Прочитать на английском

Поделиться через


Оценка и уточнение результатов поиска в eDiscovery (предварительная версия)

Оценка и уточнение результатов поиска является одним из наиболее важных шагов в работе по расследованию обнаружения электронных данных. Настраиваемый поисковый запрос и возвращаемые результаты помогают определить, обнаружены ли элементы и сведения, применимые к расследованию, или необходимо ли изменить поиск, чтобы попытаться обнаружить дополнительные соответствующие элементы. Этот начальный поиск элементов и первоначальный просмотр сведений помогает определить, какие действия требуются после завершения поиска параметров.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Оценка результатов поиска

После создания поиска и его запуска следующим шагом является просмотр статистики поиска, чтобы проверить, найдено ли соответствующее содержимое и его расположения с наибольшим успехом. Вы также можете просмотреть пример результатов поиска, чтобы определить, находится ли содержимое в область вашего исследования.

Панель мониторинга статистики

Если вы выбрали Статистику в качестве начального типа результата поиска, вы автоматически перенаправляетесь на эту панель мониторинга по завершении поиска. Если вы уже знакомы с предыдущими версиями обнаружения электронных данных, сведения на вкладке Статистика похожи на оценки сбора. Результаты поиска на панели мониторинга Статистики включены в следующие разделы:

  • Сводка. В этом разделе показано количество поисковых обращений, расположения, источники данных и общий размер файла частично индексированных элементов.
    • Поиск попаданий. Отображает общее количество попаданий в поиск и объем всех элементов, соответствующих условиям запроса из мест поиска.
    • Расположения. Отображает долю расположений с попаданиями из всех мест поиска. Числитель показывает расположения с хитами, а знаменатель — количество мест поиска. Расположения с ошибками отображаются красным цветом. Чтобы просмотреть полные сведения обо всех расположениях и связанных с ними попаданиях и ошибках, выберите Скачать отчет , чтобы скачать полный отчет .csv.
    • Источники данных. Отображает долю источников данных с попаданиями из всех искомых источников данных. Числитель отображает источники данных с попаданиями, а знаменатель — количество источников данных, включенных в поиск. Этот источник данных согласуется с источником данных в потоке разработки поиска и должен соответствовать количеству людей или групп, включенных в поиск. Источник данных на уровне клиента для всех пользователей и всех групп считается одним источником данных.
    • Частично индексированные элементы или "Расширенные индексированные элементы попадают": отображает количество и объем частично и неиндексированных элементов, возвращенных в ходе поиска. В этом карта отображаются сведения о частично индексированных элементах, если вы решили включить частично или неиндексированные элементы в конфигурацию поиска. Если вы решили включить частично и неиндексированные элементы и включили расширенные параметры индексирования, в этом карта отображаются дополнительные хиты, полученные от расширенных индексированных элементов. Расширенное индексированное число попаданий происходит из статистической выборки для частично индексированных элементов, фактические попадания могут быть больше и должны быть подтверждены с помощью добавления в набор проверки и экспорта результатов поиска.
  • Тенденции попадания в поиск. В этом разделе отображаются следующие карточки результатов поиска. Диаграммы являются интерактивными, наведите указатель мыши на отображение имен разделов, процентных значений и номеров элементов. Выберите Просмотреть первые 100 , чтобы получить дополнительные сведения о элементах, включенных в каждую тенденцию, и скачать результаты в файл .csv:
    • Основные источники данных. Отображает пять основных источников данных, которые составляют наибольшее число попаданий, соответствующих запросу. Имена этих источников данных (имена пользователей, групп или расположений на уровне организации) указываются с числом попаданий. Эти источники данных должны соответствовать тому, что вы выбрали в рабочем процессе источников данных при создании поискового запроса.
    • Основные типы конфиденциальной информации (SIT). Отображает пять основных типов конфиденциальной информации (SIT) в файлах SharePoint, которые чаще всего включаются в поисковые запросы. Добавление каждого счетчика SIT не обязательно равно общему количеству попаданий, так как один элемент или документ может содержать более одного типа SIT. Например, документ содержит пароль и номер социального страхования (SSN). В этом примере он учитывается дважды. Мы рекомендуем выбрать Просмотреть первые 100 , чтобы получить более глубокое представление о расположении этих счетчиков SIT, чтобы проверить, перекрываются ли они.
    • Основные ключевые слова: ключевые слова запроса, которые привели к наибольшему совпадению с запросом.
    • Основные типы элементов: наиболее частые типы элементов в поиске, соответствующие вашему запросу. Это число определяется itemClass для содержимого Exchange и ContentType для содержимого SharePoint.
    • Состояние индексирования: разбивка неиндексированных (включая частично индексированные) и полностью индексированных элементов данных.
    • Основные участники общения: отправители или получатели сообщений электронной почты, чатов Microsoft Teams и приглашений в календарь в расположениях Exchange.
    • Тип верхнего расположения: количество попаданий по типу расположения (почтовый ящик и сайт).

Выберите Повторное представление , чтобы повторно выполнить запрос и просмотреть последние результаты. Выберите Скачать отчет , чтобы объединить все результаты статистики в один файл .csv. При просмотре первых 100 результатов для любой области тренда выберите Скачать отчет для .csv файла 100 лучших результатов выбранной тенденции попадания.

Пример панели мониторинга

Если вы выбрали Пример в качестве исходного типа результата для поиска, вы автоматически перенаправляетесь на эту панель мониторинга по завершении поиска. Результаты поиска для столбцов примеров панели мониторинга содержат следующие сведения для каждого элемента:

  • Тема и заголовок: тема или название элементов, включенных в пример.
  • Дата: дата создания или отправки элемента.
  • Sender/Author: отправитель или автор элемента.

Примеры позволяют проверить репрезентативное подмножество отдельных элементов и сведения для каждого элемента, возвращенного для поиска. Количество выборок для каждого расположения и количество расположений выборок, определенных в поиске, определяют количество образцов элементов и представление расположения в образце элементов.

Выберите пример элемента, чтобы просмотреть сведения об источнике элемента. Если он доступен для элемента, в этом представлении отображается расширенное представление выбранного элемента, чтобы можно было оценить релевантность элемента в том виде, в котором он связан с определенным источником данных поиска и условиями.

Выберите Повторное представление , чтобы повторно выполнить запрос и просмотреть последние результаты. Выберите Скачать отчеты , чтобы объединить все примеры результатов в один .csv файл. Выберите Просмотр параметров , чтобы просмотреть параметры, примененные к образцу создания представления.

Уточнение результатов поиска

На основе оценок и статистики, возвращаемых поиском, можно изменить и уточнить поиск, изменив источники данных, в которых выполняется поиск, и поисковый запрос, чтобы расширить или сузить поиск. Вы можете обновить и повторно запустить поиск, пока не будете уверены, что результаты поиска содержат содержимое, наиболее подходящее для вашего дела.

После того как вы будете удовлетворены результатами поиска, вы можете выполнить следующие действия: