Partilhar via

Criar uma consulta de pesquisa para um caso na Deteção de Dados Eletrónicos (pré-visualização)

  • Artigo

Pode utilizar a pesquisa na Deteção de Dados Eletrónicos (pré-visualização) para procurar conteúdos no local, como e-mail, documentos e conversações de mensagens instantâneas na sua organização que sejam relevantes para um caso. Utilize a pesquisa para localizar conteúdos nestas origens de dados do Microsoft 365 baseadas na cloud:

  • Caixas de correio do Exchange Online.
  • Sites do SharePoint
  • Contas OneDrive
  • Microsoft Teams
  • Grupos do Microsoft 365
  • Viva Engage Grupos

Pode criar e executar diferentes pesquisas associadas ao caso. Pode utilizar condições (como palavras-chave) para criar consultas de pesquisa que devolvem resultados de pesquisa com os dados mais prováveis de serem relevantes para o caso. Você também pode:

  • Veja as estatísticas de pesquisa que podem ajudá-lo a refinar uma consulta de pesquisa para restringir os resultados.
  • Visualize os resultados da pesquisa para verificar rapidamente se os dados relevantes estão sendo encontrados.
  • Revise uma consulta e execute novamente a pesquisa.

Depois de procurar e encontrar dados relevantes para a sua investigação, pode enviar os resultados para um conjunto de revisão para uma investigação mais aprofundada ou exportá-lo para revisão por pessoas fora da equipa de investigação.

Observação

Para organizações que tenham requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE para proteger e ativar os direitos de privacidade das pessoas dentro da União Europeia (UE), também pode gerir investigações em resposta a pedidos de titulares de dados (DSRs) submetidos por uma pessoa na sua organização. A ferramenta de casos de Pesquisa de Dados do Utilizador foi descontinuada e a respetiva funcionalidade foi intercalada com a Deteção de Dados Eletrónicos (pré-visualização). Agora, pode utilizar a pesquisa para encontrar conteúdo para suportar DSRs em todas as localizações suportadas por pesquisas de Deteção de Dados Eletrónicos.

Dica

Comece a utilizar o Microsoft Copilot para a Segurança para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.

Sugestões de pesquisa

  • O fuso horário de todas as pesquisas é Hora Universal Coordenada (UTC). A alteração de fusos horários para a sua organização não é atualmente suportada. As definições de visualização do fuso horário na vista de pesquisa são apenas aplicáveis para valores na coluna Dados e não afetam os carimbos de data/hora nos itens recolhidos.
  • As pesquisas de palavras-chave não são sensíveis a maiúsculas e minúsculas. Por exemplo, gato e GATO retornam os mesmos resultados.
  • Os operadores boolianos AND, OR, NOT e NEAR devem estar em maiúsculas.
  • A utilização de aspas interrompe os cartões universais e quaisquer operações dentro das aspas.
  • Um espaço entre duas palavras-chave ou duas property:value expressões é o mesmo que utilizar OU. Por exemplo, from:"Sara Davis" subject:reorganization devolve todas as mensagens enviadas por Sara Davis ou mensagens que contêm a palavra reorganização no assunto da mensagem. No entanto, a utilização de uma combinação de espaços e condicionais OR numa única consulta pode levar a resultados inesperados. Recomendamos que utilize espaços ou OU numa única consulta.
  • Use uma sintaxe que corresponda ao formato de property:value. Os valores não são sensíveis a maiúsculas e minúsculas e não podem ter um espaço a seguir ao operador. Se existir um espaço, o valor pretendido é uma pesquisa em texto completo. Por exemploto: pilarp, procura "pilarp" como palavra-chave, em vez de mensagens enviadas para pilarp.
  • Ao pesquisar uma propriedade de destinatário, como To, From, Cc ou Recipients, você pode usar um endereço SMTP, um alias ou um nome de exibição para indicar um destinatário. Por exemplo, pode utilizar pilarp@contoso.com, pilarp ou "Pilar Pinilla".
  • Só pode utilizar pesquisas de prefixos; por exemplo, gato* ou conjunto*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e pesquisas de subcadeia de caracteres (*cat*).
  • Ao pesquisar uma propriedade, use aspas duplas (" ") se o valor de pesquisa consistir em várias palavras. Por exemplo, subject:budget Q1 devolve mensagens que contêm orçamento na linha de assunto e que contêm Q1 em qualquer parte da mensagem ou em qualquer uma das propriedades da mensagem. O uso de subject:"budget Q1" retorna todas as mensagens que contêm orçamento T1 em qualquer lugar na linha de assunto.
  • Para excluir o conteúdo marcado com determinado valor de propriedade dos resultados de pesquisa, coloque um sinal de subtração (-) antes do nome da propriedade. Por exemplo, -from:"Sara Davis" exclui todas as mensagens enviadas por Sara Melo.
  • Você pode exportar itens com base no tipo de mensagem. Por exemplo, para exportar conversas e chats do Skype no Microsoft Teams, use a sintaxe kind:im. Para retornar apenas mensagens de email, você usaria kind:email. Para retornar chats, reuniões e chamadas no Microsoft Teams, use kind:microsoftteams.
  • Ao procurar sites, tem de adicionar o à direita / ao final do URL ao utilizar a path propriedade para devolver apenas itens num site especificado. Se não incluir os itens à direita /, também serão devolvidos itens de um site com um nome de caminho semelhante. Por exemplo, se utilizar path:sites/HelloWorld itens de sites com o nome sites/HelloWorld_East ou sites/HelloWorld_West que também seriam devolvidos. Para devolver itens apenas do site HelloWorld, tem de utilizar path:sites/HelloWorld/.
  • A linguagem/região da consulta tem de ser definida na consulta de pesquisa antes de recolher conteúdo.
  • Ao procurar e-mails nas pastas Enviadas , a utilização do endereço SMTP do remetente não é suportada. Os itens na pasta Enviados contêm apenas nomes a apresentar.

