Поделиться через

Создание поиска дела в eDiscovery

Используйте поиск в eDiscovery, чтобы найти содержимое на месте, например электронную почту, документы и беседы с мгновенными сообщениями в вашей организации, которое относится к делу. Используйте поиск, чтобы найти содержимое в этих облачных источниках данных Microsoft 365:

  • Почтовых ящиках Exchange Online.
  • Сайты SharePoint
  • Учетные записи OneDrive
  • Microsoft Teams
  • Группы Microsoft 365
  • Viva Engage

Вы можете создавать и выполнять различные поисковые запросы, связанные с делом. Используйте условия, например ключевые слова, для создания поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к данному случаю. Кроме того, у вас есть следующие возможности.

  • Просмотр статистики поиска, которая может помочь вам уточнить поисковый запрос, чтобы сузить результаты.
  • Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
  • Изменять запрос и повторять поиск.

После поиска и поиска данных, относящихся к вашему расследованию, вы можете отправить результаты в набор проверки для дальнейшего исследования или экспортировать их для проверки людьми, не входящими в группу по расследованию.

Примечание.

Для организаций, у которых есть требования Общего регламента ЕС по защите данных (GDPR) для защиты и предоставления прав физических лиц на конфиденциальность внутри Европейского союза (ЕС), вы также можете управлять расследованиями в ответ на запросы субъектов данных (DSR), отправленные сотрудником вашей организации. Средство поиска пользовательских данных прекращено, и его функции объединяются с обнаружением электронных данных. Теперь вы можете использовать поиск для поиска содержимого для поддержки dsR во всех расположениях, поддерживаемых поиском eDiscovery.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Советы по поиску

  • Часовой пояс для всех поисковых запросов — utc. Вы не можете изменить часовой пояс для своей организации. Параметры отображения часового пояса в представлении поиска применяются только к значениям в столбце Данные и не влияют на метки времени для собранных элементов.

  • Поиск по ключевым словам не учитывает регистр. Например, результаты поиска по словам кот и КОТ будут одинаковыми.

  • Логические операторы AND, OR, NOT и NEAR должны быть прописаны в верхнем регистре.

    Важно!

    Используйте эти операторы в поле условия KeyQL. Поиск не поддерживает эти операторы в поле Условия ключевого слова . Поиск обрабатывает эти операторы как литеральные ключевые слова.

  • Использование кавычек останавливает подстановочные знаки и любые операции внутри кавычек.

  • Пространство между двумя ключевыми словами или двумя property:value выражениями такое же, как и при использовании ИЛИ. Например, возвращает все сообщения, from:"Sara Davis" subject:reorganization отправленные Сарой Дэвис, или сообщения, содержащие слово "реорганизация" в строке темы. Однако использование сочетания пробелов и условий OR в одном запросе может привести к непредвиденным результатам. Используйте пробелы или ИЛИ в одном запросе.

  • Используйте синтаксис, соответствующий формату property:value . Значения не чувствительны к регистру и не могут содержать пробел после оператора. Если есть пробел, предполагаемое значение — это полнотекстовый поиск. Например, to: pilarp выполняет поиск "pilarp" в качестве ключевое слово, а не сообщений, отправляемых в pilarp.

  • При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно использовать pilarp@contoso.com, pilarp или "Pilar Pinilla".

  • Можно использовать только поиск префиксов; например, cat* или set*. Поиск суффиксов (*cat), поиск infix (c*t) и поиск подстроки (*cat*) не поддерживаются.

  • Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например, возвращает сообщения, subject:budget Q1 содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. С помощью subject:"budget Q1" возвращаются все сообщения, содержащие бюджетный квартал 1 в любом месте в строке темы.

  • Чтобы исключить из результатов поиска контент с определенным значением свойства, поставьте знак минус (-) перед именем свойства. Например, исключает все сообщения, -from:"Sara Davis" отправленные Сара Дэвис.

  • Элементы можно экспортировать в зависимости от типа сообщения. Например, чтобы экспортировать беседы и чаты Skype в Microsoft Teams, используйте синтаксис kind:im. Чтобы вернуть только сообщения электронной почты, используйте kind:email. Чтобы вернуть чаты, собрания и звонки в Microsoft Teams, используйте .kind:microsoftteams

  • При поиске сайтов необходимо добавить конечный / конец URL-адреса при использовании path свойства для возврата только элементов на указанном сайте. Если не включить конечный /элемент , также возвращаются элементы с сайта с похожим именем пути. Например, если вы используете path:sites/HelloWorld , то элементы из сайтов с именем sites/HelloWorld_East или sites/HelloWorld_West также возвращаются. Чтобы вернуть элементы только с сайта HelloWorld, необходимо использовать path:sites/HelloWorld/.

