Partilhar via

Saiba mais sobre o fluxo de trabalho de Descoberta Eletrônica (versão prévia)

  • Artigo

O fluxo de trabalho de Deteção de Dados Eletrónicos (pré-visualização) ajuda-o a identificar, investigar e tomar medidas mais rapidamente sobre informações armazenadas eletrónicas (ESI) na sua organização. Identificar e tomar medidas em itens ESI com Deteção de Dados Eletrónicos (pré-visualização) utiliza o seguinte fluxo de trabalho melhorado:

Diagrama do fluxo de trabalho de Deteção de Dados Eletrónicos.

Passo 1: Escalar do evento de acionador

Os eventos de acionador são atividades que são escaladas na sua organização e que pedem a criação de um novo caso na Deteção de Dados Eletrónicos (pré-visualização). Estes eventos podem ser pedidos de parceiros internos ou externos, eventos integrados associados a alertas noutras soluções do Microsoft Purview (por exemplo, casos de Gestão de Riscos Internos) ou qualquer outra atividade que possa beneficiar das ações de pesquisa, investigação e mitigação incluídas na Deteção de Dados Eletrónicos (pré-visualização).

Passo 2: Criar e gerir casos

Um caso na Deteção de Dados Eletrónicos (pré-visualização) contém todas as pesquisas, suspensões e conjuntos de revisão relacionados com uma investigação específica. Isto pode incluir responder a pedidos regulamentares, de investigação e de litígios. Também pode atribuir membros a um caso para controlar quem pode aceder ao caso e ver o conteúdo do caso. A Deteção de Dados Eletrónicos (pré-visualização) também suporta a integração da criação de novos casos com Gerenciamento de Risco Interno do Microsoft Purview casos.

Passo 3: procurar, avaliar resultados e refinar

Depois de criar um caso, utilize as ferramentas de pesquisa incorporadas na Deteção de Dados Eletrónicos (pré-visualização) para procurar as localizações de conteúdo na sua organização. Pode criar e executar diferentes pesquisas associadas ao caso. Utilize condições (como palavras-chave) para criar múltiplas consultas de pesquisa que devolvem resultados de pesquisa com os dados mais prováveis de serem relevantes para o caso. Você também pode:

  • Veja as estatísticas de pesquisa que podem ajudá-lo a refinar uma consulta de pesquisa para restringir os resultados.
  • Visualize os resultados da pesquisa para verificar rapidamente se os dados relevantes estão sendo encontrados.
  • Reveja as consultas e volte a executar pesquisas.

Passo 4a: ações dos resultados da pesquisa

  • Exportar resultados da pesquisa: depois de uma pesquisa num caso de Deteção de Dados Eletrónicos ser concluída com êxito, pode exportar os resultados da pesquisa. Ao exportar os resultados da pesquisa, os itens da caixa de correio são transferidos em ficheiros PST ou como mensagens individuais. Quando exporta conteúdo de sites do SharePoint e do OneDrive, são exportadas cópias de documentos nativos do Office e outros documentos.
  • Criar conjuntos de revisão: um conjunto de revisão é uma localização de Armazenamento do Azure segura fornecida pela Microsoft na cloud da Microsoft. Quando adiciona dados a um conjunto de revisão, os itens recolhidos são copiados da respetiva localização de conteúdo original para o conjunto de revisão. Os conjuntos de revisão fornecem um conjunto estático e conhecido de conteúdo que pode procurar, filtrar, etiquetar e analisar. Também pode controlar e comunicar que conteúdos são adicionados ao conjunto de revisões.

Passo 4b: Criar suspensões

Para preservar e proteger dados relevantes para uma investigação, pode colocar uma deteção de dados eletrónicos nas origens de dados associadas a um caso. As funcionalidades de Deteção de Dados Eletrónicos Premium também incluirão um fluxo de trabalho de comunicações incorporado em breve para que possa enviar notificações de suspensão aos utilizadores e controlar as suas confirmações.

Depois de criar um caso, pode colocar imediatamente uma suspensão nas localizações de conteúdo das pessoas de interesse na sua investigação. Também pode criar suspensões baseadas em consultas, se necessário. As localizações de conteúdo incluem caixas de correio do Exchange, sites do SharePoint, contas do OneDrive e caixas de correio e sites associados ao Microsoft Teams e Grupos do Microsoft 365. Embora a colocação de uma suspensão seja opcional, a criação de uma suspensão preserva o conteúdo que pode ser relevante para o caso durante a investigação.