Criar uma consulta de pesquisa

Dica

Prefere uma experiência de guia de configuração interativa? Consulte o guia Estruturar uma pesquisa .

Depois de criar um novo caso, será automaticamente direcionado para o separador Pesquisas no caso e estará pronto para criar uma pesquisa para o caso. As pesquisas ajudam-no a encontrar os itens que pretende recolher para o caso.

  1. Selecione Criar uma pesquisa. Se este for um caso novo sem pesquisas anteriores, também pode selecionar Criar uma pesquisa no painel main em Começar a procurar dados relevantes.

  2. Na página Introduzir detalhes para começar , preencha os seguintes campos:

    • Nome da pesquisa: atribua um nome à pesquisa (obrigatório). O nome da pesquisa tem de ser exclusivo na sua organização
    • Descrição da pesquisa: adicione uma descrição opcional para ajudar outras pessoas a compreender esta pesquisa.

  3. Selecione Criar para criar a nova pesquisa e inicie as suas consultas para encontrar dados relevantes para o caso.

  4. No separador Consulta na pesquisa, adicione origens de dados para a sua pesquisa

  5. Selecione Adicionar origens de dados.

  6. No painel de lista de opções Gerir origens de dados , irá adicionar ou remover origens de dados para a consulta de pesquisa. Pode escolher um ou mais utilizadores, grupos e localizações da organização.

    • Introduza as localizações específicas de utilizadores, grupos ou organizações que pretende adicionar no campo de pesquisa.
    • Selecione o menu de reticências para os utilizadores apresentarem os dez principais Colaboradores frequentes e selecionar caixas de correio e sites associados para estes utilizadores.
    • Para executar uma pesquisa em toda a organização, pode optar por adicionar todos os utilizadores, grupos ou localizações da organização. Pode selecionar Todas as pessoas e grupos, Todas as aplicações e Todas as pastas públicas , se aplicável nas opções do campo de pesquisa.

  7. Selecione Salvar. Acabou de definir o âmbito das origens de dados que as consultas de pesquisa examinam.

  8. Para definir os parâmetros da consulta de pesquisa, pode escolher entre as seguintes opções no separador Consulta :

    • Construtor de condições: a opção construtor de condições na pesquisa fornece uma experiência de filtragem visual quando cria consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização). Para obter informações detalhadas sobre a criação de consultas de pesquisa com a opção de construtor de condições, veja Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização).

    • Keyword Query Language (KeyQL): a opção de consulta linguagem KQL (Keyword Query Language) na pesquisa fornece orientações e permite-lhe colar rapidamente consultas longas e complexas diretamente no editor. Também o ajuda a criar consultas de pesquisa do zero, identifica potenciais erros e apresenta sugestões sobre como resolve problemas. Para obter informações detalhadas sobre a criação de consultas de pesquisa com a opção KeyQL, consulte Utilizar Linguagem de Consulta de Palavras-chave para criar consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização).

