Сведения о рабочем процессе обнаружения электронных данных

Рабочий процесс обнаружения электронных данных помогает быстро выявлять, исследовать и принимать меры в отношении электронной хранимой информации (ESI) в организации. Для выявления элементов ESI и выполнения действий с помощью обнаружения электронных данных используется следующий улучшенный рабочий процесс:

Шаг 1. Эскалация из события триггера

События триггера — это действия, которые активируются в вашей организации и запускают создание нового дела в обнаружении электронных данных. Это могут быть запросы от внутренних или внешних партнеров, интегрированные события, связанные с оповещениями в других решениях Microsoft Purview (например, случаи управления внутренними рисками) или любые другие действия, которые могут извлечь выгоду из действий по поиску, расследованию и устранению рисков, включенных в обнаружение электронных данных.

Шаг 2. Создание случаев и управление ими

Дело в обнаружении электронных данных содержит все наборы поиска, удержания и проверки, связанные с конкретным исследованием. Случаи могут включать в себя реагирование на запросы нормативных органов, расследования и судебного разбирательства. Вы также можете назначить участникам дело, чтобы контролировать, кто может получить доступ к делу и просматривать его содержимое. Обнаружение электронных данных также поддерживает интеграцию создания новых случаев с Управление внутренними рисками Microsoft Purview случаями.

Шаг 3. Поиск, оценка результатов и уточнение

После создания дела используйте встроенные средства поиска в eDiscovery для поиска по расположениям содержимого в вашей организации. Вы можете создавать и выполнять различные поисковые запросы, связанные с делом. Используйте условия (например, ключевые слова) для создания нескольких поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к данному случаю. Кроме того, у вас есть следующие возможности.

• Просмотр статистики поиска, которая может помочь вам уточнить поисковый запрос, чтобы сузить результаты.
• Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
• Пересмотр запросов и повторный запуск поиска.

Шаг 4a. Действия из результатов поиска

• Экспорт результатов поиска. После успешного завершения поиска в случае обнаружения электронных данных можно экспортировать результаты поиска. При экспорте результатов поиска элементы почтовых ящиков загружаются в PST-файлах или в виде отдельных сообщений. При экспорте содержимого с сайтов SharePoint и OneDrive экспортируются копии собственных документов Office и других документов.
• Создание наборов проверки. Набор для проверки — это безопасное, предоставляемое Корпорацией Майкрософт расположение службы хранилища Azure в облаке Майкрософт. При добавлении данных в набор для проверки собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно выполнять поиск, фильтрацию, добавление тегов и анализ. Вы также можете отслеживать и сообщать о том, какое содержимое добавляется в набор для проверки.

Шаг 4b. Создание удержаний

Чтобы сохранить и защитить данные, относящиеся к расследованию, можно поместить удержание обнаружения электронных данных в источниках данных, связанных с делом. После создания дела вы можете сразу же установить удержание в расположениях содержимого людей, интересующихся вашим расследованием. При необходимости можно также создать удержания на основе запросов. К расположениям содержимого относятся почтовые ящики Exchange, сайты SharePoint, учетные записи OneDrive, а также почтовые ящики и сайты, связанные с Microsoft Teams и Группы Microsoft 365. Хотя хранение является необязательным, создание удержания сохраняет содержимое, которое может иметь отношение к делу во время расследования.

При создании удержания можно сохранить все содержимое в определенных расположениях содержимого или создать удержание на основе запроса, чтобы сохранить только содержимое, соответствующее запросу на удержание. Помимо сохранения содержимого, еще одна веская причина создания удержаний заключается в том, чтобы быстро искать содержимое на удержании (вместо того, чтобы выбирать каждое расположение для поиска) при создании и выполнении поиска на следующем шаге. После завершения исследования можно освободить любое удержание, созданное вами. Дополнительные сведения см. в статье Управление удержаниями в обнаружении электронных данных.

Шаг 5. Проверка и выполнение действий из наборов проверки

• Поиск содержимого. В большинстве случаев полезно углубиться в содержимое в наборе для проверки и упорядочить его, чтобы упростить более эффективную проверку. Использование фильтров и запросов в наборе для проверки помогает сосредоточиться на подмножестве документов, которые соответствуют критериям проверки.
• Запуск аналитики. Обнаружение электронных данных предоставляет интегрированное средство аналитики, которое помогает дополнительно отбрасвать данные из набора проверки, которые, по определению, не относятся к расследованию. Помимо уменьшения объема соответствующих данных, обнаружение электронных данных также помогает сэкономить затраты на юридическую проверку, позволяя упорядочивать содержимое, чтобы сделать процесс проверки проще и эффективнее. Дополнительные сведения см. в разделе Анализ данных в наборе для проверки в eDiscovery.
• Элементы тегов. Организация содержимого в наборе для проверки важна для выполнения различных рабочих процессов в процессе обнаружения электронных данных. Эта организация часто включает в себя определение соответствующего содержимого, выбраковку ненужного содержимого и определение содержимого, которое требует проверки экспертом или адвокатом. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов. Теги предоставляют элементы структуры и организации, включенные в исследование. Дополнительные сведения см. в разделе Добавление тегов к документам в наборе для проверки в eDiscovery.
• Создание отчета о запросах (предварительная версия): создайте и скачайте объединенный отчет по нескольким запросам для набора для проверки. Этот отчет позволяет быстро просмотреть общее количество и объем отфильтрованных элементов в определенном ключевое слово поиска или нескольких составных KeyQL запросах.
• Добавление элементов из набора проверки в другой набор проверки. В некоторых случаях может потребоваться выбрать документы из одного набора проверки и работать с ними по отдельности в другом наборе проверки.
• Экспорт элементов. После поиска и поиска данных, относящихся к вашему расследованию, вы можете экспортировать их из организации Microsoft 365 для проверки людьми, не входящими в группу расследований. В дополнение к экспортируемым файлам данных пакет экспорта содержит отчет об экспорте, сводный отчет и отчет об ошибках. Дополнительные сведения см. в разделе Экспорт документов из набора проверки в eDiscovery.

Готовы приступить к работе?

• Дополнительные сведения о функциях и компонентах обнаружения электронных данных
• Начало работы с обнаружением электронных данных