Описание электронного раскрытия информации

  • 8 мин

Обнаружение электронных данных — это процесс определения и предоставления электронной информации, которая может использоваться в качестве доказательств в судебных разбирательствах.

eDiscovery (обнаружение электронных данных) — это одно из решений, доступных на портале Microsoft Purview в наборе решений «Риск и соответствие требованиям».

На портале Microsoft Purview представлен единый интерфейс обнаружения электронных данных. Все возможности обнаружения электронных данных доступны через единый интерфейс и в зависимости от лицензий и подписок вашей организации, вы можете получить доступ к функциям premium для управления делами, анализа содержимого и проведения расширенных исследований.

Чтобы получить доступ к любому из средств, связанных с обнаружением электронных данных, пользователю необходимо назначить соответствующие разрешения.

Вы можете использовать Microsoft Purview eDiscovery для идентификации, просмотра и управления содержимым в службах Microsoft 365 при проведении исследований. Поддерживаемые службы Microsoft 365:

  • Обмен онлайн
  • Microsoft Teams
  • Группы Microsoft 365
  • OneDrive
  • SharePoint
  • Viva Engage

Рабочий процесс eDiscovery

Рабочий процесс eDiscovery помогает быстрее выявлять, исследовать угрозы и предпринимать действия в отношении электронной хранимой информации (ESI) в вашей организации. Идентификация и принятие мер в отношении элементов ESI с использованием электронного обнаружения данных (eDiscovery) осуществляется по следующему рабочему процессу:

Схема рабочего процесса обнаружения электронных данных.

Шаг 1: Эскалация из события триггера: События триггера — это действия, которые подлежат эскалации в вашей организации и инициируют создание нового дела в eDiscovery.

Шаг 2. Создание дела и управление делом: дело в eDiscovery содержит все поисковые запросы, удержания данных и наборы для обзора, связанные с конкретным расследованием.

Шаг 3. Поиск, оценка результатов и уточнение. После создания кейса используйте встроенные средства поиска для поиска источников контента в организации.

Шаг 4a. Действия включают:

  • Экспорт результатов поиска
  • Создание наборов для проверки из результатов поиска: набор для проверки представляет собой безопасное место в облачном сервисе Microsoft Azure Storage, предоставляемое корпорацией Майкрософт. Когда вы добавляете данные в набор для проверки, собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы для проверки предоставляют возможность получить статический известный набор содержимого, в котором можно проводить поиск, фильтровать, помечать тегами и анализировать.
  • Создание удержаний. Вы можете создавать удержания, чтобы сохранить содержимое, которое может иметь отношение к случаю eDiscovery.

Шаг 5. Анализ и выполнение действий на основе наборов рецензий: Можно предпринять множество различных действий. Примеры действий:

  • Выполнение аналитики. eDiscovery предоставляет интегрированный инструмент аналитики, который помогает дополнительно отбирать данные из набора проверки, которые, по вашему мнению, не относится к расследованию.
  • Элементы тегов. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов.
  • Элементы экспорта. После поиска и нахождения данных, имеющих отношение к вашему исследованию, вы можете экспортировать их из своей организационной структуры Microsoft 365 для просмотра лицами, не входящими в группу по исследованию.

Функции и возможности обнаружения электронных данных

Следующий список — это небольшое подмножество возможностей, доступных в eDiscovery. Полный список приведен в разделе функций и возможностей в статье «Подробнее об eDiscovery (предварительная версия)», ссылка на которую приведена в разделе «Краткая сводка и ресурсы» этого модуля.