  • Вы можете определить язык или регион запроса в поисковом запросе перед сбором содержимого. Язык запросов, который является китайским, японским или корейским, может требовать особого обращения, например разбиения фразы или предложения на отдельные слова или символы для более точных результатов теста. Дополнительные сведения см. в статье Поддержка двухбайтовых символов в обнаружении электронных данных.

  • При поиске отправленных папок для сообщений электронной почты поиск не поддерживает использование SMTP-адреса для отправителя. Элементы в папке Отправленные содержат только отображаемые имена.

Создание поискового запроса

Совет

Предпочитаете ли вы интерактивное руководство по настройке? Ознакомьтесь с руководством по проектированию поиска .

При создании нового дела вы автоматически будете перенаправлены на вкладку Поиск в данном случае и готовы создать поиск по делу. Вы также можете создать новый поиск в случае поиска контента в вашей организации. Поиск помогает найти элементы, которые вы хотите собрать для дела.

  1. Выберите Создать поиск по делу или Вариант поиска контента. Если в этом новом случае нет предыдущих поисковых запросов, вы также можете выбрать Создать поиск в главной области в разделе Начать поиск соответствующих данных.

  2. На странице Ввод сведений для начала работы заполните следующие поля:

    • Имя поиска: присвойте поиску имя (обязательно). Имя поиска должно быть уникальным в вашей организации.
    • Описание поиска. Добавьте необязательное описание, чтобы помочь другим понять этот поиск.

  3. Выберите Создать , чтобы создать новый поиск и запустить запросы, чтобы найти соответствующие данные для дела.

  4. На вкладке Запрос в поиске добавьте источники данных для поиска. Пошаговые инструкции по добавлению источников данных в поисковый запрос см. в статье Источники данных в обнаружении электронных данных.

  5. Выберите Управление , чтобы обновить почтовый ящик или сайт, связанные с выбранными источниками. В противном случае выберите Сохранить и закрыть.

  6. Проверьте выбранные параметры и подтвердите включенные ресурсы для каждого источника данных. Выберите Сохранить. Область источников данных, которые проверяют поисковые запросы.

  7. В разделе Источники данных выберите меню с многоточием для любого источника данных для параметров управления для источника данных.

    Для параметров управления выберите один из следующих вариантов:

    • Управление источником данных. Управление источниками данных для выбранного пользователя или сайта.
    • Отключить почтовые ящики. Отключите почтовые ящики для выбранного пользователя или сайта. Снова выберите этот параметр, чтобы включить почтовый ящик для пользователя или сайта.
    • Отключить сайты. Отключите сайт для выбранного пользователя или сайта. Выберите этот параметр еще раз, чтобы включить сайт для пользователя или сайта.
    • Частые участники совместной работы. Выберите связанные почтовые ящики и сайты для пользователей, которые часто сотрудничают с выбранным пользователем.
    • Диспетчер. Выберите связанные почтовые ящики и сайты руководителя пользователя.
    • Прямые отчеты. Выберите связанные почтовые ящики и сайты прямых отчетов пользователя.
    • Группы, принадлежащие пользователю. Выберите связанные почтовые ящики и сайты групп, владельцем которых является пользователь.
    • Группы, в которых находится пользователь: выберите связанные почтовые ящики и сайты групп, членом которых является пользователь.

    Для источников групп выберите один из следующих вариантов:

    • Участники. Выберите связанные почтовые ящики и сайты пользователей, являющихся членами группы.

  8. Используйте элементы управления командной строки "Источники данных" для добавления, обновления, синхронизации и поиска других источников данных для поиска по мере необходимости.

    • Поиск и добавление: щелкните значок +, чтобы добавить источники данных.
    • Управление. Щелкните значок карандаша для управления назначенными источниками данных.
    • Синхронизация. Щелкните значок синхронизации, чтобы синхронизировать источники данных и обновить источники данных с самыми последними источниками данных в вашей организации.
    • Поиск: щелкните значок поиска для поиска источников данных, включенных в поисковый запрос.

  9. Чтобы определить параметры поискового запроса, выберите один из следующих параметров на вкладке Запрос :

    • Построитель условий. Параметр построителя условий в поиске обеспечивает простой для пользователя интерфейс поиска при создании поисковых запросов в eDiscovery. Используйте ключевые слова или пользовательские условия, чтобы сосредоточиться на область поисковых запросов. Кроме того, в поиске можно использовать параметр условия запроса язык KeyQL (KeyQL), который предоставляет рекомендации и позволяет быстро вставлять длинные сложные запросы непосредственно в редактор. Он также помогает создавать поисковые запросы с нуля, выявляет потенциальные ошибки и отображает подсказки по устранению проблем.

