Прочитать на английском

Поделиться через


Поиск содержимого на сайтах в eDiscovery (предварительная версия)

При поиске документов и файлов, расположенных на сайтах SharePoint или OneDrive, может быть целесообразно настроить подход к запросу на основе метаданных для интересующих документов и файлов. Файлы и документы имеют соответствующие свойства, такие как Author, CreatedBy, FileName, LastModifiedTime и Title. Большинство из этих свойств не имеют значения при поиске содержимого сообщений в Exchange Online, и использование этих свойств может привести к непредвиденным результатам при использовании как в документах, так и в сообщениях. Кроме того, имя файла и заголовок документа могут отличаться друг от друга. Использование одного или другого элемента для поиска файла с определенным содержимым может привести к разным или неточным результатам. Учитывайте эти свойства при поиске определенного содержимого документов и файлов в SharePoint и OneDrive.

Например, чтобы найти содержимое, связанное с документами, созданными пользователем User 1, для проекта с именем Tradewinds, для конкретных файлов с именем Financials и с января 2020 г. по январь 2022 г., можно использовать запрос со следующими свойствами:

  • Добавьте User 1 в качестве источника данных для поиска.
  • Выберите Сайт OneDrive пользователя 1 в качестве интересующего расположения.
  • Добавьте дополнительные группы и связанные с ними сайты SharePoint, связанные с проектом, в качестве источников данных.
  • В поле FileName используйте Financials.
  • Для ключевого слова используйте Tradewinds.
  • Для диапазона дат используйте диапазон с 1 января 2020 г. по 31 января 2022 г.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Свойства сайтов, доступные для поиска

В следующей таблице перечислены свойства SharePoint и OneDrive, которые можно найти с помощью средств поиска eDiscovery на портале Microsoft Purview или командлета New-ComplianceSearch или Set-ComplianceSearch .

Важно!

Хотя документы и файлы, хранящиеся в SharePoint и OneDrive, могут иметь другие свойства, поддерживаемые в других службах Microsoft 365, в средствах поиска eDiscovery поддерживаются только свойства документов и файлов, перечисленные в этой таблице. Попытка включить другие свойства документа или файла в поиск не поддерживается.

Таблица включает пример синтаксиса property:value и описание результатов поиска, возвращаемых этими примерами.

Свойство Описание свойства Пример Результаты поиска, возвращаемые примерами
Автор Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему будет сохранен исходный автор. Обязательно используйте отображаемое имя пользователя для этого свойства. author:"Garth Fort" Все документы, созданные пользователем Garth Fort.
ContentType Тип контента SharePoint элемента, например Элемент, Документ или Видео. contenttype:document Возвращаются все документы.
Создано Дата создания элемента. created>=2021-06-01 Все элементы, созданные 1 июня 2021 г. или позже.
CreatedBy Пользователь, создавший или загрузивший элемент. Обязательно используйте отображаемое имя пользователя для этого свойства. createdby:"Garth Fort" Все элементы, созданные или отправленные пользователем Garth Fort.
DetectedLanguage Язык элемента. detectedlanguage:english Все элементы на английском языке.
DocumentLink Путь (URL-адрес) к определенной папке на сайте SharePoint или OneDrive. Если вы используете это свойство, обязательно выполните поиск по сайту, где находится указанная папка. Рекомендуется использовать это свойство вместо свойств Site и Path .

Чтобы вернуть элементы, расположенные во вложенных папках папки, указанной для свойства documentlink, необходимо добавить /* в URL-адрес указанной папки. Например documentlink: "https://contoso.sharepoint.com/Shared Documents/*"


Дополнительные сведения о поиске свойства documentlink и использовании скрипта для получения URL-адресов ссылки на документ для папок на определенном сайте см. в статье Поиск целевых поисковых запросов.

