적중: 검색된 위치의 쿼리 조건과 일치하는 모든 항목의 총 검색 적중 횟수 및 볼륨을 표시합니다.
- 위치: 검색된 모든 위치에서 적중이 있는 위치의 비율을 표시합니다. 숫자화는 적중이 있는 위치를 표시하고 분모는 검색된 위치 수를 표시합니다. 오류가 있는 위치는 빨간색으로 표시됩니다. 모든 위치 및 관련 적중 및 오류에 대한 전체 세부 정보를 보려면 보고서 다운로드 를 선택하여 전체 .csv 보고서를 다운로드합니다.
- 데이터 원본: 검색된 모든 데이터 원본 중 적중이 있는 데이터 원본의 비율을 표시합니다. 숫자화는 적중이 있는 데이터 원본을 표시하고 분모는 검색에 포함된 데이터 원본 수를 표시합니다. 이 데이터 원본은 검색 디자인 흐름의 데이터 원본과 일치하며 검색에 포함된 사용자 또는 그룹 수와 일치해야 합니다. 모든 사용자 및 모든 그룹의 테넌트 전체 데이터 원본은 단일 데이터 원본으로 계산됩니다.
- 부분적으로 인덱싱된 항목 또는 "고급 인덱싱된 항목 적중": 검색의 일부로 반환된 부분 및 인덱싱되지 않은 항목의 수와 볼륨을 표시합니다. 이 카드 부분적으로 또는 인덱싱되지 않은 항목을 검색 구성의 일부로 포함하도록 선택하는 경우 부분적으로 인덱싱된 항목 정보를 표시합니다. 부분 및 인덱싱되지 않은 항목을 포함하도록 선택하고 고급 인덱싱 옵션을 사용하도록 설정한 경우 이 카드 고급 인덱싱된 항목에서 가져오는 추가 적중을 표시합니다. 인덱싱된 고급 적중 횟수는 부분적으로 인덱싱된 항목에 대한 통계 샘플에서 가져오며, 실제 적중 횟수는 더 많을 수 있으며 검토 집합에 추가 및 검색 결과 내보내기 작업을 사용하여 확인해야 합니다.
-
검색 적중 추세: 이 섹션에서는 다음 검색 결과 카드를 보여 줍니다. 차트는 대화형이며 마우스로 가리키면 섹션 이름, 백분율 및 항목 번호가 표시됩니다. 각 추세에 포함된 항목에 대한 자세한 내용을 보려면 상위 100개 보기 를 선택하고 결과를 .csv 파일에 다운로드합니다.
- 상위 데이터 원본: 쿼리와 일치하는 가장 많은 검색 적중을 구성하는 상위 5개 데이터 원본을 표시합니다. 이러한 데이터 원본의 이름(사용자, 그룹 또는 organization 전체 위치의 이름)은 적중 횟수와 함께 나열됩니다. 이러한 데이터 원본은 검색 쿼리를 빌드할 때 데이터 원본 워크플로에서 선택한 것과 일치해야 합니다.
- 가장 중요한 정보 유형(SIT): 쿼리와 일치하는 검색 적중에 가장 자주 포함된 상위 5가지 SID(중요한 정보 유형)를 SharePoint 파일에 표시합니다. 단일 항목/문서에 둘 이상의 SIT 형식이 포함될 수 있으므로 각 SIT의 개수를 추가하는 것이 총 적중 횟수와 반드시 동일하지는 않습니다. 예를 들어 문서에는 암호와 SSN(사회 보장 번호)이 모두 포함됩니다. 이 예제에서는 두 번 계산됩니다. 상위 100개 보기를 선택하여 이러한 SIT 개수의 위치를 더 자세히 파악하여 겹치는지 여부를 확인하는 것이 좋습니다.
- 상위 키워드: 쿼리 키워드로, 쿼리와 일치하는 검색 적중이 가장 많이 발생했습니다.
- 상위 항목 유형: 검색 내의 가장 빈번한 항목 유형은 쿼리와 일치합니다. 이 수는 Exchange 콘텐츠의 경우 itemClass 및 SharePoint 콘텐츠의 ContentType 에 따라 결정됩니다.
- 인덱싱 상태: 인덱싱되지 않은(부분 인덱싱 포함) 및 완전히 인덱싱된 데이터 항목의 분석입니다.
- 주요 커뮤니케이션 참가자: 전자 메일의 보낸 사람 또는 받는 사람, Microsoft Teams 채팅 및 Exchange 위치의 일정 초대.
- 상위 위치 유형: 위치 유형별 적중 횟수(사서함 및 사이트)입니다.
뷰 다시 생성을 선택하여 쿼리를 다시 실행하고 최신 결과를 검토합니다. 보고서 다운로드를 선택하여 모든 통계 결과를 단일 .csv 파일로 결합합니다. 추세 영역에 대한 상위 100개 결과를 볼 때 선택한 적중 추세의 상위 100개 결과의 .csv 파일에 대한 보고서 다운로드 를 선택합니다.
검색의 초기 결과 유형으로 샘플을 선택한 경우 검색 결과가 완료되면 이 dashboard 자동으로 리디렉션됩니다. 샘플 dashboard 열에 대한 검색 결과에는 각 항목에 대한 다음 정보가 포함됩니다.
- 제목/제목: 샘플에 포함된 항목의 제목 또는 제목입니다.
- 날짜: 항목을 만들거나 보낸 날짜입니다.
- 보낸 사람/작성자: 항목의 보낸 사람 또는 작성자입니다.
샘플을 사용하면 개별 항목의 대표 하위 집합과 검색을 위해 반환된 각 항목에 대한 세부 정보를 검사할 수 있습니다. 위치당 샘플 수와 검색에 정의된 샘플 위치 수에 따라 샘플 항목의 샘플 항목 수와 위치 표현이 결정됩니다.
항목의 원본 정보를 보려면 샘플 항목을 선택합니다. 항목에 사용할 수 있는 경우 이 보기는 선택한 항목의 풍부한 보기를 표시하므로 정의된 검색 데이터 원본 및 조건과 관련된 항목의 관련성을 평가할 수 있습니다.
뷰 다시 생성을 선택하여 쿼리를 다시 실행하고 최신 결과를 검토합니다. 보고서 다운로드를 선택하여 모든 샘플 결과를 단일 .csv 파일로 결합합니다. 보기 설정을 선택하여 샘플 보기 생성에 적용된 설정을 봅니다.
검색에서 반환된 예상 및 통계에 따라 검색되는 데이터 원본과 검색 쿼리를 변경하여 검색을 확장하거나 좁히면 검색을 편집하고 구체화할 수 있습니다. 검색 결과에 사례와 가장 관련된 콘텐츠가 포함되어 있다고 확신할 때까지 검색을 업데이트하고 다시 실행할 수 있습니다.
검색 결과에 만족하면 다음 작업을 수행할 수 있습니다.