      Вы также можете быстро создавать KeyQL запросы для поиска с помощью Microsoft Security Copilot. Инструкции см. в следующем разделе этой статьи.

    • Поиск по файлам (предварительная версия): отправьте один или несколько файлов, чтобы найти связанное или аналогичное содержимое для конкретного случая. Используйте csv-файл действий аудита для поиска связанных сообщений и файлов для конкретного пользователя в течение определенного периода времени. Или предоставьте пример доказательства, чтобы найти аналогичное содержимое. Размер каждого файла ограничен 10 МБ, а файлы могут быть csv или txt. Параметры сборки запросов и KeyQL отключены при поиске по файлу.

  10. Выберите Выполнить запрос. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, выберите Сохранить как черновик.

Поиск по файлу (предварительная версия)

Примечание.

Эта функция находится в предварительной версии на ранней стадии. Проверьте результаты в наборе проверки или экспорте на полноту и точность. В течение периода предварительной версии корпорация Майкрософт оставляет за собой право вносить изменения или прекращать работу функции на основе отзывов.

Эта функция помогает следователям обнаружения электронных данных двумя способами:

Поиск по аналогичному файлу

На современном цифровом рабочем месте важные документы часто копируются, изменяются и перемещаются для хранения в нескольких местах. Если у исследователей есть пример документа и они хотят найти аналогичное содержимое, эта возможность анализирует отправленный пример файла доказательства для извлечения наиболее уникальных слов и автоматически создает запрос для поиска концептуально похожих файлов. Эта функция особенно полезна для выявления вариантов специализированных или уникальных документов, в которых было бы сложно сформулировать запрос вручную.

Поиск по журналу аудита

Для исследований, связанных с журналами аудита, функция принимает входной CSV-файл журнала аудита. Он использует записи журнала аудита, такие как отправленное сообщение или доступ к документу, для поиска соответствующих файлов в область поиска. Он использует сведения в журнале аудита, такие как идентификатор или расположение, для поиска соответствующих документов или сообщений. Эта возможность позволяет следователям связывать действия аудита с соответствующим содержимым в клиенте.

В обоих случаях при добавлении элементов в набор проверки соответствующие элементы группируются по входному файлу доказательств или журналу аудита для упрощения проверки.

Создание поискового запроса KeyQL с помощью Microsoft Copilot (предварительная версия)

Параметр построитель естественного языка (предварительная версия) KeyQL в поиске позволяет использовать естественный язык и Microsoft Security Copilot для быстрого создания инструкции язык KeyQL (KeyQL). С помощью построителя можно создавать сложные запросы с дополнительными функциями, включая AND, OR и группирование условий, при использовании запросов естественного языка.

Эта функция упрощает создание запросов с помощью стандартных запросов для примеров сценариев. Он также позволяет уточнить и улучшить настраиваемые запросы для более точных поисковых запросов. Вы также можете использовать подсказки в качестве отправной точки для создания и уточнения KeyQL запросов для распространенных или пользовательских сценариев поиска.

Чтобы создать поисковый запрос с помощью Copilot, выполните следующие действия.

  1. Выбрав источники данных для запроса, выберите Черновик запроса с помощью Copilot.
  2. В области Запрос на естественный язык выберите один из следующих параметров:
    • Введите вопрос поискового запроса. При необходимости можно включить сведения о пользователе, источнике данных и других сведениях о содержимом.
    • Выберите Просмотреть запросы , чтобы выбрать один из следующих вариантов запроса:
      • Поиск всех сообщений электронной почты, содержащих слова "бюджет" и "финансы", а также вложения
      • Поиск во всех чатах в январе 2020 года, содержащих слово "финансовый год"
      • Поиск файлов типа .docx, содержащих слова "конфиденциальный" и "бюджет"
  3. Просмотрите запрос на естественном языке. Чтобы уточнить запрос с помощью Copilot, выберите Уточнить.
  4. После завершения запроса выберите Создать KeyQL.
  5. Просмотрите запрос KeyQL в области результатов язык KeyQL (KeyQL). Если необходимо уточнить результаты запроса KeyQL, вы можете обновить запрос на панели Запрос на естественном языке и снова выбрать Создать KeyQL. 1. Когда результаты KeyQL будут завершены, выберите Копировать KeyQL.
  6. Вставьте результаты KeyQL в поле запроса на вкладке Язык запросов ключевых слов (KeyQL). Вы можете закрыть черновик запроса с помощью Copilot.
  7. Выберите Выполнить запрос. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, выберите Сохранить как черновик.