Quando cria uma suspensão, pode preservar todo o conteúdo em localizações de conteúdo específicas ou pode criar uma suspensão baseada em consultas para preservar apenas o conteúdo que corresponde a uma consulta de suspensão. Além de preservar o conteúdo, outra boa razão para criar suspensões é procurar rapidamente as localizações de conteúdo em espera (em vez de ter de selecionar cada localização para procurar) quando criar e executar pesquisas no passo seguinte. Depois de concluir a investigação, pode libertar qualquer suspensão que tenha criado. Para obter mais informações, veja Gerir suspensões na Deteção de Dados Eletrónicos.

Passo 5: Rever e tomar medidas dos conjuntos de revisão

  • Procurar conteúdo: na maioria dos casos, é útil aprofundar o conteúdo num conjunto de revisões e organizá-lo para facilitar uma revisão mais eficiente. A utilização de filtros e consultas num conjunto de revisões ajuda-o a concentrar-se num subconjunto de documentos que cumprem os critérios da sua revisão.
  • Executar análise: a Deteção de Dados Eletrónicos fornece uma ferramenta de análise integrada que o ajuda a eliminar ainda mais os dados do conjunto de revisões que determina que não são relevantes para a investigação. Além de reduzir o volume de dados relevantes, a Deteção de Dados Eletrónicos também o ajuda a reduzir os custos de revisão legal, permitindo-lhe organizar conteúdos para tornar o processo de revisão mais fácil e eficiente. Para obter mais informações, veja Analisar dados num conjunto de revisão na Deteção de Dados Eletrónicos.
  • Itens de etiqueta: organizar conteúdo num conjunto de revisão é importante para concluir vários fluxos de trabalho no processo de Deteção de Dados Eletrónicos. Esta organização inclui frequentemente a identificação de conteúdos relevantes, o abate de conteúdos desnecessários e a identificação de conteúdos que têm de ser revistos por um especialista ou advogado. Quando os responsáveis pela conformidade, funcionários ou outros usuários revisam o conteúdo em um conjunto de revisão, suas opiniões relacionadas ao conteúdo podem ser capturadas usando marcas. As etiquetas fornecem itens de estrutura e organização incluídos numa investigação. Para obter mais informações, veja Etiquetar documentos num conjunto de revisões na Deteção de Dados Eletrónicos.
  • Criar um Relatório de consulta (pré-visualização): gerar e transferir um relatório consolidado em várias consultas para um conjunto de revisão. Este relatório permite-lhe ver rapidamente a contagem total e o volume de itens filtrados numa determinada pesquisa palavra-chave ou várias consultas KeyQL compostas.
  • Adicionar itens do conjunto de revisões a outro conjunto de revisões: em alguns casos, poderá ser necessário selecionar documentos de um conjunto de revisão e trabalhar com os mesmos individualmente noutro conjunto de revisão.
  • Exportar itens: depois de procurar e encontrar dados relevantes para a sua investigação, pode exportá-lo para fora da sua organização do Microsoft 365 para revisão por pessoas fora da equipa de investigação. Além dos arquivos de dados exportados, o pacote de exportação contém um relatório de exportação, um relatório de resumo e um relatório de erro. Para obter mais informações, veja Exportar documentos de um conjunto de revisões na Deteção de Dados Eletrónicos.

Componentes do fluxo de trabalho

Casos

Um caso contém todas as pesquisas, retenções e conjuntos de revisão relacionados com uma investigação específica. Isto pode incluir responder a pedidos regulamentares, de investigação e de litígios. Também pode atribuir membros a um caso para controlar quem pode aceder ao caso e ver o conteúdo do caso. A Deteção de Dados Eletrónicos (pré-visualização) também suporta a integração da criação de novos casos com Gerenciamento de Risco Interno do Microsoft Purview casos.

Fontes de dados

As origens de dados definem onde as pesquisas são efetuadas e onde as retenções podem ser aplicadas. As origens de dados organizam localizações de dados numa estrutura de árvore hierárquica com dois níveis. Por exemplo, para um utilizador ou grupo, o utilizador ou grupo seria o nível superior e as caixas de correio, sites do OneDrive e outros sites seriam o segundo nível, uma vez que se relacionam com o utilizador ou grupo. Para um grupo do Microsoft Teams, o segundo nível consistiria na caixa de correio do grupo, site de grupo, canais/sites partilhados, canais/sites privados e outros canais ou sites relacionados com o grupo teams.

