Localizar conteúdo em sites na Deteção de Dados Eletrónicos (pré-visualização)
Ao procurar documentos e ficheiros localizados em sites do SharePoint ou do OneDrive, poderá fazer sentido ajustar a abordagem de consulta com base nos metadados dos documentos e ficheiros de interesse. Os ficheiros e documentos têm propriedades relevantes como Autor, Criado, CreatedBy, FileName, LastModifiedTime e Título. A maioria destas propriedades não é relevante ao procurar conteúdos de comunicações no Exchange Online e a utilização destas propriedades pode originar resultados inesperados se forem utilizadas em documentos e comunicações. Além disso, FileName e Title de um documento podem não ser os mesmos e utilizar um ou outro para tentar localizar um ficheiro com conteúdo específico pode levar a resultados diferentes ou imprecisos. Tenha estas propriedades em mente ao procurar conteúdo de documentos e ficheiros específicos no SharePoint e no OneDrive.
Por exemplo, para localizar conteúdos relacionados com documentos criados pelo Utilizador 1, para um projeto denominado Tradewinds, para ficheiros específicos denominados Finanças e de janeiro de 2020 a janeiro de 2022, poderá utilizar uma consulta com as seguintes propriedades:
- Adicione o Utilizador 1 como uma origem de dados à pesquisa.
- Selecione o site do OneDrive do Utilizador 1 como a localização de interesse.
- Adicione grupos adicionais e os respetivos sites do SharePoint associados relacionados com o projeto como origens de dados.
- Para FileName, utilize Finanças
- Para Palavra-chave, use Tradewinds
- Para Intervalo de Datas, use o intervalo de 1º de janeiro de 2020 a 31 de janeiro de 2022
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
A tabela seguinte lista as propriedades do SharePoint e do OneDrive que podem ser pesquisadas através das ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal do Microsoft Purview ou através do cmdlet New-ComplianceSearch ou Set-ComplianceSearch .
Importante
Embora os documentos e ficheiros armazenados no SharePoint e no OneDrive possam ter outras propriedades suportadas noutros serviços do Microsoft 365, apenas as propriedades de documentos e ficheiros listadas nesta tabela são suportadas nas ferramentas de pesquisa de Deteção de Dados Eletrónicos. A tentativa de incluir outras propriedades de documentos ou ficheiros nas pesquisas não é suportada.
A tabela inclui um exemplo da sintaxe do property:value para cada propriedade e uma descrição dos resultados de pesquisa retornados pelos exemplos.
Propriedade | Descrição da propriedade | Exemplo | Resultados de pesquisa retornados pelos exemplos |
---|---|---|---|
Autor | O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original. Certifique-se de usar o nome de exibição do usuário para esta propriedade. | author:"Garth Fort" |
Todos os documentos criados por Paulo Araújo. |
ContentType | O tipo de conteúdo do SharePoint de um item, como Item, Documento ou Vídeo. | contenttype:document |
Todos os documentos seriam ser retornados. |
Criado em | A data em que um item foi criado. | created>=2021-06-01 |
Todos os itens criados em ou depois de 1 de junho de 2021. |
CreatedBy | A pessoa que criou ou carregou um item. Certifique-se de usar o nome de exibição do usuário para esta propriedade. | createdby:"Garth Fort" |
Todos os itens criados ou carregados por Paulo Araújo. |
DetectedLanguage | O idioma de um item. | detectedlanguage:english |
Todos os itens em inglês. |
DocumentLink | O caminho (URL) de uma pasta específica num site do SharePoint ou do OneDrive. Se você usar essa propriedade, não se esqueça de pesquisar o site no qual a pasta especificada está localizada. Recomendamos que utilize esta propriedade em vez das propriedades Site e Caminho . Para devolver itens localizados em subpastas da pasta que especificar para a propriedade documentlink, tem de adicionar /* ao URL da pasta especificada; Por exemplo |
documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private" |
O primeiro exemplo devolve todos os itens na pasta especificada do OneDrive. O segundo exemplo retorna documentos na pasta do site especificada (e todas as subpastas) que contêm a palavra "confidencial" no nome do arquivo. |
FileExtension | A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. | fileextension:xlsx |
Todos os arquivos do Excel (Excel 2007 e posterior) |
FileName | O nome de um arquivo. | filename:"marketing plan" |
O primeiro exemplo retorna os arquivos com a frase exata "plano de marketing" no título. O segundo exemplo retorna arquivos com a palavra "estimativa" no nome de arquivo. |
