Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização)
O construtor de condições na pesquisa fornece uma experiência de filtragem condicional visual quando cria consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização). Utilize o construtor de condições para construir consultas com operadores (AND, OR) para o ajudar a criar consultas de forma mais eficaz e a fornecer espaço adicional para que as consultas de palavras-chave complexas sejam construídas e revistas.
Dica
Comece a utilizar o Microsoft Copilot for Security para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre o Microsoft Copilot for Security no Microsoft Purview.
Utilizar o construtor de condições
Para criar uma consulta e filtragem condicional personalizada para a sua pesquisa, utilize os seguintes controlos:
- E/OU: estes operadores lógicos condicionais permitem-lhe selecionar a condição de consulta que se aplica a filtros específicos e filtrar subgrupos. Estes operadores permitem-lhe utilizar vários filtros ou subgrupos ligados a um único filtro na consulta.
- Adicionar uma condição: permite-lhe adicionar uma condição para as origens de dados específicas e a localização selecionada para a pesquisa.
- Selecionar um operador: consoante o filtro selecionado, os operadores compatíveis com o filtro estão disponíveis para selecionar. Por exemplo, se o filtro Data estiver selecionado, os operadores disponíveis são Antes, Depois e Entre. Se o filtro Tamanho (em bytes) estiver selecionado, os operadores disponíveis são Maior que, Maior ou igual, Menor ouigual, Entre e Igual.
- Valor: dependendo do filtro selecionado, os valores compatíveis com o filtro estão disponíveis. Além disso, alguns filtros suportam vários valores e alguns filtros suportam um valor específico. Por exemplo, se o filtro Data estiver selecionado, selecione valores de data. Se o filtro Tamanho (em bytes) estiver selecionado, selecione um valor para bytes.
- Remover uma condição de filtro: para remover um filtro ou subgrupo individual, selecione o ícone remover à direita de cada linha de filtro ou subgrupo.
- Limpar tudo: para limpar toda a consulta de todos os filtros e subgrupos, selecione Limpar tudo.
Diretrizes para o uso de condições
Lembre-se do seguinte ao usar condições de pesquisa.
- Uma condição está logicamente ligada à consulta de palavra-chave (especificada na caixa de palavra-chave) por operadores AND e OR . Isso significa que os itens precisam atender à consulta de palavra-chave e à condição para serem incluídos nos resultados.
- Se adicionar duas ou mais condições exclusivas a uma consulta de pesquisa (condições que especificam propriedades diferentes), essas condições são logicamente ligadas pelos operadores E e OU . Isso significa que apenas os itens que atenderem a todas as condições (além de qualquer consulta de palavra-chave) serão retornados.
- Se você adicionar mais de uma condição à mesma propriedade, as condições serão logicamente conectadas pelo operador OR. Isso significa que os itens que atenderem à consulta de palavra-chave e a qualquer uma das condições serão retornados. Portanto, grupos das mesmas condições são conectados uns aos outros pelo operador OR, e conjuntos de condições exclusivas são conectados pelo operador AND.
- Se você adicionar vários valores (separados por vírgulas ou ponto-e-vírgula) a uma única condição, os valores serão conectados pelo operador OR. Isso significa que os itens serão retornados se contiverem qualquer um dos valores especificados para a propriedade na condição.
- Qualquer condição que utilize um operador com lógica Contém e É Igual a devolve resultados de pesquisa semelhantes para pesquisas de cadeias simples. Uma pesquisa de cadeia simples é uma cadeia na condição que não inclui um caráter universal). Por exemplo, uma condição que utiliza Igual a qualquer um dos devolve os mesmos itens que uma condição que utiliza Contém qualquer um dos.
- A consulta de pesquisa criada usando a caixa de palavras-chave e condições é exibida na página Pesquisa, no painel de detalhes da pesquisa selecionada. Numa consulta, tudo à direita da notação
(c:c)indica condições que são adicionadas à consulta.(c:c)não deve ser utilizado em consultas introduzidas manualmente e não é igual a E ou OU. - As condições só adicionam propriedades à consulta de pesquisa; não adicionam operadores. É por isso que a consulta apresentada no painel de detalhes não mostra operadores à direita da
(c:c)notação. A KQL adiciona os operadores lógicos (de acordo com as regras explicadas anteriormente) ao executar a consulta. - Você pode usar o controle de arrastar e soltar para sequenciar novamente a ordem das condições. Selecione o controlo de uma condição e mova-a para cima ou para baixo.
- Algumas propriedades da condição permitem-lhe escrever vários valores (separados por ponto e vírgula). Cada valor é ligado logicamente pelo operador OR e resulta na consulta
(filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). A ilustração seguinte mostra um exemplo de uma condição com múltiplos valores.