As origens de dados na Deteção de Dados Eletrónicos (pré-visualização) estão divididas em três grupos separados:

  • Utilizadores: os utilizadores são pessoas na sua organização com contas do Microsoft 365 e incluem qualquer caixa de correio, site do OneDrive ou quaisquer outros sites associados ao utilizador individual.

  • Grupos: Grupos incluem caixas de correio de grupo, sites de grupo e sites partilhados e privados do Teams e sharePoint ou canais.

  • Origens ao nível da organização: as origens ao nível da organização incluem:

    • Todas as pessoas e grupos: inclui todos os utilizadores e todos os grupos na sua organização.
    • Todas as pastas públicas: inclui todo o conteúdo em caixas de correio de pastas públicas do Exchange.

Pode procurar origens de dados ou localizações de dados específicas através de entradas como o nome de um utilizador ou grupo, o endereço SMTP da caixa de correio e o URL do site do OneDrive ou do SharePoint. Quando a pesquisa é criada com origens de dados específicas, apenas as localizações especificadas na origem de dados são pesquisadas. Se for utilizada a origem de toda a organização Todas as pessoas e grupos , a pesquisa abrange todas as caixas de correio do Exchange, o OneDrive e os sites do SharePoint.

A sincronização de origens de dados em tempo real ajuda a garantir que está sempre informado sobre as alterações mais recentes nas localizações de dados associadas a utilizadores e grupos. Pode consultar se são adicionadas origens de dados específicas a uma pesquisa, se uma suspensão tiver localizações de dados recentemente aprovisionadas ou se as localizações de dados forem removidas. Por exemplo, se for criado um canal privado para um grupo do Teams, a funcionalidade de sincronização no painel de origem de dados alerta-o sobre a nova localização, permitindo-lhe incluí-la de forma rápida e fácil nas pesquisas ou retenções. Isto garante que os novos dados não passam despercebidos e são incluídos nas suas investigações. Isto também ajuda a evitar potenciais perdas de dados de alterações de localização.

Colaboradores frequentes

Ao selecionar pessoas como origem de dados para pesquisas, pode encontrar rapidamente outros utilizadores que colaboram frequentemente com o utilizador selecionado. Os colaboradores frequentes são os dez principais utilizadores mais relevantes para o utilizador selecionado e pode selecionar as caixas de correio e os sites para estes utilizadores como origens de dados para pesquisas.

Exportações e transferências

Depois de uma pesquisa associada a um caso de Deteção de Dados Eletrónicos (pré-visualização) ser executada com êxito, pode exportar os resultados da pesquisa. Ao exportar os resultados da pesquisa, os itens da caixa de correio são transferidos em ficheiros PST ou como mensagens individuais. Quando exporta conteúdo de sites do SharePoint e do OneDrive, são exportadas cópias de documentos nativos do Office e outros documentos.

Se adicionou os resultados da pesquisa a um conjunto de revisões de um caso, também pode exportar o conteúdo do conjunto de revisões para um pacote de transferência. Este pacote é configurável e inclui opções para exportar apenas documentos selecionados, todos os documentos filtrados ou todos os documentos no conjunto de revisão.

Mantém e mantém políticas

Pode utilizar um caso de Deteção de Dados Eletrónicos (pré-visualização) para criar políticas de suspensão para preservar conteúdos que possam ser relevantes para a investigação com uma suspensão de Deteção de Dados Eletrónicos. Pode colocar uma suspensão nas caixas de correio do Exchange e nas contas do OneDrive das pessoas que está a investigar no caso. Também pode colocar uma suspensão nas caixas de correio e sites associados ao Microsoft Teams, grupos do Microsoft 365 e Viva Engage Grupos. Quando coloca as localizações de conteúdo em suspensão, o conteúdo é preservado até remover a localização do conteúdo da suspensão ou até eliminar a suspensão.

Se necessário, também pode colocar uma caixa de correio em Suspensão de Litígios para preservar todo o conteúdo da caixa de correio, incluindo itens eliminados e versões originais de itens modificados. Ao colocar uma caixa de correio em Retenção de Litígio, a caixa de correio de arquivo morto do usuário (se habilitada) também é colocada em retenção.