LastModifiedTime | A data em que um item foi alterado pela última vez. | lastmodifiedtime>=2021-05-01 |
O primeiro exemplo devolve itens que foram alterados em ou depois de 1 de maio de 2021. O segundo exemplo devolve itens alterados entre 1 de maio de 2021 e 1 de junho de 2021. |
ModifiedBy | A pessoa que alterou um item pela última vez. Certifique-se de usar o nome de exibição do usuário para esta propriedade. | modifiedby:"Garth Fort" |
Todos os itens que foram alterados pela última vez por Paulo Araújo. |
SharedWithUsersOWSUser | Documentos que foram partilhados com o utilizador especificado e apresentados na página Partilhado comigo no site do OneDrive do utilizador. Esses são documentos que foram explicitamente compartilhados com o usuário especificado por outras pessoas em sua organização. Quando você exporta documentos que correspondem a uma consulta de pesquisa que usa a propriedade SharedWithUsersOWSUser, os documentos são exportados do local de conteúdo original da pessoa que compartilhou o documento com o usuário especificado. Para obter mais informações, consulte Procurando o conteúdo do site compartilhado em sua organização. | sharedwithusersowsuser:garthf |
Ambos os exemplos devolvem todos os documentos internos que foram explicitamente partilhados com o Forte garth e que aparecem na página Partilhado comigo na conta do OneDrive do Garth Fort. |
Tamanho | O tamanho de um item, em bytes. | size>=1 |
O primeiro exemplo retorna itens com mais de 1 byte. O segundo exemplo retorna itens de 1 a 10.000 bytes de tamanho. |
Título | O título do documento. A propriedade Title consiste em metadados especificados em documentos do Microsoft Office. É diferente do nome do arquivo do documento. | title:"communication plan" |
Qualquer documento que contém a frase "plano de comunicação" na propriedade de metadados Title de um documento do Office. |
Pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal do Microsoft Purview para procurar dados confidenciais, como números de card de crédito ou números de segurança social, armazenados em documentos em sites do SharePoint e do OneDrive. Você pode fazer isso usando a propriedade SensitiveType
e o nome (ou ID) de um tipo de informação confidencial em uma consulta de palavra-chave. Por exemplo, a consulta SensitiveType:"Credit Card Number"
retorna documentos que contêm um número de cartão de crédito. A consulta SensitiveType:"U.S. Social Security Number (SSN)"
devolve documentos que contêm um número de segurança social dos EUA.
Para ver uma lista dos tipos de informações confidenciais que pode procurar, aceda a Classificações> de dadosTipos de informações confidenciais no portal do Microsoft Purview. Em alternativa, pode utilizar o cmdlet Get-DlpSensitiveInformationType no PowerShell de Conformidade do & de Segurança para apresentar uma lista de tipos de informações confidenciais.
Para pesquisar tipos de informações confidenciais personalizados, você precisa especificar a ID do tipo de informação confidencial na propriedade
SensitiveType
. A utilização do nome de um tipo de informação confidencial personalizada (conforme mostrado no exemplo para tipos de informações confidenciais incorporadas na secção anterior) não devolve resultados. Utilize a coluna Publisher na página Tipos de informações confidenciais no portal do Microsoft Purview (ou na propriedade Publisher no PowerShell) para diferenciar entre tipos de informações confidenciais incorporados e personalizados. Os tipos de dados confidenciais internos têm um valor deMicrosoft Corporation
para a propriedade Publicador.Para apresentar o nome e o ID dos tipos de dados confidenciais personalizados na sua organização, execute o seguinte comando no PowerShell de Conformidade do & de Segurança:
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
Em seguida, você pode usar a ID na propriedade de pesquisa
SensitiveType
para retornar documentos que contêm o tipo de dados confidenciais personalizado; por exemplo,SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37
Você não pode usar tipos de informações confidenciais e a propriedade de pesquisa
SensitiveType
para pesquisar dados confidenciais em repouso em caixas de correio do Exchange Online. Isto inclui mensagens de chat 1:1, mensagens de chat de grupo 1:N e conversações de canal de equipa no Microsoft Teams porque todo este conteúdo está armazenado em caixas de correio. No entanto, você pode usar políticas de prevenção contra perda de dados (DLP) para proteger dados confidenciais de email em trânsito. Para obter mais informações, veja Saiba mais sobre a prevenção de perda de dados e Procurar e localizar dados pessoais.