Запуск поискового запроса

После создания поискового запроса вручную или с помощью Security Copilot выполните запрос, чтобы создать результаты поиска.

Чтобы выполнить поисковый запрос, выполните следующие действия.

  1. Перейдите на портал Microsoft Purview и войдите с учетными данными для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.

  2. Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.

  3. Выберите дело. На вкладке Поиск выберите сохраненный поиск.

  4. Выберите Выполнить запрос.

  5. После нажатия кнопки Выполнить запрос вы увидите всплывающее окно Выбор результатов поиска . Выберите представление, которое вы хотите создать для запроса, и его параметры. Вы можете выбрать представление Статистика или Пример :

    • Статистика. Это представление создает сводку собранных оценок данных, упорядоченных по лучшим индикаторам. Выберите один или несколько из следующих вариантов:

    • Включить категории. Уточните представление, чтобы включить людей, типы конфиденциальной информации, типы элементов и ошибки.

    • Включить отчет по ключевым словам запроса. Оценка ключевое слово релевантности для различных частей поискового запроса.

    • Анализ частично индексированных элементов. Частично индексированные элементы обычно составляют около 1 % содержимого в источниках данных по количеству. При выборе этого параметра (и только этого параметра) формируется сводная информация (количество элементов и расположение) о частично индексированных элементах, включенных в выбранные источники данных для поиска. Частично индексированные элементы не переиндексируются или не обрабатываются. Для дальнейшей обработки частично индексированных элементов в источниках данных с областью действия рассмотрите следующие расширенные варианты индексирования:

      • Исключить частично индексированные элементы в расположениях без попаданий в поиск. Выбор этого дополнительного параметра сокращает область частично индексированных элементов (или расширенное индексирование, если выбраны эти параметры), ограничивая включение частично индексированных элементов только источниками данных, которые содержат элементы, относящиеся к поиску. Это исключение удаляет частично индексированные элементы из источников данных, которые не включают элементы, относящиеся к поиску.

        Например, вы выбираете несколько почтовых ящиков, сайтов SharePoint и сайтов OneDrive в качестве источников данных для поиска. При выполнении поиска только некоторые почтовые ящики и сайты имеют индексированные элементы, соответствующие условиям поиска. Остальные почтовые ящики и сайты не содержат индексированных элементов, относящихся к условиям поиска. При выборе этого параметра частично индексированные элементы в почтовых ящиках и на сайтах, содержащие индексированные элементы, относящиеся к поиску, включаются в результаты поиска. Частично индексированные элементы в почтовых ящиках и на сайтах, которые не содержат индексированных элементов, относящихся к поиску, игнорируются и не отображаются в результатах поиска.

      • Выполнение расширенного индексирования частично индексированных элементов. Область, где выполняется расширенное индексирование, зависит от того, выбран ли параметр Исключить частично индексированные элементы в расположениях без попаданий поиска. Расширенный процесс индексирования запускает статистический пример частично индексированных элементов в область и определяет, соответствуют ли эти элементы запросу:

        • Выбрано с параметром Исключить частично индексированные элементы в местах без попаданий в поиск. Этот параметр применяется только к частично индексированных элементам только к источникам данных с полностью индексированных элементов, соответствующих поисковому запросу. Эти элементы используются для выборки, индексации, а элементы, соответствующие поисковому запросу, отображаются в статистике поиска (если применимо).
        • Выбрано без параметра Исключить частично индексированные элементы в расположениях без попаданий поиска. Этот параметр применяется ко всем частично индексированных элементам во всех источниках данных, включенных в поиск. Все элементы выборки, индексируются, а элементы, соответствующие поисковому запросу, отображаются в статистике поиска (если применимо).

        Важно!

        Эта функция недоступна для случаев с ограниченным форматом .

    • Пример. В этом представлении создается репрезентативный выбор полных результатов поиска. Определите параметры для следующих параметров:

      • Выберите количество примеров элементов для каждого расположения. Выберите 1, 10 или 100.
      • Выберите количество расположений для получения примеров: выберите 10, 100, 1000 или 10000.

  6. Параметры конфигурации источника на уровне клиента в обнаружении электронных данных позволяют включать дополнительные источники данных во время поиска по всей организации. Добавление дополнительных источников данных может привести к тому, что поиск занимает больше времени, чем обычно.

