Поиск содержимого в наборе для проверки в eDiscovery (предварительная версия)
В большинстве случаев полезно углубиться в содержимое набора для проверки и упорядочить его, чтобы упростить более эффективную проверку. Использование фильтров и запросов в наборе для проверки помогает сосредоточиться на подмножестве документов, которые соответствуют критериям проверки. Дополнительные сведения о доступных условиях поиска см. в разделе Использование построителя условий для создания поисковых запросов в eDiscovery (предварительная версия).
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Улучшение фильтров по умолчанию в предыдущих версиях, обнаружение электронных данных (предварительная версия) предоставляет расширенные фильтры, которые позволяют создавать более гибкие и расширенные фильтры для наборов проверки. Расширенная фильтрация позволяет:
- Быстрый поиск условий фильтра.
- Создавайте сложные фильтры с помощью подгрупп, условий И или ИЛИ .
- Легко изменяйте запросы с помощью отмены запроса фильтра и повторного выполнения запросов фильтра.
- Управление сохраненными фильтрами без необходимости перехода в другую область.
- Использовать пустые и не пустые условия для каждого фильтра.
Важно!
Набор для проверки отображает не более 1000 элементов на страницу и до 10 страниц (в общей сложности 10 000 элементов, отображаемых на набор для проверки). Используйте фильтры по умолчанию или настраиваемые для настройки отображаемых элементов по мере необходимости. Количество совпадаемых элементов — это оценки.
Чтобы создать и настроить фильтрацию для набора проверки, используйте следующие элементы управления:
- AND/OR: эти условные логические операторы позволяют выбрать условие запроса, которое применяется к определенным фильтрам и подгруппам фильтров. Эти операторы позволяют использовать несколько фильтров или подгрупп, подключенных к одному фильтру в запросе.
- Выбор фильтра. Позволяет выбирать фильтры для определенных источников данных и содержимого расположения, выбранного для поиска.
- Добавить фильтр. Позволяет добавить в запрос несколько фильтров. Доступен после определения по крайней мере одного фильтра запросов.
- Выберите оператор. В зависимости от выбранного фильтра доступны операторы, совместимые с фильтром. Например, если выбран фильтр "Дата ", доступные операторы: "До", "После" и "Между". Если выбран фильтр Размер (в байтах), доступные операторы: Больше, Больше или равно, Меньше, Меньше или равно, Между и Равно.
- Значение. В зависимости от выбранного фильтра доступны значения, совместимые с фильтром. Кроме того, некоторые фильтры поддерживают несколько значений, а некоторые — одно конкретное значение. Например, если выбран фильтр Дата , выберите значения даты. Если выбран фильтр Размер (в байтах), выберите значение для байтов.
- Добавить подгруппу. После определения фильтра можно добавить подгруппу, чтобы уточнить результаты, возвращаемые фильтром. Вы также можете добавить подгруппу в подгруппу для уточнения многоуровневых запросов.
- Удалить условие фильтра. Чтобы удалить отдельный фильтр или подгруппу, щелкните значок Удалить справа от каждой строки фильтра или подгруппы.
- Очистить все. Чтобы очистить весь запрос от всех фильтров и подгрупп, выберите Очистить все.
Чтобы удалить расширенные элементы управления фильтрами из набора для проверки, выберите Управление>Скрыть расширенные фильтры (предварительная версия). Чтобы отобразить расширенные фильтры, выберите Управление>Показать расширенные фильтры (предварительная версия). Существующие фильтры удаляются при отображении или скрытии расширенных фильтров. Чтобы сохранить фильтры, сохраните их в виде запроса.
Каждое поле для поиска в наборе для проверки имеет соответствующий фильтр, который можно использовать для фильтрации элементов на основе определенного поля.
Существует несколько типов фильтров:
- Freetext: фильтр свободного текста применяется к текстовым полям, таким как Тема. Вы можете получить список нескольких условий поиска, разделив их запятой.
- Дата. Фильтр даты используется для полей даты, таких как Дата последнего изменения.
- Параметры поиска. Фильтр параметров поиска предоставляет список возможных значений (каждое значение отображается с флажком, который можно выбрать) для определенных полей в проверке. Этот фильтр используется для полей, таких как Отправитель, где в наборе для проверки имеется ограниченное число возможных значений.
- Ключевое слово. Условие ключевое слово — это конкретный экземпляр условия свободного текста, который можно использовать для поиска терминов. В этом типе фильтра также можно использовать язык запросов, подобный KQL. Дополнительные сведения см. в разделах Язык запросов и Расширенный построитель запросов этой статьи.
После того как вы будете удовлетворены фильтрами, вы можете сохранить сочетание фильтров в качестве запроса фильтра. Этот сохраненный запрос фильтра позволяет применить фильтр в будущих сеансах проверки.
