Прочитать на английском

Поделиться через


Сведения о рабочем процессе обнаружения электронных данных (предварительная версия)

Рабочий процесс обнаружения электронных данных (предварительная версия) помогает быстрее выявлять, исследовать и принимать меры по электронной хранимой информации (ESI) в организации. Для определения и выполнения действий с элементами ESI с помощью обнаружения электронных данных (предварительная версия) используется следующий улучшенный рабочий процесс:

Схема рабочего процесса обнаружения электронных данных.

Шаг 1. Эскалация из события триггера

События триггера — это действия, которые активируются в вашей организации и запрашивают создание нового дела в eDiscovery (предварительная версия). Это могут быть запросы от внутренних или внешних партнеров, интегрированные события, связанные с оповещениями в других решениях Microsoft Purview (например, в случаях управления внутренними рисками) или любые другие действия, которые могут извлечь выгоду из действий по поиску, расследованию и устранению рисков, включенных в обнаружение электронных данных (предварительная версия).

Шаг 2. Создание случаев и управление ими

Дело в обнаружении электронных данных (предварительная версия) содержит все наборы поиска, удержания и проверки, связанные с конкретным исследованием. Это может включать реагирование на запросы нормативных органов, расследования и судебного разбирательства. Вы также можете назначить участникам дело, чтобы контролировать, кто может получить доступ к делу и просматривать его содержимое. Обнаружение электронных данных (предварительная версия) также поддерживает интеграцию создания новых случаев с Управление внутренними рисками Microsoft Purview случаями.

Шаг 3. Поиск, оценка результатов и уточнение

После создания дела используйте встроенные средства поиска в обнаружении электронных данных (предварительная версия) для поиска в расположениях содержимого в вашей организации. Вы можете создавать и выполнять различные поисковые запросы, связанные с делом. Условия (например, ключевые слова) используются для создания нескольких поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к данному случаю. Кроме того, у вас есть следующие возможности.

  • Просмотр статистики поиска, которая может помочь уточнить поисковый запрос, чтобы сузить результаты.
  • Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
  • Пересмотр запросов и повторный запуск поиска.

Шаг 4a. Действия из результатов поиска

  • Экспорт результатов поиска. После успешного завершения поиска в случае обнаружения электронных данных можно экспортировать результаты поиска. При экспорте результатов поиска элементы почтовых ящиков загружаются в PST-файлах или в виде отдельных сообщений. При экспорте содержимого с сайтов SharePoint и OneDrive экспортируются копии собственных документов Office и других документов.
  • Создание наборов проверки. Набор для проверки — это безопасное, предоставляемое Корпорацией Майкрософт расположение службы хранилища Azure в облаке Майкрософт. При добавлении данных в набор для проверки собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно выполнять поиск, фильтрацию, добавление тегов и анализ. Вы также можете отслеживать и сообщать о том, какое содержимое добавляется в набор для проверки.

Шаг 4b. Создание удержаний

Чтобы сохранить и защитить данные, относящиеся к расследованию, можно поместить удержание обнаружения электронных данных в источниках данных, связанных с делом. Функции обнаружения электронных данных уровня "Премиум" также включают встроенный рабочий процесс коммуникации в ближайшее время, чтобы вы могли отправлять пользователям уведомления о удержании и отслеживать их подтверждения.

После создания дела вы можете сразу же установить удержание в расположениях содержимого людей, интересующихся вашим расследованием. При необходимости можно также создать удержания на основе запросов. К расположениям содержимого относятся почтовые ящики Exchange, сайты SharePoint, учетные записи OneDrive, а также почтовые ящики и сайты, связанные с Microsoft Teams и Группы Microsoft 365. Хотя хранение является необязательным, создание удержания сохраняет содержимое, которое может иметь отношение к делу во время расследования.

При создании удержания можно сохранить все содержимое в определенных расположениях содержимого или создать удержание на основе запроса, чтобы сохранить только содержимое, соответствующее запросу на удержание. Помимо сохранения содержимого, еще одна веская причина создания удержаний заключается в том, чтобы быстро искать содержимое на удержании (вместо того, чтобы выбирать каждое расположение для поиска) при создании и выполнении поиска на следующем шаге. После завершения исследования можно освободить любое удержание, созданное вами. Дополнительные сведения см. в статье Управление удержаниями в обнаружении электронных данных.