    Настройте для всей организации источник "Все люди и группы", чтобы включить одного или нескольких пользователей или типов контента:

    • "Все люди и группы" должны включать нелицензированных и локальных пользователей
    • "Все люди и группы" должны включать гостевых пользователей
    • "Все люди и группы" должны включать общие каналы Teams
    • "Все люди и группы" должны включать ушедших пользователей

    Важно!

    Для крупных организаций поиск на уровне клиента во всех почтовых ящиках Exchange и на сайтах SharePoint является длительным процессом. Регулирование служб может повлиять на количество почтовых ящиков и сайтов для поиска. Прежде чем выполнять эти поисковые запросы на уровне клиента, ознакомьтесь с рекомендациями по ограничениям масштабирования и пропускной способности в разделе Ограничения в обнаружении электронных данных и планируйте выполнение поиска в пакетах, если это применимо. Чтобы повысить производительность и работоспособность, разбейте поиск на запуски с заданной областью с помощью границ соответствия требованиям (например, по регионам, подразделениям или отделам), чтобы каждый поиск был нацелен на подмножество почтовых ящиков и сайтов.

  7. Выберите Выполнить запрос , чтобы немедленно выполнить запрос.

В зависимости от выбранных параметров представления запроса вы автоматически будете перенаправлены на вкладку Статистика или Пример . Начинается оценка поискового запроса, и вычисляется время, оставшееся на обработку запроса. Дополнительные сведения об оценке и точной настройке результатов поиска см. в разделе Проверка и оценка результатов поиска.

В некоторых сценариях может быть полезно создать новый поиск на основе существующего поиска. Этот подход поддерживает исходные источники данных и поиск, внося изменения для получения новой статистики поиска без изменения исходного поиска. При создании дубликата поиска вы сохраняете все источники данных и поиск из исходного поиска в новом поиске. Такой подход сохраняет целостность исходного поиска и позволяет изучать новые аналитические сведения.

Чтобы создать новый поиск на основе существующего поиска, выполните следующие действия.

  1. Выберите дело. На вкладке Поиск откройте поиск.
  2. Выберите Дублировать.
  3. В том же случае автоматически создается новый поиск.

Новое имя поиска включает в себя заголовок исходного поиска с добавлением копии префикса к заголовку и метки времени. Например, если исходный заголовок поиска — Поиск бюджетных сообщений электронной почты, новое название поиска — Копирование поиска бюджетных писем + метка времени. Чтобы изменить заголовок поиска, выберите элемент управления edit рядом с текстом заголовка.

Создание нового поиска из существующего удержания

В некоторых сценариях может быть полезно создать новый поиск на основе существующего удержания. Такой подход позволяет использовать исходные источники данных и поиск, используемый для удержания, для выполнения нового поиска. При создании поиска из существующего удержания все источники данных и поиск из удержания сохраняются в новом поиске.

Примечание.

Чтобы создать поиск на основе существующего удержания, вам должна быть назначена роль поиска по соответствию . Сведения о добавлении пользователей в группу ролей см. в разделе Назначение разрешений на обнаружение электронных данных.

Чтобы создать новый поиск на основе существующего удержания, выполните следующие действия.

  1. Выберите дело. На вкладке Политики удержания выберите и откройте политику удержания.
  2. Выберите Создать поиск.
  3. Автоматически создается новый поиск, и вы автоматически перенаправляетесь на новый поиск.

Новое имя поиска включает имя политики хранения источника с префиксом Copy of the title и timestamp. Например, если заголовок политики хранения источника — Удержание для сохранения проекта Contoso, новый заголовок поиска — Copy of Hold to preserve contoso project + the timestamp. Чтобы изменить заголовок поиска, выберите элемент управления edit рядом с текстом заголовка.

Если необходимо уменьшить количество предыдущих поисковых запросов, связанных с делом, можно удалить определенные поисковые запросы в eDiscovery. Если поиск содержит связанные наборы экспортов и проверок, журнал этих экспортов и наборов проверок остается доступным в журналах диспетчерапроцессов и аудита.

Чтобы удалить существующий поиск в случае, выполните следующие действия.

  1. Выберите случай и поиск для удаления.
  2. Щелкните многоточие (...) в правом верхнем углу страницы поиска, а затем выберите Удалить поиск.
  3. Выберите Да в диалоговом окне Удаление поиска , чтобы удалить поиск из обращения.

Примечание.

Вы не можете удалить поиск во время выполнения процессов . Дождитесь завершения всех процессов перед удалением поиска.

  • Last updated on