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Private"

documentlink:"https://contoso-my.sharepoint.com/personal/garthf_contoso_com/Documents/Shared with Everyone/*" AND filename:confidential

В первом примере возвращаются все элементы в указанной папке OneDrive. Во втором примере возвращаются документы в указанной папке сайта (и все вложенные папки), содержащие слово "конфиденциальный" в имени файла.
FileExtension Расширение файла; например, docx, one, pptx или xlsx. fileextension:xlsx Все файлы Excel (Excel 2007 и более поздние версии)
FileName Имя файла. filename:"marketing plan"

filename:estimate

Первый пример возвращает файлы с фразой "marketing plan" в заголовке. Второй пример возвращает файлы со словом "estimate" в имени файла.
LastModifiedTime Дата последнего изменения элемента. lastmodifiedtime>=2021-05-01

lastmodifiedtime>=2021-05-01 AND lastmodifiedtime<=2021-06-01

В первом примере возвращаются элементы, которые были изменены 1 мая 2021 г. или позже. Во втором примере возвращаются элементы, измененные в период с 1 мая 2021 г. по 1 июня 2021 г.
ModifiedBy Пользователь, который последним изменил элемент. Обязательно используйте отображаемое имя пользователя для этого свойства. modifiedby:"Garth Fort" Все элементы, которые последним изменил пользователь Garth Fort.
SharedWithUsersOWSUser Документы, предоставленные указанному пользователю и отображаемые на странице Мне предоставлен общий доступ на сайте OneDrive пользователя. Это документы, которые были явно переданы указанному пользователю другими пользователями в вашей организации. При экспорте документов, соответствующих поисковому запросу, использующему свойство SharedWithUsersOWSUser, документы экспортируются из исходного расположения содержимого пользователя, который предоставил доступ к документу указанному пользователю. Дополнительные сведения см. в разделе Поиск содержимого сайта, к которым предоставлен доступ в вашей организации. sharedwithusersowsuser:garthf

sharedwithusersowsuser:"garthf@contoso.com"

В обоих примерах возвращаются все внутренние документы, которые были явно переданы Гарту Форту и отображаются на странице Мне предоставлен доступ в учетной записи OneDrive Гарт Форта.
Размер Размер элемента в байтах. size>=1

size:1..10000

Первый пример возвращает элементы, размер которых больше 1 байта. Второй пример возвращает элементы размером от 1 до 10 000 байт.
Название Заголовок документа. Свойство Title — это метаданные, указанные в документах Microsoft Office. Оно отличается от имени файла документа. title:"communication plan" Любой документ, который содержит фразу "communication plan" в свойстве метаданных Title документа Office.

Конфиденциальные типы данных, доступные для поиска

Вы можете использовать средства поиска электронных данных на портале Microsoft Purview для поиска конфиденциальных данных, таких как кредитные карта номера или номера социального страхования, хранящиеся в документах на сайтах SharePoint и OneDrive. Это можно сделать с помощью SensitiveType свойства и имени (или идентификатора) типа конфиденциальной информации в запросе ключевое слово. Например, запрос SensitiveType:"Credit Card Number" возвращает документы, содержащие номер карта кредита. Запрос SensitiveType:"U.S. Social Security Number (SSN)" возвращает документы, содержащие номер социального страхования США.

Список типов конфиденциальной информации, которые можно найти, см. в разделе Классификации> данныхТипы конфиденциальной информации на портале Microsoft Purview. Вы также можете использовать командлет Get-DlpSensitiveInformationType в PowerShell по соответствию безопасности & для отображения списка типов конфиденциальной информации.

Ограничения для поиска конфиденциальных типов данных

  • Чтобы найти пользовательские типы конфиденциальной информации, необходимо указать идентификатор типа конфиденциальной информации в свойстве SensitiveType . Использование имени настраиваемого типа конфиденциальной информации (как показано в примере для встроенных типов конфиденциальной информации в предыдущем разделе) не возвращает результатов. Используйте столбец Publisher на странице Типы конфиденциальной информации на портале Microsoft Purview (или свойство Publisher в PowerShell), чтобы различать встроенные и настраиваемые типы конфиденциальной информации. Встроенные типы конфиденциальных Microsoft Corporation данных имеют значение для свойства Publisher .

    Чтобы отобразить имя и идентификатор для пользовательских типов конфиденциальных данных в организации, выполните следующую команду в PowerShell для обеспечения соответствия требованиям безопасности &:

    Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
    

    Затем можно использовать идентификатор в свойстве SensitiveType поиска для возврата документов, содержащих пользовательский тип конфиденциальных данных, например: SensitiveType:7e13277e-6b04-3b68-94ed-1aeb9d47de37

  • Вы не можете использовать типы конфиденциальной информации и SensitiveType свойство поиска для поиска неактивных конфиденциальных данных в Exchange Online почтовых ящиках. Сюда входят сообщения чата 1:1, сообщения группового чата 1:N и беседы канала команды в Microsoft Teams, так как все это содержимое хранится в почтовых ящиках. Однако вы можете использовать политики защиты от потери данных (DLP) для защиты конфиденциальных данных электронной почты при передаче. Дополнительные сведения см. в разделах Сведения о защите от потери данных и Поиск и поиск персональных данных.

