Создание поискового запроса для дела в обнаружении электронных данных (предварительная версия)
Статья
Вы можете использовать поиск в eDiscovery (предварительная версия) для поиска содержимого на месте, такого как электронная почта, документы и беседы с мгновенными сообщениями в вашей организации, которые относятся к делу. Используйте поиск, чтобы найти содержимое в этих облачных источниках данных Microsoft 365:
Почтовых ящиках Exchange Online.
Сайты SharePoint
Учетные записи OneDrive
Microsoft Teams
Группы Microsoft 365
Viva Engage Группы
Вы можете создавать и выполнять различные поисковые запросы, связанные с делом. Условия (например, ключевые слова) используются для создания поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к данному случаю. Кроме того, у вас есть следующие возможности.
Просмотр статистики поиска, которая может помочь уточнить поисковый запрос, чтобы сузить результаты.
Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
Изменять запрос и повторять поиск.
После поиска и поиска данных, относящихся к вашему расследованию, вы можете отправить результаты в набор проверки для дальнейшего исследования или экспортировать их для проверки людьми, не входящими в группу по расследованию.
Примечание
Для организаций, у которых есть требования Общего регламента ес по защите данных (GDPR) для защиты и предоставления прав на частную жизнь физических лиц в Пределах Европейского союза (ЕС), вы также можете управлять расследованиями в ответ на запросы субъектов данных (DSR), отправленные лицом в вашей организации. Средство поиска пользовательских данных было прекращено, и его функции объединены с обнаружением электронных данных (предварительная версия). Теперь вы можете использовать поиск, чтобы найти содержимое для поддержки dsr всех расположений, поддерживаемых поиском eDiscovery.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Советы по поиску
Часовой пояс для всех поисковых запросов — utc. Изменение часовых поясов в организации в настоящее время не поддерживается. Параметры отображения часового пояса в представлении поиска применимы только для значений в столбце Данных и не влияют на метки времени для собранных элементов.
Поиск по ключевым словам не учитывает регистр. Например, результаты поиска по словам кот и КОТ будут одинаковыми.
Логические операторы AND, OR, NOT и NEAR должны быть прописаны в верхнем регистре.
Использование кавычек останавливает подстановочные знаки и любые операции внутри кавычек.
Пространство между двумя ключевыми словами или двумя property:value выражениями такое же, как и при использовании ИЛИ. Например, возвращает все сообщения, from:"Sara Davis" subject:reorganization отправленные Сарой Дэвис, или сообщения, содержащие слово "реорганизация" в строке темы. Однако использование сочетания пробелов и условий OR в одном запросе может привести к непредвиденным результатам. Рекомендуется использовать пробелы или ИЛИ в одном запросе.
Используйте синтаксис, соответствующий формату property:value . Значения не чувствительны к регистру и не могут содержать пробел после оператора. Если есть пробел, предполагаемое значение — это полнотекстовый поиск. Например, to: pilarp выполняет поиск "pilarp" в качестве ключевое слово, а не сообщений, отправляемых в pilarp.
При поиске свойства получателя, например To, From, Cc или Recipients, можно использовать SMTP-адрес, псевдоним или отображаемое имя получателя. Например, можно использовать pilarp@contoso.com, pilarp или "Pilar Pinilla".
Можно использовать только поиск префиксов; например, cat* или set*. Поиск суффиксов (*cat), поиск infix (c*t) и поиск подстроки (*cat*) не поддерживаются.
Если искомое значение состоит из нескольких слов, то используйте двойные кавычки (" "). Например, возвращает сообщения, subject:budget Q1 содержащие бюджет в строке темы и содержащие Q1 в любом месте сообщения или в любом из свойств сообщения. С помощью subject:"budget Q1" возвращаются все сообщения, содержащие бюджетный квартал 1 в любом месте в строке темы.
Чтобы исключить из результатов поиска контент с определенным значением свойства, поставьте знак минус (-) перед именем свойства. Например, исключает все сообщения, -from:"Sara Davis" отправленные Сара Дэвис.
Элементы можно экспортировать в зависимости от типа сообщения. Например, чтобы экспортировать беседы и чаты Skype в Microsoft Teams, используйте синтаксис kind:im. Чтобы вернуть только сообщения электронной почты, используйте kind:email. Чтобы вернуть чаты, собрания и звонки в Microsoft Teams, используйте .kind:microsoftteams
При поиске сайтов необходимо добавить конечный / конец URL-адреса при использовании path свойства для возврата только элементов на указанном сайте. Если не включить конечный /элемент , также возвращаются элементы с сайта с похожим именем пути. Например, если вы используете path:sites/HelloWorld , то также возвращаются элементы с сайтов с именем sites/HelloWorld_East или sites/HelloWorld_West . Чтобы вернуть элементы только с сайта HelloWorld, необходимо использовать path:sites/HelloWorld/.