Permissões

Se quiser que as pessoas utilizem qualquer uma das funcionalidades relacionadas com a Deteção de Dados Eletrónicos no portal do Microsoft Purview, tem de lhes atribuir as permissões adequadas. A forma mais fácil de atribuir funções é adicionar à pessoa o grupo de funções adequado na página Grupos de funções no portal do Microsoft Purview.

Dica

Pode ver as suas próprias permissões na página de descrição geral da Deteção de Dados Eletrónicos (pré-visualização) no portal do Microsoft Purview. Tem de ter, pelo menos, uma função atribuída para que as suas permissões sejam apresentadas.

Processos

A Deteção de Dados Eletrónicos (pré-visualização) inclui um relatório de Processo que lista todas as atividades que contam para a simultaneidade de casos e limites diários na Deteção de Dados Eletrónicos durante um período de tempo definido. Os processos em eDsicovery (pré-visualização) são atividades associadas a tarefas específicas que suportam casos, pesquisas e conjuntos de revisão. Os processos são acionados por ações do utilizador ao utilizar estes componentes.

Os administradores de Deteção de Dados Eletrónicos e os Gestores de Deteção de Dados Eletrónicos (pré-visualização) podem aceder a este relatório. Os gestores de processos ajudam-no a ver informações que são automaticamente confinadas a casos, pesquisas, conjuntos de revisão e retenções.

Conjuntos de revisão

Um conjunto de revisão é uma localização segura do Armazenamento do Azure fornecida pela Microsoft na cloud da Microsoft. Quando adiciona dados a um conjunto de revisão, os itens recolhidos são copiados da respetiva localização de conteúdo original para o conjunto de revisão. Os conjuntos de revisão fornecem um conjunto estático e conhecido de conteúdo que pode pesquisar, filtrar, etiquetar, analisar e prever a relevância com modelos de codificação preditiva. Também pode controlar e comunicar que conteúdos são adicionados ao conjunto de revisões.

Pesquisas

Utilize a pesquisa para localizar rapidamente conteúdo relevante para um caso. Isto inclui e-mail em caixas de correio do Exchange, documentos em sites do SharePoint e localizações do OneDrive e conversações por mensagens instantâneas no Skype for Business. Pode utilizar as ferramentas de pesquisa para procurar e-mail, documentos e conversações de mensagens instantâneas em ferramentas de colaboração, como o Microsoft Teams e Grupos do Microsoft 365.

Pode criar e executar diferentes pesquisas associadas ao caso. Pode utilizar condições (como palavras-chave) para criar consultas de pesquisa que devolvem resultados de pesquisa com os dados mais prováveis de serem relevantes para o caso.

Você também pode:

  • Veja estatísticas de pesquisa e itens de exemplo que podem ajudá-lo a refinar uma consulta de pesquisa para restringir os resultados.
  • Visualize os resultados da pesquisa para verificar rapidamente se os dados relevantes estão sendo encontrados.
  • Revise uma consulta e execute novamente a pesquisa.
  • Exporte os resultados da pesquisa ou adicione os resultados da pesquisa a um conjunto de revisões.

Amostra de pesquisa

Os exemplos de uma pesquisa fornecem uma amostra representativa dos itens devolvidos pelos critérios de pesquisa definidos. Ver detalhes sobre itens individuais pode ajudá-lo a determinar se a pesquisa precisa de ser refinada ou se os itens representativos suportam a adição dos resultados da pesquisa a um conjunto de revisões ou a um ficheiro de exportação.

Estatísticas de pesquisa

As estatísticas de uma pesquisa fornecem informações sobre o volume de dados, as localizações de conteúdo que contêm resultados, o número de acessos para a condição de consulta de pesquisa e muito mais. Estas informações podem ajudar a informar se a pesquisa deve ser revista para restringir ou expandir o âmbito da pesquisa antes de avançar nas fases de revisão e análise no fluxo de trabalho de Deteção de Dados Eletrónicos.

Eventos de acionador

Os eventos de acionador são atividades que são escaladas na sua organização e que pedem a criação de um novo caso na Deteção de Dados Eletrónicos (pré-visualização). Estes eventos podem ser pedidos de parceiros internos ou externos, eventos integrados associados a alertas noutras soluções do Microsoft Purview (por exemplo, casos de Gestão de Riscos Internos) ou qualquer outra atividade que possa beneficiar das ações de pesquisa, investigação e mitigação incluídas na Deteção de Dados Eletrónicos (pré-visualização).

Pronto para começar?