Формирование базового запроса

Базовый запрос состоит из трех частей: SensitiveType, диапазон счетчиков и диапазон доверия. Например, требуется SensitiveType:"<type>", и оба элемента |<диапазон> count и |<Диапазон> доверия необязателен.

Тип конфиденциальной информации — обязательная часть

Запросы обычно начинаются со свойства SensitiveType:" и имени типа информации из инвентаризации типов конфиденциальной информации и заканчиваются "на . Вы также можете использовать имя настраиваемого типа конфиденциальной информации , созданного для организации. Например, вы можете искать документы, содержащие номера кредитных карт.

В таком экземпляре используется следующий формат: SensitiveType:"Credit Card Number". Так как вы не включили диапазон счетчиков или диапазон доверия, запрос возвращает каждый документ, в котором обнаружен номер карта кредита. Это самый простой запрос, который вы можете выполнить, и он возвращает наибольшее количество результатов. Помните, что важно правильно ввести тип конфиденциальных данных (это касается и пробелов).

Диапазоны — необязательная часть.

Обе следующие две части являются диапазонами, поэтому давайте быстро рассмотрим, как выглядит диапазон. В запросах SharePoint базовый диапазон представлен двумя числами, разделенными двумя точками, которые выглядят следующим образом: [number]..[number]. Например, если 10..20 используется, этот диапазон будет захватывать числа от 10 до 20. Существует множество различных сочетаний диапазонов, и в этой статье рассматривается несколько из них.

Давайте добавим в запрос диапазон счетчиков. Диапазон счетчиков можно использовать для определения количества вхождений конфиденциальной информации, которую должен содержать документ, прежде чем она будет включена в результаты запроса. Например, если вы хотите, чтобы запрос возвращал только документы, содержащие ровно пять кредитных карта чисел, используйте следующее: SensitiveType:"Credit Card Number|5". Диапазон счетчика также помогает определять документы, с которыми связан больший риск. Например, ваша организация может считать, что документы, содержащие не менее пяти номеров кредитных карт, представляют высокий риск. Чтобы найти документы, подходящие этому критерию, используйте следующий запрос: SensitiveType:"Credit Card Number|5..". Кроме того, вы можете найти документы с пятью или менее номерами кредитоспособности карта с помощью следующего запроса: SensitiveType:"Credit Card Number|..5".

диапазон доверия;

Наконец, диапазон доверия — это уровень уверенности в том, что обнаруженная информация действительно имеет соответствующий тип конфиденциальных данных. Значения для диапазона уверенности работают аналогично диапазону счетчика. Можно формировать запрос без включения диапазона счетчика. Например, для поиска документов с любым количеством кредитных карта чисел, если диапазон доверия равен 85 процентам или выше, используйте следующий запрос: SensitiveType:"Credit Card Number|*|85..".

Важно!

Звездочка ( * ) — это подстановочный знак, который означает, что любое значение работает. Вы можете использовать подстановочный знак ( * ) в диапазоне счетчиков или в диапазоне доверия, но не в конфиденциальном типе.

Дополнительные свойства запроса и операторы поиска

Запросы в SharePoint также содержат свойство LastSensitiveContentScan, которое может помочь в поиске файлов, сканированных в течение определенного периода времени. Примеры запросов со свойством LastSensitiveContentScan см. в разделе Примеры сложных запросов в следующем разделе.

Вы можете использовать свойства поиска SharePoint eDiscovery, такие как Author или FileExtension. Для создания сложных запросов можно использовать операторы. Список доступных свойств и операторов см. в записи блога Использование свойств поиска и операторов с обнаружением электронных данных .

Примеры

В следующих примерах используются различные конфиденциальные типы, свойства и операторы для иллюстрации того, как можно уточнить запросы, чтобы найти именно то, что вы ищете.