Перед сбором содержимого в поисковом запросе необходимо определить язык, страну или регион запроса.
При поиске сообщений электронной почты в папках "Отправленные" использование SMTP-адреса для отправителя не поддерживается. Элементы в папке Отправленные содержат только отображаемые имена.
Создание поискового запроса
Совет
Предпочитаете ли вы интерактивное руководство по настройке? Ознакомьтесь с руководством по проектированию поиска .
После создания нового дела вы автоматически перенаправитесь на вкладку Поиск в данном случае и будете готовы к созданию поиска по делу. Поиск помогает найти элементы, которые вы хотите собрать для дела.
Выберите Создать поиск. Если это новый случай без предыдущих поисковых запросов, вы также можете выбрать Создать поиск в области main в разделе Начать поиск соответствующих данных.
На странице Ввод сведений для начала работы заполните следующие поля:
Имя поиска: присвойте поиску имя (обязательно). Имя поиска должно быть уникальным в вашей организации.
Описание поиска. Добавьте необязательное описание, чтобы помочь другим понять этот поиск.
Выберите Создать , чтобы создать новый поиск и запустить запросы, чтобы найти соответствующие данные для дела.
На вкладке Запрос в поиске добавьте источники данных для поиска.
Выберите Добавить источники данных или Добавить источники на уровне клиента.
Добавление источников данных. При выборе этого параметра в организацию добавляются отдельные источники данных.
Добавление источников на уровне клиента. Этот параметр включает источники в вашей организации. Выберите , чтобы применить ко всем источникам или уточнить выбор для подмножества источников данных.
Например, если выбрать Все пользователи и группы и выбрать Все для почтовых ящиков , в качестве источника данных будут добавлены все почтовые ящики Exchange пользователей в вашей организации. Если выбрать Все люди и группы, а также выбрать Все для сайтов , в качестве источника данных будут добавлены все пользовательские сайты SharePoint и OneDrive в вашей организации.
Во всплывающей области Поиск источников вы выполните поиск и добавление источников данных для поискового запроса. Вы можете выполнить фильтрацию, чтобы область источники данных, чтобы помочь вам выбрать одного или нескольких пользователей или групп источников для добавления в поиск.
В левой части области отображаются параметры фильтра для источников. По умолчанию выбран параметр Все источники в клиенте , чтобы включить все источники в организации для выбора и добавления к поиску.
Используйте следующие параметры в разделе Показать для фильтра, чтобы помочь область источников в разделе Поиск:
Все люди и группы (по умолчанию)
Только Люди
Только Группы
Если применимо, выберите Исключить неактивных пользователей, чтобы уменьшить область источников до только текущих активных пользователей.
Отфильтровав источники данных, используйте элемент управления поиска и селекторы в разделе Поиск , чтобы добавить в поисковый запрос определенные источники данных, пользователей и группы. Введите пользователей, группы или расположения организации, которые вы хотите добавить, в поле поиска и выберите Поиск.
Найдите людей, используя следующие значения:
Имя и фамилия отображаемого имени пользователя (например, John Smith)
Только имя
SMTP-адрес пользователя
Псевдоним пользователя
Exchange GUID
URL-адрес сайта Пользователя в OneDrive
Найдите группы, используя следующие значения:
SMTP-адрес почтового ящика группы
URL-адрес сайта группы. URL-адрес сайта канала Teams разрешает группу Teams в качестве источника данных.
Выберите Управление , чтобы обновить почтовый ящик или сайт, связанные с выбранными источниками. В противном случае выберите Сохранить и закрыть.
Проверьте выбранные параметры и подтвердите включенные ресурсы для каждого источника данных. Выберите Сохранить. Теперь вы определили область источников данных, которые проверяют поисковые запросы.
В разделе Источники данных выберите меню с многоточием для любого источника данных для параметров управления для источника данных.
Для параметров управления выберите один из следующих вариантов:
Управление источником данных. Управление источниками данных для выбранного пользователя или сайта.
Отключить почтовые ящики. Отключите почтовые ящики для выбранного пользователя или сайта. Снова выберите этот параметр, чтобы включить почтовый ящик для пользователя или сайта.
Отключить сайты. Отключите сайт для выбранного пользователя или сайта. Выберите этот параметр еще раз, чтобы включить сайт для пользователя или сайта.
Частые участники совместной работы. Выберите связанные почтовые ящики и сайты для пользователей, которые часто сотрудничают с выбранным пользователем.