Шаг 5. Проверка и выполнение действий из наборов проверки

  • Поиск содержимого. В большинстве случаев полезно углубиться в содержимое в наборе для проверки и упорядочить его, чтобы упростить более эффективную проверку. Использование фильтров и запросов в наборе для проверки помогает сосредоточиться на подмножестве документов, которые соответствуют критериям проверки.
  • Запуск аналитики. Обнаружение электронных данных предоставляет интегрированное средство аналитики, которое помогает дополнительно отбрасвать данные из набора проверки, которые, по определению, не относятся к расследованию. Помимо уменьшения объема соответствующих данных, обнаружение электронных данных также помогает сэкономить затраты на юридическую проверку, позволяя упорядочивать содержимое, чтобы сделать процесс проверки проще и эффективнее. Дополнительные сведения см. в разделе Анализ данных в наборе для проверки в eDiscovery.
  • Элементы тегов. Организация содержимого в наборе для проверки важна для выполнения различных рабочих процессов в процессе обнаружения электронных данных. Эта организация часто включает определение соответствующего содержимого, выбраковку ненужного содержимого и определение содержимого, которое должно быть проверено экспертом или адвокатом. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов. Теги предоставляют элементы структуры и организации, включенные в исследование. Дополнительные сведения см. в разделе Добавление тегов к документам в наборе для проверки в eDiscovery.
  • Создание отчета о запросах (предварительная версия): создайте и скачайте объединенный отчет по нескольким запросам для набора для проверки. Этот отчет позволяет быстро просмотреть общее количество и объем отфильтрованных элементов для определенного ключевое слово поиска или нескольких составных запросов KeyQL.
  • Добавление элементов из набора проверки в другой набор проверки. В некоторых случаях может потребоваться выбрать документы из одного набора для проверки и работать с ними по отдельности в другом наборе для проверки.
  • Экспорт элементов. После поиска и поиска данных, относящихся к вашему расследованию, вы можете экспортировать их из организации Microsoft 365 для проверки людьми, не входящими в группу расследований. В дополнение к экспортируемым файлам данных пакет экспорта содержит отчет об экспорте, сводный отчет и отчет об ошибках. Дополнительные сведения см. в разделе Экспорт документов из набора проверки в eDiscovery.

Компоненты рабочего процесса

Случаях

Дело содержит все наборы поиска, удержания и проверки, связанные с конкретным исследованием. Это может включать реагирование на запросы нормативных органов, расследования и судебного разбирательства. Вы также можете назначить участникам дело, чтобы контролировать, кто может получить доступ к делу и просматривать его содержимое. Обнаружение электронных данных (предварительная версия) также поддерживает интеграцию создания новых случаев с Управление внутренними рисками Microsoft Purview случаями.

Источники данных

Источники данных определяют, где выполняются поиски и где можно применить удержания . Источники данных упорядочивают расположения данных в иерархической древовидной структуре с двумя уровнями. Например, для пользователя или группы пользователь или группа будут верхним уровнем, а почтовые ящики, сайты OneDrive и другие сайты будут вторым уровнем, поскольку они связаны с пользователем или группой. Для группы Microsoft Teams второй уровень будет состоять из почтового ящика группы, сайта группы, общих каналов или сайтов, частных каналов или сайтов и других каналов или сайтов, связанных с группой Teams.

Источники данных в eDiscovery (предварительная версия) делятся на три отдельные группы:

  • Пользователи. Пользователи — это пользователи в вашей организации с учетными записями Microsoft 365 и включают в себя любой почтовый ящик, сайт OneDrive или любые другие сайты, связанные с отдельным пользователем.

  • Группы: Группы включают почтовые ящики групп, сайты групп, а также общие и частные сайты и каналы Teams и SharePoint.

  • Источники для всей организации. Источники в масштабах всей организации включают в себя:

    • Все люди и группы. Включает всех пользователей и все группы в вашей организации.
    • Все общедоступные папки. Включает все содержимое в почтовых ящиках общедоступных папок Exchange.

Вы можете искать определенные источники данных или расположения данных , используя входные данные, такие как имя пользователя или группы, SMTP-адрес почтового ящика и URL-адрес сайта OneDrive или SharePoint. При создании поиска с использованием определенных источников данных выполняется поиск только в расположениях, указанных в источнике данных. Если используется источник для всей организации Все люди и группы , поиск охватывает все почтовые ящики Exchange, OneDrive и сайты SharePoint.

Синхронизация источников данных в режиме реального времени гарантирует, что вы всегда будете получать сведения о последних изменениях в расположениях данных, связанных с пользователями и группами. Вы можете запросить, добавляются ли в поиск определенные источники данных, содержатся ли в удержании новые подготовленные расположения данных или удаляются ли расположения данных.

Например, если для группы Teams создан закрытый канал, функция синхронизации на панели источника данных оповещает вас о новом расположении, что позволяет быстро и легко включить его в поиск или удержание. Это гарантирует, что новые данные не будут незамеченными и будут включены в ваши исследования. Это также помогает предотвратить потенциальную потерю данных из-за изменения расположения.

Частые участники совместной работы

При выборе пользователей в качестве источника данных для поиска можно быстро найти других пользователей, которые часто сотрудничают с выбранным пользователем. Частые участники совместной работы — это десять основных пользователей, которые наиболее актуальны для выбранного пользователя, и вы можете выбрать почтовые ящики и сайты для этих пользователей в качестве источников данных для поиска.

Экспорт и скачивание

После успешного выполнения поиска, связанного с делом обнаружения электронных данных (предварительная версия), можно экспортировать результаты поиска. При экспорте результатов поиска элементы почтовых ящиков загружаются в PST-файлах или в виде отдельных сообщений. При экспорте содержимого с сайтов SharePoint и OneDrive экспортируются копии собственных документов Office и других документов.