Запрос Объяснение
SensitiveType:"International Banking Account Number (IBAN)" Имя может показаться странным, потому что оно такое длинное, но это правильное имя для этого конфиденциального типа. Используйте точные имена из инвентаризации типов конфиденциальной информации. Вы также можете использовать имя настраиваемого типа конфиденциальной информации , созданного для организации.
SensitiveType:"Credit Card Number|1..4294967295|1..100" При этом возвращаются документы с по крайней мере одним совпадением с конфиденциальным типом "Номер кредитной карты". Значения для каждого диапазона являются соответствующими минимальными и максимальными значениями. Проще написать этот запрос SensitiveType:"Credit Card Number", но где в этом самое интересное?
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" При этом возвращаются документы с 5–25 кредитными карта номерами, которые были отсканированы с 11 августа 2018 года по 13 августа 2018 года.
SensitiveType:"Credit Card Number|5..25" AND LastSensitiveContentScan:"8/11/2018..8/13/2018" NOT FileExtension:XLSX При этом возвращаются документы с 5–25 кредитными карта номерами, которые были отсканированы с 11 августа 2018 года по 13 августа 2018 года. Файлы с расширением XLSX не включаются в результаты запроса. FileExtension — это одно из многих свойств, которые можно включить в запрос. Дополнительные сведения см. в разделе Использование свойств поиска и операторов с обнаружением электронных данных.
SensitiveType:"Credit Card Number" OR SensitiveType:"U.S. Social Security Number (SSN)" Возвращаются документы, содержащие номер кредитной карты или страховой номер (SSN).

Примеры

Не все запросы одинаково полезны. В следующей таблице приведены примеры запросов, которые не работают в SharePoint, и описаны причины.

Неподдерживаемый запрос Reason
SensitiveType:"Credit Card Number|.." Необходимо добавить хотя бы один номер.
SensitiveType:"NotARule" NotARule не является допустимым именем конфиденциального типа. В запросах обнаружения электронных данных работают только имена в инвентаризации типов конфиденциальной информации .
SensitiveType:"Credit Card Number|0" Ноль не является допустимым как минимальное или максимальное значение в диапазоне.
SensitiveType:"Credit Card Number" Это может быть трудно увидеть, но есть дополнительное пробелы между "Кредит" и "Карта", что делает запрос недействительным. Используйте точные имена конфиденциальных типов из инвентаризации типов конфиденциальной информации.
SensitiveType:"Credit Card Number|1. .3" Часть с двумя точками не должна быть разделена пробелом.
SensitiveType:"Credit Card Number| |1..|80.." Слишком много разделителей вертикальной черты (|). Следуйте этому формату: SensitiveType: "Credit Card Number|1..|80.."
SensitiveType:"Credit Card Number|1..|80..101" Так как значения достоверности представляют процент, они не могут превышать 100. Выберите число от 1 до 100.

Поиск контента сайта, который доступен внешним пользователям

Вы также можете использовать средства поиска электронных данных на портале Microsoft Purview для поиска документов, хранящихся на сайтах SharePoint и OneDrive, которые были предоставлены пользователям за пределами вашей организации. Это позволяет определить конфиденциальные или личные данные, доступные за пределами организации. Это можно сделать с помощью свойства в запросе ViewableByExternalUsers ключевое слово. Это свойство возвращает документы или сайты, к которым был предоставлен общий доступ внешним пользователям, с помощью одного из следующих методов общего доступа:

  • Приглашение общего доступа, требующее, чтобы пользователи входить в организацию в качестве пользователя, прошедшего проверку подлинности.
  • Анонимная гостевая ссылка, которая позволяет любому пользователю с этой ссылкой получить доступ к ресурсу без необходимости проверки подлинности.

Ниже приводятся примеры:

  • Запрос ViewableByExternalUsers:true AND SensitiveType:"Credit Card Number" возвращает все элементы, которые были переданы пользователям за пределами вашей организации и содержат кредит карта номер.
  • Запрос ViewableByExternalUsers:true AND ContentType:document AND site:"https://contoso.sharepoint.com/Sites/Teams" возвращает список документов на всех сайтах групп в организации, которые были предоставлены внешним пользователям.

Совет

Поисковый запрос, например, ViewableByExternalUsers:true AND ContentType:document может возвращать много .aspx файлов в результатах поиска. Чтобы устранить эти (или другие типы файлов), можно использовать FileExtension свойство для исключения определенных типов файлов, например ViewableByExternalUsers:true AND ContentType:document NOT FileExtension:aspx.