Чтобы сохранить фильтр, выберите Сохранить на панели команд Сохранить запросы фильтра и присвойте ему имя. Вы или другие рецензенты можете выполнять ранее сохраненные запросы фильтров, выбрав раскрывающийся список Сохраненные запросы фильтра и выбрав запрос фильтра для применения к документам набора для проверки.
Чтобы изменить или удалить сохраненный запрос фильтра, выберите Сохраненные запросы фильтра и разверните свойства фильтра, чтобы отобразить параметры Изменить и Удалить для сохраненного запроса фильтра.
При использовании фильтров KQL или ключевых слов для создания поискового запроса набора проверки можно использовать язык запросов, подобный KQL. Язык запросов для этих двух фильтров поддерживает стандартные логические операторы, такие как AND, OR, NOT и NEAR. Он также поддерживает односимвый подстановочный знак (?) и многосимвийный подстановочный знак (*).
Примечание
Фильтры проверки поддерживают только подстановочные знаки (? или *) для одного термина. Использование подстановочных знаков в поиске фраз, состоящих из нескольких терминов, не поддерживается.
Администратору обнаружения электронных данных необходимо создать запрос, чтобы найти все элементы в наборе для проверки без применения тегов. В этом примере администратор создает следующий запрос фильтра набора проверки:
- Для первого фильтра администратор выбирает тег фильтра и типы в поиске фильтра. Фильтр Теги отображается в качестве соответствующего параметра, и администратор выбирает его.
- Затем администратор выбирает Выбрать оператор и выбирает оператор Является пустым . Этот оператор возвращает все элементы, к которым не применены теги.
Набор для проверки немедленно обновляется, и отображаются только элементы, которые не помечены тегами.
Администратору обнаружения электронных данных необходимо создать запрос, чтобы найти все элементы в наборе для проверки определенного типа, например .csv, .msg или .pdf. В этом примере администратор создает следующий запрос фильтра набора проверки:
- Для первого фильтра администратор выбирает фильтр и вводит файл в поиске фильтра. Расширение собственного файла фильтра является одним из параметров фильтра, отображаемых в результатах поиска, и администратор выбирает его.
- Затем администратор выбирает Выбрать оператор и выбирает оператор Equals any of .
- Администратор выбирает поле Любой и устанавливает соответствующие флажки для типов файлов, которые будут включены в запрос фильтра.
Набор для проверки немедленно обновляется, и отображаются только элементы, соответствующие выбранным типам файлов.
Если вы выбрали параметр для добавления частично индексированных элементов из дополнительных источников данных при фиксации оценки поиска в наборе для проверки. Вам, вероятно, потребуется определить и просмотреть эти элементы, чтобы определить, может ли элемент иметь отношение к вашему исследованию и нужно ли исправить ошибку, которая привела к частичному индексации элемента.
В настоящее время в наборе для проверки нет параметра фильтра для отображения частично индексированных элементов. Но вот способ фильтрации и отображения частично индексированных элементов, добавленных в набор для проверки.
- Создайте поиск и добавьте его в новый набор для проверки , не добавляя частично индексированные элементы из дополнительных источников данных.
- Создайте новый searcg, скопировав поиск из шага 1.
- Добавьте новый поиск в тот же набор проверки. Но на этот раз добавьте частично индексированные элементы из дополнительных источников данных. Так как элементы из поиска, созданного на шаге 1, уже добавлены в набор проверки, в набор проверки добавляются только частично индексированные элементы из второго поиска.
- После добавления обоих поисковых запросов в набор проверки выберите набор проверки и выберите Загрузить наборы.
- Скопируйте или запишите идентификатор загрузки для второго поиска (созданного на шаге 2). Имя поиска определяется в столбце Исходные сведения .
- Вернитесь в набор проверки, выберите Фильтр, разверните раздел Идентификаторы , а затем установите флажок Load Id (Загрузить идентификатор ).
- Разверните фильтр "Идентификатор загрузки ", а затем установите флажок идентификатора загрузки, соответствующего второму поиску, чтобы отобразить частично индексированные элементы.
Фильтрация документов по темам позволяет значительно сэкономить время при просмотре документов. Например, если вы ищете документы, в которых обсуждается определенная тема, можно отфильтровать документы по основной теме, связанной с этой темой. Вы также можете фильтровать документы по другим темам в списке тем, чтобы найти документы, похожие на интересующий вас документ. Чтобы отобразить темы для документа в виде столбца в списке документов для набора для проверки, выберите Настроить столбцы и выберите Основная тема и Список тем.
Чтобы отфильтровать документы по темам, выполните следующие действия.
- В наборе для проверки выберите Выбрать фильтр и выберите Доминирующая тема.
- Выберите оператор для использования с темой "Доминант" и определите значение для использования с оператором .
- Используйте дополнительный фильтр списка тем и оператор и значения, применимые к этому фильтру. Операторы AND и OR можно настроить для фильтрации документов по сочетанию значений основной темы и списка тем .