Existem três partes que constituem uma consulta básica: SensitiveType, intervalo de contagem e intervalo de confiança. Por exemplo, SensitiveType:"<type>" é necessário e ambos |<intervalo de> contagem e |<o intervalo de> confiança é opcional.
Normalmente, as consultas começam com a propriedade SensitiveType:"
e um nome de tipo de informação do inventário de tipos de informações confidenciais e terminam com um "
. Também pode utilizar o nome de um tipo de informação confidencial personalizado que criou para a sua organização. Por exemplo, você pode estar procurando por documentos que contenham números de cartão de crédito.
Nesse caso, utilizaria o seguinte formato: SensitiveType:"Credit Card Number"
. Uma vez que não incluiu o intervalo de contagem ou o intervalo de confiança, a consulta devolve todos os documentos nos quais é detetado um número de card de crédito. Esta é a consulta mais simples que você pode executar, e a que retorna mais resultados. Tenha em mente que a ortografia e o espaçamento do tipo confidencial são importantes.
Ambas as duas partes seguintes são intervalos, por isso vamos examinar rapidamente o aspeto de um intervalo. Nas consultas do SharePoint, um intervalo básico é representado por dois números separados por dois períodos, que têm o seguinte aspeto: [number]..[number]
. Por exemplo, se 10..20
for utilizado, esse intervalo capturará números de 10 a 20. Existem muitas combinações de intervalos diferentes e várias são abordadas neste artigo.
Vamos adicionar um intervalo de contagem à consulta. Pode utilizar o intervalo de contagem para definir o número de ocorrências de informações confidenciais que um documento precisa de conter antes de ser incluído nos resultados da consulta. Por exemplo, se quiser que a consulta devolva apenas documentos que contenham exatamente cinco números de card de crédito, utilize o seguinte: SensitiveType:"Credit Card Number|5"
. O intervalo de contagem também pode ajudá-lo a identificar documentos que apresentam níveis elevados de risco. Por exemplo, a sua organização pode considerar documentos com cinco ou mais números de cartão de crédito como de alto risco. Para localizar documentos que se ajustem a este critério, utilize esta consulta: SensitiveType:"Credit Card Number|5.."
. Em alternativa, pode encontrar documentos com cinco ou menos números de crédito card ao utilizar esta consulta: SensitiveType:"Credit Card Number|..5"
.
Finalmente, intervalo de confiança é o nível de confiança a que o tipo confidencial detectado corresponde. Os valores de intervalo de confiança funcionam da mesma forma para o intervalo de contagem. É possível formar uma consulta sem incluir uma variedade de contagem. Por exemplo, para procurar documentos com qualquer número de números de card de crédito, desde que o intervalo de confiança seja 85% ou superior, utilizaria esta consulta: SensitiveType:"Credit Card Number|*|85.."
.
Importante
O asterisco ( *
) é um caráter universal que significa que qualquer valor funciona. Pode utilizar o caráter universal ( *
) no intervalo de contagem ou no intervalo de confiança, mas não num tipo sensível.
As consultas no SharePoint também contêm a propriedade LastSensitiveContentScan, que pode ajudá-lo a procurar ficheiros analisados dentro de um período de tempo específico. Para obter exemplos de consulta com a LastSensitiveContentScan
propriedade, veja a secção Exemplos de consultas complexas na secção seguinte.
Pode utilizar propriedades de pesquisa de Deteção de Dados Eletrónicos do SharePoint, como Author
ou FileExtension
. Você pode usar operadores para criar consultas complexas. Para obter a lista de propriedades e operadores disponíveis, veja a mensagem de blogue Using Search Properties and Operators with eDiscovery (Utilizar Propriedades e Operadores de Pesquisa com Deteção de Dados Eletrónicos ).
Os exemplos seguintes utilizam diferentes tipos confidenciais, propriedades e operadores para ilustrar como pode refinar as suas consultas para encontrar exatamente o que procura.
