Поделиться через

Сведения об обнаружении электронных данных

Электронное обнаружение, или обнаружение электронных данных, — это процесс идентификации и доставки информации, хранящейся в электронном виде (ESI), которую можно использовать в качестве доказательства в расследованиях и судебных делах. Используйте Microsoft Purview eDiscovery для выявления, просмотра и управления содержимым в службах Microsoft 365 для поддержки расследований. Поддерживаемые службы Microsoft 365:

  • Exchange Online.
  • Microsoft Teams
  • Группы Microsoft 365
  • OneDrive
  • SharePoint;
  • Viva Engage

Вы можете искать почтовые ящики и сайты в одном поиске eDiscovery, а затем экспортировать результаты поиска. Используйте случаи обнаружения электронных данных для идентификации, хранения и экспорта содержимого, найденного в почтовых ящиках и на сайтах. Если в вашей организации есть подписка на Office 365 E5 или Microsoft 365 E5 (или связанные подписки на надстройки E5), вы можете дополнительно управлять обращениями и анализировать содержимое с помощью функций обнаружения электронных данных уровня "Премиум".

Обнаружение электронных данных на портале Microsoft Purview

В зависимости от лицензирования и подписок для вашей организации у вас есть доступ к определенным функциям обнаружения электронных данных или премиум-класса на портале Microsoft Purview. Все функции поиска контента теперь включены в интерфейс поиска в eDiscovery, или вы можете использовать вариант поиска контента в eDiscovery для управления всеми новыми и существующими поисками контента.

Последние сведения о запланированных функциях и возможностях обнаружения электронных данных и предполагаемых датах выпуска см. в статье Стратегия развития Microsoft 365.

Заметные изменения в обнаружении электронных данных

Если вы знакомы с предыдущими версиями eDiscovery, вы можете заметить несколько различий при использовании обнаружения электронных данных на портале Microsoft Purview:

  • Расширенное индексирование. В предыдущих версиях обнаружения электронных данных при добавлении в дело хранителя или источника ненастояемых данных необходимо было переиндексировать все содержимое, которое частично индексировано или имеет ошибки индексирования. При повторной индексации определяется, относится ли содержимое к определенным условиям поиска. Этот процесс повторной индексации называется расширенным индексированием. При добавлении дополнительных частично и неиндексированных элементов в источники данных (почтовый ящик пользователя, учетная запись OneDrive и т. д.) необходимо отдельно обновлять индекс для конкретных хранимых или ненастроенных источников данных.

    В eDiscovery расширенное индексирование выполняется автоматически во время каждого поиска, в котором задана область для статистических результатов, и при добавлении результатов в набор проверки или экспорте результатов поиска в зависимости от параметров индексирования, которые вы выберете для процесса. Вам больше не нужно отдельно переиндексировать источники данных перед процессом поиска. Этот простой процесс индексирования помогает избежать проблем с устаревшими индексами, которые могут привести к индексации и поиску, выполняющимся последовательно и отдельно в классическом интерфейсе. При выполнении (или повторном запуске) поиск автоматически обновляется все индексы.

  • Коллекции. В предыдущих версиях обнаружения электронных данных коллекции предоставляли менеджерам оценки содержимого, которое может иметь отношение к случаям. Эти оценки позволили руководителям принимать быстрые и обоснованные решения о размере и область содержимого, относягося к делам. После добавления в набор для проверки коллекция становится неизменяемой.

    В обнаружении электронных данных статистические данные в поисковых запросах заменяют коллекции. Статистические результаты поиска теперь позволяют менеджерам просматривать важные аналитические сведения о элементах, включенных в результаты, и релевантности для дела. Поиск не является неизменяемым в eDiscovery даже после добавления результатов в набор для проверки. Вы можете обновить поисковые запросы в любое время. Добавление только примера коллекции в набор проверки и удаление поиска удаляется в eDiscovery.

  • Поиск содержимого. Поиск контента на портале соответствия требованиям, снятом с учета, — это отдельное решение от обнаружения электронных данных, используемое для простого поиска контента. Результаты поиска контента — это предполагаемое количество расположений и результатов поиска, которые можно просмотреть или экспортировать на локальный компьютер.

    На портале Microsoft Purview все функции поиска контента теперь включены в созданное системой дело обнаружения электронных данных по умолчанию для всех членов групп ролей диспетчера электронных данных и администратора . Если вам нужно ограничить доступ к поиску контента, используйте параметры обращения , чтобы удалить или добавить участников в дело для управления доступом к этим поискам. Вы также можете выбрать Поиск контента в eDiscovery, чтобы создать в вашей организации дело поиска контента, содержащее все новые и существующие поисковые запросы контента.