Exemplo de cenário
O administrador da Deteção de Dados Eletrónicos precisa de criar uma consulta para localizar e-mails enviados de Aimee Miller para Adam Eham, Adele Vance ou Aditya Dash que foram enviados entre 9 de fevereiro de 2023 e 9 de março de 2023 que contêm as palavras-chave conformidade e auditoria. Neste exemplo, o administrador cria a seguinte consulta com o novo construtor de consultas:
- Para o primeiro filtro, o administrador seleciona Remetente e, em seguida, seleciona o operador É Igual a qualquer um dos operadores e, em seguida, seleciona Aimee Miller na lista de utilizadores disponíveis no controlo Valor .
- Em seguida, o administrador seleciona Adicionar subgrupo e o operador OR para definir os outros utilizadores para os quais a Aimee pode ter enviado um e-mail sobre a auditoria de conformidade.
- No subgrupo, o administrador seleciona o filtro Para , é Igual a qualquer operador e o Valor (utilizador) para cada um dos outros utilizadores para os quais a Aimee pode ter enviado um e-mail sobre a auditoria de conformidade. Neste exemplo, o administrador cria um filtro no subgrupo para Adam Eham, Adele Vance e Aditya Dash.
- Para definir o intervalo de datas, o administrador seleciona Adicionar filtro e seleciona o filtro Data , o operador Entre e as datas de início e de fim do Valor.
- Por fim, o administrador seleciona o filtro Lista de palavras-chave , o operador Igual e a conformidade, auditar como a palavra-chave Valor.
Utilizar condições de pesquisa
Você pode adicionar condições a uma consulta de pesquisa para restringir uma pesquisa e retornar um conjunto mais refinado de resultados. Cada condição adiciona uma cláusula à consulta de pesquisa KQL que é criada e executada quando você inicia a pesquisa.
- Caracteres especiais
- Condições para propriedades comuns
- Condições para propriedades de email
- Condições para propriedades de documentos
- Operadores usados com condições
Caracteres especiais
Alguns carateres especiais não são incluídos no índice de pesquisa e, portanto, não são pesquisáveis. Isso também inclui os caracteres especiais que representam operadores de pesquisa na consulta de pesquisa. Aqui está uma lista de caracteres especiais que são substituídos por um espaço em branco na consulta de pesquisa real ou causam um erro de pesquisa.
+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }
Condições para propriedades comuns
Crie uma condição usando propriedades comuns ao pesquisar caixas de correio e sites na mesma pesquisa. A tabela a seguir lista as propriedades disponíveis a serem usadas ao adicionar uma condição.
| Condition | Descrição |
|---|---|
| Date | Para o e-mail, a data em que uma mensagem foi criada ou importada a partir de um ficheiro PST. Para documentos, a data em que um documento foi modificado pela última vez. Se estiver à procura de mensagens de e-mail para um período de tempo específico, deve utilizar a mensagem Condições recebidas e enviadas se não tiver a certeza se as mensagens de e-mail podem ter sido importadas em vez de terem sido criadas nativamente no Exchange. |
| Identificador | Para o e-mail, o ID de uma mensagem específica.
Os IDs de mensagens estão incluídos no registo de auditoria, alertas de prevenção de perda de dados (DLP) ou analisam metadados definidos e permitem-lhe criar uma pesquisa específica para uma mensagem individual. Para mensagens do Microsoft Teams, o ID da conversa ou reação. O ChatThreadID está incluído no registo de auditoria, alertas de prevenção de perda de dados (DLP) ou rever metadados definidos e permitir-lhe criar uma pesquisa específica para uma conversa ou reação individual. |
| Sender/Author | Para email, a pessoa que enviou uma mensagem. Para documentos, a pessoa citada no campo autor de documentos do Office. Você pode digitar mais de um nome, separado por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR. (Consulte Expansão do Destinatário) |
| Tamanho (em bytes) | Para emails e documentos, o tamanho do item (em bytes). |
| Subject/Title | Para email, o texto na linha de assunto de uma mensagem. Para documentos, o título do documento. A propriedade Título é metadados especificados em documentos do Microsoft Office. Pode escrever o nome de mais do que um valor de assunto/título, separados por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR. Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se adicionar aspas ao valor, são adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolverá um erro. |
| Rótulo de retenção | Tanto para e-mail como para documentos, etiquetas de retenção aplicadas a mensagens e documentos. As etiquetas de retenção podem ser utilizadas para declarar registos e ajudá-lo a gerir o ciclo de vida dos dados do conteúdo ao impor regras de retenção e eliminação especificadas pela etiqueta. Para obter mais informações sobre rótulos de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção. |
| Tipo de informações confidenciais (SIT) | Tanto para o e-mail como para documentos, tipos de informações confidenciais incluídos em mensagens e documentos. Os SITs são classificadores baseados em padrões e detetam informações confidenciais como segurança social, cartão de crédito ou números de contas bancárias para identificar itens confidenciais. Para obter mais informações sobre SITs, veja Saiba mais sobre tipos de informações confidenciais. |
| Rótulo de confidencialidade | Tanto para o e-mail como para documentos, as etiquetas de confidencialidade aplicadas a mensagens e documentos. As etiquetas de confidencialidade permitem-lhe classificar e proteger os dados da sua organização, ao mesmo tempo que garante que a produtividade do utilizador e a capacidade de colaboração não são dificultadas. Para obter mais informações sobre etiquetas de confidencialidade, consulte Saiba mais sobre etiquetas de confidencialidade. |
Condições para propriedades de email
Crie uma condição através das propriedades de correio ao procurar caixas de correio ou pastas públicas no Exchange Online. A tabela a seguir lista as propriedades de email que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades de email que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.