Диспетчер. Выберите связанные почтовые ящики и сайты руководителя пользователя.
Прямые отчеты. Выберите связанные почтовые ящики и сайты прямых отчетов пользователя.
Группы принадлежит пользователю: выберите связанные почтовые ящики и сайты групп, владельцем которых является пользователь.
Группы пользователя: выберите связанные почтовые ящики и сайты групп, членом которых является пользователь.
Для источников групп выберите один из следующих вариантов:
Участники. Выберите связанные почтовые ящики и сайты пользователей, являющихся членами группы.
Используйте элементы управления командной строки "Источники данных" для добавления, обновления, синхронизации и поиска других источников данных для поиска (при необходимости)
Поиск и добавление: щелкните значок +, чтобы добавить источники данных.
Управление. Щелкните значок карандаша для управления назначенными источниками данных.
Синхронизация. Щелкните значок синхронизации, чтобы синхронизировать источники данных и обновить источники данных с самыми последними источниками данных в вашей организации.
Поиск: щелкните значок поиска для поиска источников данных, включенных в поисковый запрос.
Чтобы определить параметры поискового запроса, на вкладке Запрос можно выбрать один из следующих параметров:
Построитель условий. Параметр построителя условий в поиске обеспечивает удобный интерфейс поиска при создании поисковых запросов в eDiscovery (предварительная версия). Используйте ключевые слова или пользовательские условия, чтобы сосредоточиться на область поисковых запросов. Кроме того, можно использовать параметр условия запроса языка запросов ключевых слов (KQL) в поиске, который предоставляет рекомендации и позволяет быстро вставлять длинные сложные запросы непосредственно в редактор. Он также помогает создавать поисковые запросы с нуля, выявляет потенциальные ошибки и отображает подсказки по устранению проблем.
Вы также можете быстро создавать запросы KeyQL для поиска с помощью Microsoft Security Copilot. Инструкции см. в следующем разделе этой статьи.
Поиск по файлам. Отправьте один или несколько файлов, чтобы найти связанное или аналогичное содержимое для конкретного случая. Используйте csv-файл действий аудита для поиска связанных сообщений и файлов для конкретного пользователя в течение определенного периода времени. Или предоставьте пример доказательства, чтобы найти аналогичное содержимое. Размер каждого файла ограничен 10 МБ, а файлы могут быть csv или txt. Параметры сборки запросов и KQL отключаются при поиске по файлу.
Выберите Выполнить запрос. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, выберите Сохранить как черновик.
Создание поискового запроса KeyQL с Microsoft Copilot (предварительная версия)
Параметр конструктора KeyQL для естественного языка (предварительная версия) позволяет использовать естественный язык и Microsoft Security Copilot для быстрого создания оператора KeyQL. С помощью построителя можно создавать сложные запросы с дополнительными функциями, включая AND, OR и группирование условий, при использовании запросов на естественном языке.
Эта функция упрощает создание запросов с помощью стандартных запросов для примеров сценариев, а также позволяет уточнить и улучшить настраиваемые запросы для более точных поисковых запросов. Вы также можете использовать подсказки в качестве отправной точки для создания и уточнения запросов KeyQL для распространенных или пользовательских сценариев поиска.
Чтобы создать поисковый запрос с помощью Copilot, выполните следующие действия.
Выбрав источники данных для запроса, выберите Черновик запроса с помощью Copilot.
В области Запрос на естественный язык выберите один из следующих параметров:
Введите вопрос поискового запроса. При необходимости можно включить сведения о пользователе, источнике данных и других сведениях о содержимом.
Выберите Просмотреть запросы , чтобы выбрать один из следующих вариантов запроса:
Поиск всех сообщений электронной почты, содержащих слова "бюджет" и "финансы", а также вложения
Поиск во всех чатах в январе 2020 года, содержащих слово "финансовый год"
Поиск файлов типа .docx, содержащих слова "конфиденциальный" и "бюджет"
Просмотрите запрос на естественном языке. Чтобы уточнить запрос с помощью Copilot, выберите Уточнить.
После завершения запроса выберите Создать KeyQL.
Просмотрите запрос KeyQL в области результатов языка запросов ключевых слов (KeyQL). Если необходимо уточнить результаты запроса KeyQL, вы можете обновить запрос в области Запрос на естественном языке и снова выбрать Создать KeyQL . 1. Когда результаты KeyQL будут завершены, выберите Копировать KeyQL.
Вставьте результаты KeyQL в поле запроса на вкладке Язык запросов ключевых слов (KeyQL). Вы можете закрыть черновик запроса с помощью Copilot.
Выберите Выполнить запрос. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, выберите Сохранить как черновик.