    Вариант поиска контента имеет те же возможности, что и другие пользовательские варианты. Вы можете создавать удержания, наборы для проверки и многое другое в случае поиска контента в зависимости от подписки.

    Дополнительные сведения об изменениях в поиске контента в eDiscovery проверка следующее видео:

  • Хранители. В предыдущих версиях обнаружения электронных данных хранимые ( пользователи) были основным компонентом рабочего процесса обнаружения электронных данных. Хранители были потенциальными лицами, заинтересованными в расследовании, которое вы добавили к делам.

    В обнаружении электронных данных случаи являются основным компонентом рабочего процесса обнаружения электронных данных. Вы по-прежнему добавляете людей, группы и источники данных в дела, но дело является центральным организационным блоком.

  • Экспорт обновлений. Новый поток экспорта в обнаружении электронных данных поддерживает единую структуру экспорта для экспорта функций premium и nonpremium, более высокую производительность экспорта, подробные отчеты и гибкие варианты экспорта.

  • Задания. В предыдущих версиях обнаружения электронных данных задачи, действия и отчеты, связанные с компонентами рабочего процесса, назывались заданиями. Эти события и отчеты теперь называются процессами в обнаружении электронных данных.

Функции и возможности

В следующей таблице сравниваются основные возможности и функции обнаружения электронных данных:

Возможность Поддержка функций обнаружения электронных данных Поддержка функций обнаружения электронных данных уровня "Премиум"
Поиск содержимого Поддерживается. Поддерживается.
Запросы ключевых слов и условия поиска Поддерживается. Поддерживается.
Статистика поиска и примеры Поддерживается. Поддерживается.
Экспорт результатов поиска Поддерживается. Поддерживается.
Разрешения на основе ролей Поддерживается. Поддерживается.
Управление случаями Поддерживается. Поддерживается.
Размещение расположений содержимого на удержание Поддерживается. Поддерживается.
Поиск и удаление данных Поддерживается. Поддерживается.
Расширенная индексация Поддерживается.
Наборы для проверки Поддерживается.
Импорт внешних данных для проверки наборов Поддерживается.
Поддержка облачных вложений и версий SharePoint Поддерживается.
Распознавание текста Поддерживается.
Создание цепочки беседы Поддерживается.
Расшифровки Поддерживается.
Фильтрация наборов для проверки Поддерживается.
Проверка набора запросов KQL (предварительная версия) Поддерживается.
Отчет о запросах (предварительная версия) Поддерживается.
Расстановка тегов Поддерживается.
Аналитика Поддерживается.
Вычисляемые метаданные документа Поддерживается.
Доступ гостевых пользователей (предварительная версия) Поддерживается.
Security Copilot Поддерживается.
Прозрачность длительных процессов Поддерживается.
Полный отчет по всем процессам Поддерживается.
Расширенное сопоставление источников данных Поддерживается.

Ниже приведено описание каждой возможности обнаружения электронных данных.