      Também pode criar rapidamente consultas KeyQL para a sua pesquisa com o Microsoft Copilot de Segurança. Para obter orientações, veja a secção seguinte neste artigo.

    • Procurar por ficheiro: carregue um ou mais ficheiros para encontrar conteúdo relacionado ou semelhante para um caso específico. Utilize a atividade de auditoria csv para localizar mensagens e ficheiros relacionados para um utilizador específico dentro de um período de tempo específico. Em alternativa, forneça provas de exemplo para encontrar conteúdos semelhantes. Cada ficheiro tem um tamanho de ficheiro máximo de 10 MB e os ficheiros podem ser csv ou txt. As opções de criação de consultas e KQL são desativadas ao procurar por ficheiro.

  9. Selecione Executar consulta. Se quiser guardar os parâmetros de consulta que definiu e executar a consulta mais tarde, selecione Guardar como rascunho.

Criar uma consulta de pesquisa keyQL com Microsoft Copilot (pré-visualização)

A opção de construtor keyQL de Consulta de Linguagem Natural (pré-visualização) na pesquisa permite-lhe utilizar linguagem natural e Microsoft Copilot para a Segurança para gerar rapidamente uma instrução keyword query language (KeyQL). Utilize o construtor para construir consultas complexas com funcionalidades adicionais, incluindo AND, OR e agrupamento de condições, tudo ao utilizar pedidos de linguagem natural.

Esta funcionalidade ajuda-o a criar consultas mais facilmente através de pedidos predefinidos para cenários de exemplo e permite-lhe refinar e melhorar pedidos personalizados para consultas de pesquisa mais precisas. Também pode optar por utilizar sugestões de pedidos como ponto de partida para criar e refinar consultas KeyQL para cenários de pesquisa comuns ou personalizados.

Para criar uma consulta de pesquisa com o Copilot, conclua os seguintes passos:

  1. Depois de selecionar origens de dados para a consulta, selecione Redigir uma consulta com o Copilot.
  2. No painel de aviso Linguagem natural , escolha uma das seguintes opções:
    • Introduza a sua pergunta de consulta de pesquisa. Pode incluir o utilizador, a origem de dados e outros detalhes de conteúdo, conforme aplicável.
    • Selecione Ver pedidos para selecionar uma das seguintes sugestões de pedido:
      • Localizar todos os e-mails com as palavras orçamento e finanças e ter anexos
      • Procurar todas as conversas no mês de janeiro de 2020 que contenham a palavra "ano financeiro"
      • Procurar ficheiros do tipo .docx que contenham as palavras confidencial e orçamento
  3. Reveja o pedido de linguagem natural. Para refinar o pedido com Copilot, selecione Refinar.
  4. Quando o pedido for finalizado, selecione Gerar KeyQL.
  5. Reveja a consulta KeyQL no painel de resultados Keyword Query Language (KeyQL ). Se precisar de refinar os resultados da consulta KeyQL, pode atualizar o pedido no painel de aviso Linguagem natural e selecionar Gerar KeyQL novamente. 1. Quando os resultados do KeyQL estiverem finalizados, selecione Copiar KeyQL.
  6. Cole os resultados do KeyQL no campo de consulta no separador Linguagem de consulta de palavra-chave (KeyQL ). Pode fechar o Draft de uma consulta com o Copilot.
  7. Selecione Executar consulta. Se quiser guardar os parâmetros de consulta que definiu e executar a consulta mais tarde, selecione Guardar como rascunho.

Executar uma consulta de pesquisa

Depois de criar manualmente uma consulta de pesquisa ou utilizar Microsoft Copilot para Segurança, está pronto para executar a consulta e gerar resultados de pesquisa.

Para executar uma consulta de pesquisa, conclua os seguintes passos:

  1. Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador com permissões de Deteção de Dados Eletrónicos atribuídas.

  2. Selecione a solução de Deteção de Dados Eletrónicos card e, em seguida, selecione Casos (pré-visualização) no painel de navegação esquerdo.