Если вы добавили результаты поиска в набор проверки из обращения, вы также можете экспортировать содержимое набора проверки в пакет загрузки. Этот пакет можно настроить и включает в себя параметры для экспорта только выбранных документов, всех отфильтрованных документов или всех документов в наборе для проверки.

Политики удержания и удержания

Вы можете использовать дело обнаружения электронных данных (предварительная версия) для создания политик удержания для сохранения содержимого, которое может иметь отношение к расследованию с удержанием eDiscovery. Вы можете разместить удержание в почтовых ящиках Exchange и учетных записях OneDrive людей, которые вы расследуете в данном случае. Вы также можете удерживать почтовые ящики и сайты, связанные с Microsoft Teams, группами Microsoft 365 и Viva Engage Группы. При размещении расположений содержимого на удержание содержимое сохраняется до тех пор, пока вы не удалите его из удержания или пока не удалите удержание.

При необходимости можно также поместить почтовый ящик в хранилище для судебного разбирательства , чтобы сохранить все содержимое почтового ящика, включая удаленные элементы и исходные версии измененных элементов. На хранение также помещается архивный почтовый ящик пользователя (если он включен).

Разрешения

Если вы хотите, чтобы пользователи использовали какие-либо функции, связанные с обнаружением электронных данных, на портале Microsoft Purview, необходимо назначить им соответствующие разрешения. Самый простой способ назначить роли — добавить пользователя в соответствующую группу ролей на странице Группы ролей на портале Microsoft Purview.

Совет

Вы можете просмотреть собственные разрешения на странице обзора обнаружения электронных данных (предварительная версия) на портале Microsoft Purview. Для отображения разрешений должна быть назначена по крайней мере одна роль.

Процессы

Обнаружение электронных данных (предварительная версия) включает в себя отчет о процессе , который содержит список всех действий, которые учитываются в отношении параллелизма случаев и ежедневных ограничений в обнаружении электронных данных за определенный период времени. Процессы в eDsicovery (предварительная версия) — это действия, связанные с конкретными задачами, которые поддерживают варианты, поиск и наборы проверки. Процессы активируются действиями пользователя при использовании этих компонентов.

Администраторы обнаружения электронных данных и диспетчеры обнаружения электронных данных (предварительная версия) могут получить доступ к этому отчету. Диспетчеры процессов помогают просматривать информацию, которая автоматически ограничивается обращениями, поиском, наборами проверки и удержаниями.

Наборы для проверки

Набор для проверки — это безопасное, предоставляемое корпорацией Майкрософт расположение хранилища Azure в облаке Майкрософт. При добавлении данных в набор для проверки собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно искать, фильтровать, помечать тегами, анализировать и прогнозировать релевантность с помощью прогнозных моделей кодирования. Вы также можете отслеживать и сообщать о том, какое содержимое добавляется в набор для проверки.

Поиск

Используйте поиск , чтобы быстро найти содержимое, соответствующее делу. К ним относятся электронная почта в почтовых ящиках Exchange, документы на сайтах SharePoint и расположениях OneDrive, а также беседы с мгновенными сообщениями в Skype для бизнеса. Средства поиска можно использовать для поиска электронной почты, документов и бесед с мгновенными сообщениями в средствах совместной работы, таких как Microsoft Teams и Группы Microsoft 365.

Вы можете создавать и выполнять различные поисковые запросы, связанные с делом. Условия (например, ключевые слова) используются для создания поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к данному случаю.

Кроме того, у вас есть следующие возможности.

  • Просмотр статистики поиска и примеров элементов, которые могут помочь уточнить поисковый запрос, чтобы сузить результаты.
  • Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
  • Изменять запрос и повторять поиск.
  • Экспортируйте результаты поиска или добавьте результаты поиска в набор для проверки.

Примеры поиска

Примеры из поиска предоставляют репрезентативную выборку элементов, возвращаемых определенными критериями поиска. Просмотр сведений об отдельных элементах поможет определить, требуется ли уточнять поиск или же репрезентативные элементы поддерживают добавление результатов поиска в набор для проверки или файл экспорта.

Статистика поиска

Статистика из поиска предоставляет аналитические сведения об объеме данных, расположениях содержимого, содержащих результаты, количестве попаданий для условия запроса поиска и т. д. Эти аналитические сведения помогут узнать, следует ли изменить поиск, чтобы сузить или расширить область поиска перед переходом на этапы проверки и анализа в рабочем процессе обнаружения электронных данных.

События триггера

События триггера — это действия, которые активируются в вашей организации и запрашивают создание нового дела в eDiscovery (предварительная версия). Это могут быть запросы от внутренних или внешних партнеров, интегрированные события, связанные с оповещениями в других решениях Microsoft Purview (например, в случаях управления внутренними рисками) или любые другие действия, которые могут извлечь выгоду из действий по поиску, расследованию и устранению рисков, включенных в обнаружение электронных данных (предварительная версия).

Готовы приступить к работе?