  • Поиск содержимого. Поиск содержимого, хранящегося в почтовых ящиках Exchange, учетных записях OneDrive, сайтах SharePoint, Microsoft Teams, Группы Microsoft 365 и Viva Engage Teams. Поиск включает содержимое, созданное другими приложениями Microsoft 365, которые хранят данные в почтовых ящиках и на сайтах.
  • Запросы по ключевым словам и условия поиска. Создайте поисковые запросы язык KeyQL (KeyQL) для поиска ключевых слов контента, соответствующих критериям запроса. Вы также можете включить условия, чтобы сузить область поиска.
  • Статистика поиска и примеры. После выполнения поиска можно просмотреть статистику предполагаемых результатов поиска, например количество и общий размер элементов, соответствующих условиям поиска, расположение контента, в котором содержится больше всего элементов, а также количество элементов, возвращаемых поисковым запросом. Вы также можете просмотреть репрезентативную выборку элементов, включенных в результаты поиска.
  • Экспорт результатов поиска. Экспорт результатов поиска на локальный компьютер в организации. При экспорте результатов поиска элементы копируются из исходного расположения содержимого и упаковываются. Затем вы можете скачать эти элементы в пакете экспорта на локальный компьютер.
  • Разрешения на основе ролей. Используйте разрешения управления доступом на основе ролей (RBAC) для управления задачами, связанными с обнаружением электронных данных, которые могут выполнять разные пользователи. Вы можете использовать встроенную группу ролей, связанную с обнаружением электронных данных, или создать настраиваемые группы ролей, которые назначают определенные разрешения на обнаружение электронных данных.
  • Управление делами. Дело обнаружения электронных данных содержит все наборы поиска, удержания и проверки, связанные с конкретным исследованием. Вы также можете назначить участникам дело, чтобы контролировать, кто может получить доступ к делу и просматривать его содержимое.
  • Помещение расположений контента на удержание. Сохраните содержимое, соответствующее вашему расследованию, установив удержание в расположениях содержимого в случае. Удержания позволяют защитить данные, хранящиеся в электронном виде, от случайного (или намеренного) удаления во время исследования.
  • Поиск и удаление данных. Используйте обнаружение электронных данных для поиска и удаления сообщений электронной почты, сообщений чата Microsoft Teams, а также данных приложения Copilot и ИИ в организации. Эта возможность помогает находить и удалять содержимое, потенциально опасное или сопряженное с высоким риском.
  • Расширенное индексирование. При выполнении процесса поиска, проверки или экспорта связанные расположения содержимого, в которых элементы частично индексируются, переиндексируются в процессе , называемом расширенным индексированием. Расширенное индексирование обеспечивает повторную обработку любого содержимого, которое считается частично индексируемым, чтобы сделать его полностью пригодным для поиска при сборе данных для исследования.
  • Наборы проверки. Добавление релевантных данных в набор для проверки. Набор для проверки — это безопасное, предоставленное корпорацией Майкрософт хранилище Azure в облаке Майкрософт. При добавлении данных в набор для проверки собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно искать, фильтровать, помечать тегами, анализировать и прогнозировать релевантность с помощью прогнозных моделей кодирования. Вы также можете отслеживать и сообщать о том, какое содержимое добавляется в набор для проверки.
  • Импорт внешних данных для проверки наборов. Не все документы, которые необходимо проанализировать в eDiscovery, находятся в Microsoft 365. С помощью функции импорта внешних данных можно отправлять документы, которые не в Microsoft 365, в набор для проверки.
  • Поддержка облачных вложений и версий SharePoint. При добавлении содержимого в набор для проверки можно включать облачные вложения или связанные файлы. Целевой файл облачного вложения или связанного файла добавляется в набор для проверки. Вы также можете добавить все версии документа SharePoint в набор для проверки.
  • Оптическое распознавание символов (OCR): при добавлении содержимого в набор для проверки функция OCR извлекает текст из изображений и включает текст изображения с содержимым, добавленным в набор для проверки. Эта функция позволяет искать текст изображения при запросе содержимого в наборе для проверки.
  • Потоковая беседа. Когда сообщения чата из Teams и Viva Engage бесед добавляются в набор для проверки, можно собрать весь поток беседы. В набор для проверки добавляется вся беседа чата, содержащая элементы, соответствующие условиям поиска. Эта функция позволяет просматривать элементы чата в контексте беседы назад и вперед.
  • Расшифровка: обнаружение электронных данных поддерживает расшифровку содержимого, защищенного технологиями шифрования Майкрософт. Email сообщения и вложения, зашифрованные с помощью Шифрование сообщений Microsoft Purview, и документы, защищенные метками конфиденциальности или Azure Rights Management, автоматически расшифровываются при добавлении в результаты поиска или наборы проверки.
  • Фильтрация наборов проверки. После добавления содержимого в набор проверки можно применить фильтры для отображения только набора элементов, соответствующих условиям фильтрации. Затем можно сохранить наборы фильтров в виде запроса, что позволяет быстро повторно применить сохраненные фильтры. Проверка настройки фильтрации и сохраненных запросов помогает быстро выбирать элементы содержимого, наиболее важные для исследования.
  • Запросы KQL для набора проверки (предварительная версия). Используйте обозреватель расширенных наборов проверки (предварительная версия) для выполнения запросов язык запросов Kusto (KQL) непосредственно к данным набора для проверки. Создавайте сложные запросы с фильтрацией, агрегированием, сопоставлением шаблонов, регулярными выражениями и визуализацией данных для анализа и идентификации ключевой информации в наборе для проверки.
  • Отчет о запросах (предварительная версия): создайте и скачайте консолидированный отчет о запросах для нескольких запросов для набора проверки. Этот отчет позволяет быстро просмотреть общее количество и объем отфильтрованных элементов в определенном ключевое слово поиска или нескольких составных KeyQL запросах.
  • Теги. Теги также помогают опустить нерелевантное содержимое и определить наиболее релевантное содержимое. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов. Например, если цель заключается в исключении ненужного содержимого, пользователь может пометить документы тегом, например "nonresponsive". После проверки содержимого и добавления тегов можно создать запрос набора проверки, чтобы исключить любое содержимое, помеченное как "не отвечающее". Этот процесс устраняет содержимое, не отвечающее на последующие действия в рабочем процессе обнаружения электронных данных.
  • Аналитика: обнаружение электронных данных позволяет анализировать документы набора для проверки, чтобы упорядочить документы согласованно и уменьшить объем проверяемых документов. Рядом с обнаружением повторяющихся групп текстуально похожи документы, чтобы сделать процесс проверки более эффективным. Email потоки определяют определенные сообщения электронной почты, которые дают полный контекст беседы в потоке электронной почты. Функция тем пытается проанализировать темы в документах набора для проверки и назначить тему документам, чтобы можно было просматривать документы со связанной темой. Эти возможности аналитики помогают повысить эффективность процесса проверки, чтобы рецензенты могли просматривать часть собранных документов.
  • Метаданные вычисляемых документов. Многие функции eDiscovery premium, такие как потоки бесед и аналитика, добавляют свойства метаданных для проверки документов набора. Эти метаданные содержат сведения, связанные с функцией, выполняемой определенной функцией. При просмотре документов можно фильтровать свойства метаданных для отображения документов, соответствующих условиям фильтра. Эти метаданные можно импортировать в сторонние приложения для проверки после экспорта документов набора для проверки.
  • Доступ гостевых пользователей (предварительная версия): приглашайте гостевых пользователей для доступа к случаям обнаружения электронных данных для совместной работы с внешними рецензентами. Гостевым пользователям назначается разрешение группы ролей "Рецензент" , и они могут просматривать и работать с содержимым дела, которым им предоставлен общий доступ.
  • Security Copilot. Используйте функции Microsoft Security Copilot для составления KeyQL поисковых запросов с помощью естественного языка и создания контекстных сводок элементов в наборе для проверки.
  • Прозрачность длительных процессов. Процессы в обнаружении электронных данных обычно являются длительными действиями, которые активируются действиями пользователя, такими как добавление хранителей в дело, добавление содержимого в набор для проверки, выполнение аналитики и создание поисковых запросов. Вы можете отслеживать состояние этих процессов и получать сведения о поддержке, если вам нужно сообщить о проблемах до служба поддержки Майкрософт.
  • Полный отчет по всем процессам. Используйте отчет о процессе для просмотра процессов и управления ими в случаях, поиске, проверке наборов и удержаний.
  • Расширенное сопоставление источников данных. Источники данных упрощают процесс идентификации данных и управления ими. Вы можете искать расположения на основе пользователей, искать группы на одном сайте и сопоставлять другие расположения с группами. Вы также можете изучить частых участников совместной работы в рамках источников данных.