  3. Selecione um processo. No separador Pesquisas , selecione uma pesquisa guardada.

  4. Selecione Executar consulta.

  5. Depois de selecionar Executar consulta, verá o painel de lista de opções Formatar resultados da consulta . Escolha a vista que pretende gerar para a consulta e as respetivas definições. Pode escolher a vista Estatísticas ou Exemplo :

    • Estatísticas: esta vista gera um resumo das estimativas de dados recolhidas dispostas pelos principais indicadores. Escolha uma ou mais das seguintes opções:

      • Incluir categorias: refine a sua vista para incluir pessoas, tipos de informações confidenciais, tipos de itens e erros.

      • Incluir relatório de palavras-chave de consulta: Avaliar palavra-chave relevância para diferentes partes da consulta de pesquisa/

      • Investigar itens parcialmente indexados: os itens parcialmente indexados normalmente representam cerca de 1% do conteúdo nas origens de dados por contagem. Selecionar esta opção (e apenas esta opção), gera informações de resumo (contagem de itens e localização) sobre itens parcialmente indexados incluídos nas origens de dados selecionadas para a pesquisa. Não são reindexados ou processados itens parcialmente indexados. Para continuar a processar itens parcialmente indexados em origens de dados no âmbito, considere as seguintes opções avançadas de indexação:

        • Excluir itens parcialmente indexados em localizações sem resultados de pesquisa: escolher esta opção adicional reduz o âmbito dos itens parcialmente indexados (ou da indexação avançada se essa opção estiver selecionada) ao limitar a inclusão de itens parcialmente indexados apenas das origens de dados que incluem itens relevantes para a sua pesquisa. Isto exclui itens parcialmente indexados de origens de dados que não incluem itens relevantes para a sua pesquisa.

          Por exemplo, selecionou várias caixas de correio, sites do SharePoint e sites do OneDrive como origens de dados para a sua pesquisa. Quando a pesquisa é executada, apenas algumas das caixas de correio e sites têm itens indexados relevantes para as condições de pesquisa, as restantes caixas de correio e sites não contêm itens indexados nativamente relevantes para as suas condições de pesquisa. Se tiver selecionado esta opção, os itens parcialmente indexados nas caixas de correio e nos sites que contêm itens indexados nativamente relevantes para a pesquisa são incluídos nos resultados das estatísticas de pesquisa. Os itens parcialmente indexados nas caixas de correio e nos sites que não contêm itens indexados nativamente relevantes para a pesquisa são ignorados e não são comunicados nos resultados das estatísticas de pesquisa.

        • Executar a indexação avançada em itens parcialmente indexados: o âmbito de onde a indexação avançada é executada depende se tiver selecionado a opção Excluir itens parcialmente indexados em localizações sem resultados de pesquisa . O processo de indexação avançado executa uma amostra de estatística de itens parcialmente indexados no âmbito e determina se estes itens correspondem ou não à consulta:

          • Selecionado com a opção Excluir itens parcialmente indexados em localizações sem resultados de pesquisa : isto aplica-se apenas a itens parcialmente indexados a origens de dados com itens totalmente indexados que correspondam à consulta de pesquisa. Estes itens são amostrados, indexados e os itens correspondentes à consulta de pesquisa são apresentados nas estatísticas de pesquisa (conforme aplicável).
          • Selecionado sem a opção Excluir itens parcialmente indexados em localizações sem resultados de pesquisa : isto aplica-se a todos os itens parcialmente indexados em todas as origens de dados incluídas na pesquisa. Todos os itens são amostrados, indexados e os itens correspondentes à consulta de pesquisa são apresentados nas estatísticas de pesquisa (conforme aplicável).

    • Exemplo: esta vista gera uma seleção representativa dos resultados completos da pesquisa. Defina os parâmetros para as seguintes opções:

      • Selecione o número de itens de exemplo a gerar por localização: escolha 1, 10 ou 100.
      • Selecione o número de localizações a partir das quais obter exemplos: selecione10, 100, 1000 ou 10000.

  6. Selecione Executar consulta para executar imediatamente a consulta.

Consoante as opções de vista de consulta que selecionou, será automaticamente direcionado para o separador Estatísticas ou Exemplo . A avaliação da consulta de pesquisa é iniciada e o tempo restante para processar a consulta é calculado. Para obter mais informações sobre a avaliação e otimização dos resultados da pesquisa, consulte Rever e avaliar os resultados da pesquisa.