| Condition | Descrição |
|---|---|
| Tipo de mensagem | Tipo de mensagem para pesquisar. Essa propriedade é igual à propriedade de email Kind. Valores possíveis:
|
| Participantes | Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco. (Consulte Expansão do Destinatário) |
| Tipo | A propriedade de classe de mensagem para um item de email. Essa é a mesma propriedade que a propriedade de email ItemClass. Também é uma condição de vários valores. Assim, para selecionar múltiplas classes de mensagens, mantenha premida a tecla CTRL e, em seguida, selecione duas ou mais classes de mensagens na lista pendente que pretende adicionar à condição. Cada classe de mensagem que selecionar na lista é ligada logicamente pelo operador OR na consulta de pesquisa correspondente. Para obter uma lista das classes de mensagem (e sua ID de classe de mensagem correspondente) que são usadas pelo Exchange e que você pode selecionar na lista Classe de mensagem, consulte Tipos de Item e Classes de Mensagem. |
| Received | A data em que uma mensagem de email foi recebida pelo destinatário. Essa propriedade é igual à propriedade de email Received. |
| Destinatários | Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco. (Consulte Expansão do Destinatário) |
| Remetente | O remetente de uma mensagem de email. |
| Enviado | A data em que uma mensagem de email foi enviada pelo remetente. Essa propriedade é igual à propriedade de email Sent. |
| Assunto | O texto na linha de assunto de uma mensagem de email. Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se adicionar aspas ao valor, são adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolverá um erro. |
| Para | O destinatário de uma mensagem de email no campo Para. |
Condições para propriedades de documentos
Crie uma condição com as propriedades do documento ao procurar documentos em sites do SharePoint e do OneDrive. A tabela a seguir lista as propriedades de documentos que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades do site que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.
| Condition | Descrição |
|---|---|
| Autor | O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original. |
| Título | O título do documento. A propriedade Title consiste em metadados que são especificados em documentos do Office. Ele é diferente do nome do arquivo do documento. |
| Criado em | A data em que um documento foi criado. |
| Última modificação | A data em que um documento foi alterado pela última vez. |
| Tipo de arquivo | A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. Essa propriedade é igual à propriedade de site FileExtension.
Nota: Se incluir uma condição Tipo de ficheiro utilizando o operador É Igual ou Igual a qualquer um dos operadores numa consulta de pesquisa, não pode utilizar uma pesquisa de prefixo (ao incluir o caráter universal ( * ) no final do tipo de ficheiro) para devolver todas as versões de um tipo de ficheiro. Se o fizer, o caráter universal é ignorado. Por exemplo, se incluir a condição |
Operadores usados com condições
Ao adicionar uma condição, você pode selecionar um operador que é relevante para o tipo de propriedade da condição. A tabela a seguir descreve os operadores que são usados com condições e lista o equivalente que é usado na consulta de pesquisa.
| Operador | Equivalente de consulta | Descrição |
|---|---|---|
| After | property>date |
Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados após a data especificada. |
| Before | property<date |
Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados antes da data especificada. |
| Between | date..date |
Use com condições de data e tamanho. Quando usado com uma condição de data, retorna itens que foram enviados, recebidos ou modificados no intervalo de datas especificado. Quando usado com uma condição de tamanho, retorna itens cujo tamanho está dentro do intervalo especificado. |
| Contains any of | (property:value) OR (property:value) |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que contêm qualquer parte de um ou mais valores da cadeia de caracteres especificada. |
| Doesn't contain any of | -property:value |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm qualquer parte do valor da cadeia de caracteres especificada. |
| Doesn't equal any of | -property=value |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm a cadeia de caracteres específica. |
| Igual a | size=value |
Retorna itens que são iguais ao tamanho especificado.1 |
| Igual a qualquer | (property=value) OR (property=value) |
Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Devolve itens que correspondem a um ou mais valores de cadeia especificados. |
| Maior | size>value |
Retorna itens em que a propriedade especificada é maior do que o valor especificado.1 |
| Greater or equal | size>=value |
Retorna itens em que a propriedade especificada é maior ou igual ao valor especificado.1 |
| Menos | size<value |
Retorna itens que são maiores ou iguais ao valor específico.1 |
| Less or equal | size<=value |
Retorna itens que são maiores ou iguais ao valor específico.1 |
| Not equal | size<>value |
Retorna itens que não são iguais ao tamanho especificado.1 |
Observação
1 Esse operador está disponível somente para condições que usam a propriedade Size.