Интеграция с другими решениями

Управление внутренними рисками

В Управление внутренними рисками Microsoft Purview вы можете быстро передавать дела в новые случаи в обнаружении электронных данных, когда вам требуется дополнительная юридическая проверка на потенциально рискованные действия пользователей. Тесная интеграция между этими решениями помогает группам по вопросам риска и юристов работать более эффективно и предоставляет полное представление о действиях пользователей, которые рассматриваются.

Дополнительные сведения см. в статье Начало работы с управлением внутренними рисками и передача дела по управлению внутренними рисками в дело eDiscovery (Премиум).

Microsoft Security Copilot

В eDiscovery можно использовать функции Microsoft Security Copilot для составления KeyQL поисковых запросов с помощью естественного языка. Copilot переводит естественный язык в KeyQL, не требуя от вас научиться создавать KeyQL запрос, знать операторы или знать поддерживаемые поля метаданных поиска.

Copilot также может предоставить контекстную сводку по большинству элементов в наборе для проверки. Сводка находится в контексте текста, включенного в выбранный элемент. Эта сводка экономит время для рецензентов, быстро выявляя полезные сведения при добавлении тегов или экспорте элементов. Security Copilot суммирует весь элемент, включая все документы, стенограммы собраний или вложения. Поддерживаются большинство распространенных типов файлов документов.

Дополнительные сведения об использовании Security Copilot с наборами проверки см. в разделе Сводка элементов с помощью Security Copilot.

Готовы приступить к работе?

  • Last updated on