Consultar | Explicação |
---|---|
SensitiveType:"International Banking Account Number (IBAN)" |
O nome pode parecer estranho porque é tão longo, mas é o nome correto para esse tipo sensível. Certifique-se de que utiliza nomes exatos do inventário de tipos de informações confidenciais. Também pode utilizar o nome de um tipo de informação confidencial personalizado que criou para a sua organização. |
SensitiveType:"Credit Card Number|1..4294967295|1..100" |
Esta ação devolve documentos com, pelo menos, uma correspondência ao tipo confidencial "Número do Cartão de Crédito". Os valores para cada intervalo são os respetivos valores mínimos e máximos. Uma forma mais simples de escrever esta consulta é SensitiveType:"Credit Card Number" , mas onde está a diversão? |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" |
Isto devolve documentos com 5 a 25 números de card de crédito que foram analisados de 11 de agosto de 2018 a 13 de agosto de 2018. |
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX |
Isto devolve documentos com 5 a 25 números de card de crédito que foram analisados de 11 de agosto de 2018 a 13 de agosto de 2018. Os ficheiros com uma extensão XLSX não estão incluídos nos resultados da consulta.
FileExtension é uma das muitas propriedades que pode incluir numa consulta. Para obter mais informações, veja Using Search Properties and Operators with eDiscovery (Utilizar Propriedades e Operadores de Pesquisa com Deteção de Dados Eletrónicos). |
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" |
Isso retornará documentos que contenham um número de cartão de crédito ou um número de previdência social. |
Nem todas as consultas são criadas da mesma forma. A tabela seguinte fornece exemplos de consultas que não funcionam no SharePoint e descreve o motivo.
Consulta incompatível | Reason |
---|---|
SensitiveType:"Credit Card Number|.." |
Você deve adicionar pelo menos um serviço. |
SensitiveType:"NotARule" |
"NotARule" não é um nome de tipo confidencial válido. Apenas os nomes nos tipos de informação confidenciais funcionam em consultas de Deteção de Dados Eletrónicos. |
SensitiveType:"Credit Card Number|0" |
Zero não é válido como o valor mínimo ou o valor máximo num intervalo. |
SensitiveType:"Credit Card Number" |
Pode ser difícil de ver, mas há espaço em branco adicional entre "Crédito" e "Cartão" que torna a consulta inválida. Utilize nomes de tipos confidenciais exatos do inventário de tipos de informações confidenciais. |
SensitiveType:"Credit Card Number|1. .3" |
A parte de dois pontos não deve ser separada por um espaço. |
SensitiveType:"Credit Card Number| |1..|80.." |
Há muitos delimitadores de pipe (|). Em alternativa, siga este formato: SensitiveType: "Credit Card Number|1..|80.." |
SensitiveType:"Credit Card Number|1..|80..101" |
Uma vez que os valores de confiança representam uma percentagem, não podem exceder 100. Escolha um número de 1 a 100 em vez disso. |
Também pode utilizar ferramentas de pesquisa de Deteção de Dados Eletrónicos no portal do Microsoft Purview para procurar documentos armazenados em sites do SharePoint e do OneDrive que tenham sido partilhados com pessoas fora da sua organização. Isso pode ajudá-lo a identificar informações confidenciais ou proprietárias que estão sendo compartilhadas fora de sua organização. Pode fazê-lo ao utilizar a ViewableByExternalUsers
propriedade numa consulta palavra-chave. Essa propriedade retorna documentos ou sites que foram compartilhados com usuários externos usando um dos seguintes métodos de compartilhamento:
- Um convite de compartilhamento que exige que os usuários se conectem à sua organização como um usuário autenticado.
- Um link de convidado anônimo, que permite que qualquer pessoa com este link acesse o recurso sem precisar ser autenticado.
Aqui estão alguns exemplos:
- A consulta
ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number"
devolve todos os itens que foram partilhados com pessoas fora da sua organização e contêm um número de card de crédito. - A consulta
ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams"
devolve uma lista de documentos em todos os sites de equipa na organização que foram partilhados com utilizadores externos.
Dica
Uma consulta de pesquisa, como ViewableByExternalUsers:true AND ContentType:document
, por exemplo, pode devolver muitos ficheiros .aspx nos resultados da pesquisa. Para eliminar estes (ou outros tipos de ficheiros), pode utilizar a FileExtension
propriedade para excluir tipos de ficheiro específicos; por exemplo ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx
, .