  • Поиск контента: поиск содержимого, хранящегося в почтовых ящиках Exchange, учетных записях OneDrive, сайтах SharePoint, Microsoft Teams, Группы Microsoft 365 и Viva Engage Teams.
  • Экспорт результатов поиска: экспорт результатов поиска на локальный компьютер в организации. При экспорте результатов поиска элементы копируются из исходного расположения содержимого и упаковываются. Затем эти элементы можно скачать в пакете экспорта на локальный компьютер.
  • Постановка расположений контента на удержание: сохраните важное для расследования содержимое, наложив удержание на расположения контента в рамках дела. Удержание позволяет защитить электронную хранимую информацию от непреднамеренного (или преднамеренного) удаления во время расследования.
  • Поиск и удаление данных: поиск и удаление потенциально вредного или высокого риска содержимого, включая сообщения электронной почты и сообщения чата Teams в организации.
  • Наборы для обзора (функция премиум-класса) — набор для обзора — это безопасное, предоставляемое компанией Microsoft место хранения Azure в облаке Microsoft. Когда вы добавляете данные в набор для проверки, собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический, известный набор контента, который можно искать, фильтровать, тегировать, анализировать и прогнозировать его релевантность с помощью предсказательных моделей кодирования.
  • Оптическое распознавание символов (OCR) (функция "Премиум") — когда содержимое добавляется в набор проверки, функция OCR извлекает текст из изображений и включает текст изображения с содержимым, добавленным в набор проверки. Это позволяет искать текст изображения при запросе содержимого в наборе для проверки.
  • Потоки беседы (функция premium): при добавлении сообщений чата из Teams и Viva Engage в набор проверки можно собрать весь поток беседы. Это позволяет просматривать сообщения чата в контексте двустороннего диалога.
  • Расшифровка (премиум функция): обнаружение электронных данных поддерживает расшифровку содержимого, защищенного с помощью технологий шифрования Майкрософт. Сообщения электронной почты и вложения, зашифрованные с помощью шифрования сообщений Microsoft Purview, и документы, защищенные метками конфиденциальности, автоматически расшифровываются при добавлении в набор проверки.

Интеграция с Microsoft Security Copilot

Microsoft Purview eDiscovery поддерживает интеграцию с Microsoft Security Copilot посредством внедренного интерфейса. Пользователи, чьи организации подключены к Copilot, разрешили Copilot получать доступ к данным из служб Microsoft 365 и имеют соответствующие разрешения ролей, могут воспользоваться интеграцией Copilot с помощью следующих поддерживаемых возможностей:

  • Получайте контекстный обзор доказательств, собранных в наборах для проверки электронной информации eDiscovery.
  • Преобразование запросов естественного языка в запросы на языке ключевых слов (KeyQL).

Получите контекстную сводку доказательств, собранных в наборах ревизии электронных данных

Администраторы и руководители eDiscovery часто тратят значительное время на проверку доказательств, собранных в наборах проверки. Вы можете использовать Security Copilot в Microsoft Purview для предоставления контекстной сводки по большинству элементов в проверяемом наборе.

Сводка представлена в контексте текста, включенного в выбранный элемент. Эта сводка позволяет сэкономить время для рецензентов, быстро определяя полезные сведения при добавлении тегов или экспорте элементов.

Security Copilot суммирует весь материал, включая документы, расшифровки собраний или вложения. Вы также можете задать контекстные вопросы о сводке.

Снимок экрана контекста, созданного Copilot для элемента в наборе проверки Microsoft Purview eDiscovery (Premium).

Естественный язык к запросам KeyQL

Интеграция Copilot в eDiscovery позволяет менеджерам eDiscovery использовать команды на естественном языке для создания запросов KeyQL. С помощью созданного запроса вы можете сохранить его или запустить. Copilot также предоставляет предложения запроса, которые можно преобразовать в запрос.

Снимок экрана, показывающий пользовательский интерфейс для разработки запроса с помощью Copilot с использованием естественного языка. Также показано, как использовать доступные запросы для создания запроса.

Интеграция с Управлением рисками инсайдеров Microsoft Purview

Microsoft Purview eDiscovery интегрируется с Microsoft Purview Insider Risk Management. Если в случае с инсайдерской угрозой требуется юридическая проверка потенциально рискованного действия пользователей, его можно быстро перерасти в новый случай в обнаружении электронных данных. Эта интеграция помогает группам риска и юридических групп работать эффективнее и обеспечивает полное представление о действиях пользователей, которые рассматриваются.