Какой контент доступен пользователям не из вашей организации? Документы на сайтах SharePoint и OneDrive вашей организации, к которым предоставлен общий доступ путем отправки приглашения на общий доступ или которые предоставляются в общедоступных расположениях. Например, следующие действия пользователей приводят к тому, что контент будет доступным для внешних пользователей:

  • пользователь предоставляет общий доступ к файлу или папке для определенного пользователя за пределами вашей организации;
  • пользователь создает и отправляет ссылку на общий файл пользователю за пределами вашей организации. Эта ссылка позволяет внешнему пользователю просмотреть или изменить файл;
  • пользователь отправляет приглашение на доступ или гостевую ссылку пользователю за пределами организации для просмотра или редактирования файла.

Проблемы с использованием свойства ViewableByExternalUsers

ViewableByExternalUsers Хотя свойство представляет состояние общего доступа к документу или сайту внешним пользователям, есть некоторые предостережения в отношении того, что это свойство делает и не отражает. В следующих сценариях значение ViewableByExternalUsers свойства не будет обновлено, а результаты поискового запроса, использующего это свойство, могут быть неточными.

  • Изменения в политике общего доступа, например отключение внешнего общего доступа для сайта или организации. Свойство по-прежнему будет отображать ранее общие документы как доступные извне, даже если внешний доступ может быть отозван.
  • Изменения в членстве в группах, например добавление или удаление внешних пользователей в Группы Microsoft 365 или группы безопасности Microsoft 365. Свойство не обновляется автоматически для элементов, к которые группа имеет доступ.
  • Отправка приглашений на общий доступ внешним пользователям, если получатель не принял приглашение и, следовательно, еще не имеет доступа к содержимому.

В этих сценариях свойство не будет отражать текущее состояние общего доступа до тех пор, ViewableByExternalUsers пока сайт или библиотека документов не будет повторно раскрыт и переиндексирован.

Поиск содержимого сайта, к которым предоставлен доступ в организации

Вы можете использовать SharedWithUsersOWSUser свойство , чтобы искать документы, которые были переданы пользователям в вашей организации. Когда пользователь предоставляет общий доступ к файлу (или папке) другому пользователю в вашей организации, на странице Мне предоставлен общий доступ к файлу в учетной записи OneDrive пользователя, которому предоставлен общий доступ к файлу. Например, для поиска документов, к которым предоставлен общий доступ Саре Дэвис, можно использовать запрос SharedWithUsersOWSUser:"sarad@contoso.com". Если вы экспортируете результаты этого поиска, исходные документы (расположенные в расположении содержимого пользователя, который предоставил доступ к документам с Сарой) скачиваются.

Документы должны быть явно переданы конкретному пользователю, чтобы они возвращались в результатах поиска при использовании SharedWithUsersOWSUser свойства . Например, когда пользователь предоставляет общий доступ к документу в своей учетной записи OneDrive, он может поделиться им с кем-либо (в организации или за ее пределами), поделиться им только с пользователями внутри организации или предоставить доступ к нему конкретному человеку.

Поисковый запрос, использующий свойство , возвращает только документы, к которым предоставлен доступ с помощью третьего SharedWithUsersOWSUser параметра (совместно с определенными людьми).

Поиск бесед Skype для бизнеса

Для поиска содержимого в беседах Skype для бизнеса можно использовать следующий запрос ключевое слово:

kind:im

Предыдущий поисковый запрос также возвращает чаты из Microsoft Teams. Чтобы избежать этого, можно сузить результаты поиска, чтобы включить только Skype для бизнеса беседы с помощью следующего запроса ключевое слово:

kind:im AND subject:conversation

Предыдущий запрос ключевое слово исключает чаты в Microsoft Teams, так как Skype для бизнеса беседы сохраняются в виде сообщений электронной почты со строкой темы, которая начинается со слова "Беседа".

Чтобы найти Skype для бизнеса беседы, произошедшие в определенном диапазоне дат, используйте следующий запрос ключевое слово:

kind:im AND subject:conversation AND (received=startdate..enddate)

Ограничения символов для поиска

Дополнительные сведения об ограничениях на символы см. в разделе Ограничения поиска eDiscovery.