O que é considerado conteúdo que é compartilhado com pessoas de fora de sua organização? Documentos nos sites sharePoint e OneDrive da sua organização que são partilhados através do envio de um convite de partilha ou partilhados em localizações públicas. Por exemplo, as seguintes atividades de usuário resultarem em conteúdo que pode ser exibido por usuários externos:
- Um usuário compartilha um arquivo ou uma pasta com uma pessoa de fora da organização.
- Um usuário cria e envia um link de um arquivo compartilhado a uma pessoa de fora da organização. O link permite que o usuário externo exiba (ou edite) o arquivo.
- Um usuário envia um convite de compartilhamento ou um link de convidado a uma pessoa de fora da organização para exibir (ou editar) um arquivo compartilhado.
Embora a ViewableByExternalUsers
propriedade represente a status se um documento ou site é partilhado com utilizadores externos, existem algumas ressalvas sobre o que esta propriedade faz e não reflete. Nos seguintes cenários, o valor da ViewableByExternalUsers
propriedade não será atualizado e os resultados de uma consulta de pesquisa que utilize esta propriedade podem ser imprecisos.
- Alterações na política de compartilhamento, como desativar o compartilhamento externo para um site ou para a organização. A propriedade ainda mostrará documentos compartilhados anteriormente como acessíveis externamente, mesmo que o acesso externo possa ter sido revogado.
- Alterações na associação de grupo, como adicionar ou remover usuários externos do Grupos do Microsoft 365 ou grupos de Segurança do Microsoft 365. A propriedade não será atualizada automaticamente para itens aos qual o grupo tem acesso.
- Enviar convites de compartilhamento para usuários externos em que o destinatário não aceitou o convite e, portanto, ainda não tem acesso ao conteúdo.
Nestes cenários, a ViewableByExternalUsers
propriedade não refletirá a partilha atual status até que o site ou biblioteca de documentos seja novamente rabiscado e reindexado.
Pode utilizar a SharedWithUsersOWSUser
propriedade para procurar documentos que tenham sido partilhados entre pessoas na sua organização. Quando uma pessoa partilha um ficheiro (ou pasta) com outro utilizador dentro da sua organização, é apresentada uma ligação para o ficheiro partilhado na página Partilhado comigo na conta do OneDrive da pessoa com quem o ficheiro foi partilhado. Por exemplo, para procurar os documentos que foram partilhados com Sara Davis, pode utilizar a consulta SharedWithUsersOWSUser:"sarad@contoso.com"
. Se exportar os resultados desta pesquisa, os documentos originais (localizados na localização do conteúdo da pessoa que partilhou os documentos com Sara) são transferidos.
Os documentos têm de ser explicitamente partilhados com um utilizador específico para serem devolvidos nos resultados da pesquisa ao utilizar a SharedWithUsersOWSUser
propriedade . Por exemplo, quando uma pessoa compartilha um documento em sua conta do OneDrive, ela tem a opção de compartilhá-lo com qualquer pessoa (dentro ou fora da organização), compartilhá-lo apenas com pessoas dentro da organização ou compartilhá-lo com uma pessoa específica.
Apenas os documentos que são partilhados através da terceira opção (partilhado com Pessoas específicas) são devolvidos por uma consulta de pesquisa que utiliza a SharedWithUsersOWSUser
propriedade .
Você pode usar a seguinte consulta de palavra-chave para pesquisar especificamente conteúdo em conversas do Skype for Business:
kind:im
A consulta de pesquisa anterior também retorna chats do Microsoft Teams. Para evitar isso, você pode restringir os resultados da pesquisa para incluir apenas conversas do Skype for Business usando a seguinte consulta de palavra-chave:
kind:im AND subject:conversation
A consulta de palavra-chave anterior exclui chats no Microsoft Teams porque as conversas do Skype for Business são salvas como mensagens de email com uma linha de assunto que começa com a palavra "Conversa".
Para pesquisar conversas do Skype for Business que ocorreram dentro de um intervalo de datas específico, use a seguinte consulta de palavra-chave:
kind:im AND subject:conversation AND (received=startdate..enddate)
Para obter mais informações sobre os limites de carateres, veja Limites de pesquisa de Deteção de Dados Eletrónicos.