Запуск поискового запроса
После создания поискового запроса вручную или с помощью Security Copilot вы можете выполнить запрос и создать результаты поиска.
Чтобы выполнить поисковый запрос, выполните следующие действия.
Перейдите на портал Microsoft Purview и выполните вход, используя учетные данные для учетной записи пользователя, назначенной разрешениями на обнаружение электронных данных.
Выберите решение eDiscovery карта, а затем выберите Варианты (предварительная версия) на панели навигации слева.
Выберите дело. На вкладке Поиск выберите сохраненный поиск.
Выберите Выполнить запрос.
После нажатия кнопки Выполнить запрос вы увидите всплывающее окно Формат результатов запроса . Выберите представление, необходимое для запроса и его параметров. Вы можете выбрать представление Статистика или Пример :
Статистика. Это представление создает сводку собранных оценок данных, упорядоченных по лучшим индикаторам. Выберите один или несколько из следующих вариантов:
Включить категории. Уточните представление, чтобы включить людей, типы конфиденциальной информации, типы элементов и ошибки.
Включить отчет по ключевым словам запроса: оценка ключевое слово релевантности для различных частей поискового запроса/
Анализ частично индексированных элементов. Частично индексированные элементы обычно составляют около одного процента содержимого в источниках данных по количеству. При выборе этого параметра (и только этого параметра) формируется сводная информация (количество элементов и расположение) о частично индексированных элементах, включенных в выбранные источники данных для поиска. Частично индексированные элементы не переиндексируются или не обрабатываются. Для дальнейшей обработки частично индексированных элементов в источниках данных с областью действия рассмотрите следующие расширенные варианты индексирования:
Исключить частично индексированные элементы в расположениях без попаданий в поиск. Выбор этого дополнительного параметра уменьшает область частично индексированных элементов (или расширенное индексирование, если выбраны эти параметры), ограничивая включение частично индексированных элементов только из источников данных, в которых содержатся элементы, относящиеся к поиску. Это исключает частично индексированные элементы из источников данных, которые не включают элементы, относящиеся к поиску.
Например, вы выбрали несколько почтовых ящиков, сайтов SharePoint и сайтов OneDrive в качестве источников данных для поиска. При выполнении поиска только некоторые почтовые ящики и сайты имеют индексированные элементы, соответствующие условиям поиска, а остальные почтовые ящики и сайты не содержат элементов, индексированных в собственном коде, соответствующих условиям поиска. Если вы выбрали этот параметр, частично индексированные элементы в почтовых ящиках и на сайтах, которые содержат элементы с индексированием в собственном коде, относящиеся к поиску, включаются в результаты поиска. Частично индексированные элементы в почтовых ящиках и сайтах, которые не содержат элементов, индексированных в собственном коде, относящихся к поиску, игнорируются и не отображаются в результатах поиска.
Выполнение расширенного индексирования частично индексированных элементов. Область, где выполняется расширенное индексирование, зависит от того, выбран ли параметр Исключить частично индексированные элементы в расположениях без попаданий поиска. Расширенный процесс индексирования запускает статистический пример частично индексированных элементов в область и определяет, соответствуют ли эти элементы запросу:
Выбрано с параметром Исключить частично индексированные элементы в расположениях без попаданий в поиск . Это относится только к частично индексированных элементов только к источникам данных с полностью индексированных элементов, соответствующих поисковому запросу. Эти элементы используются для выборки, индексации, а элементы, соответствующие поисковому запросу, отображаются в статистике поиска (если применимо).
Выбрано без параметра Исключить частично индексированные элементы в местах без попаданий в поиск. Это относится ко всем частично индексированных элементам во всех источниках данных, включенных в поиск. Все элементы выборки, индексируются, а элементы, соответствующие поисковому запросу, отображаются в статистике поиска (если применимо).
Пример. В этом представлении создается репрезентативный выбор полных результатов поиска. Определите параметры для следующих параметров:
Выберите количество примеров элементов для каждого расположения. Выберите 1, 10 или 100.
Выберите количество расположений для получения примеров: выберите 10, 100, 1000 или 10000.
Выберите Выполнить запрос , чтобы немедленно выполнить запрос.
В зависимости от выбранных параметров представления запроса вы автоматически перейдете на вкладку Статистика или Пример . Запускается оценка поискового запроса и вычисляется время, оставшееся на обработку запроса. Дополнительные сведения об оценке и точной настройке результатов поиска см. в разделе Проверка и оценка результатов поиска.
Продемонстрировать основы безопасности данных, управления жизненным циклом, информационной безопасности и соответствия требованиям для защиты развертывания Microsoft 365.