通过

在电子数据展示 (预览) 中创建事例的搜索查询

  • 项目

可以使用电子数据展示中的搜索 (预览) 来搜索组织中与案例相关的就地内容,例如电子邮件、文档和即时消息对话。 使用搜索查找这些基于云的Microsoft 365 个数据源中的内容:

  • Exchange Online 邮箱
  • SharePoint 网站
  • OneDrive 账户
  • Microsoft Teams
  • Microsoft 365 组
  • Viva Engage 组

可以创建并运行与案例关联的不同搜索。 使用条件 ((如关键字) )生成搜索查询,以返回搜索结果,其中包含与案例最有可能相关的数据。 还可以执行以下操作:

  • 查看可能有助于优化搜索查询以缩小结果范围的搜索统计信息。
  • 预览搜索结果以快速验证是否找到相关数据。
  • 修改查询并重新运行搜索。

搜索并找到与调查相关的数据后,可以将结果发送到评审集以供进一步调查,或将其导出以供调查团队外部的人员审阅。

注意

对于具有欧盟一般数据保护条例 (GDPR) 要求以在欧盟 (欧盟) 内保护和启用个人隐私的组织,还可以管理调查,以响应数据主体请求 (DSR) 由组织中的人员提交。 用户数据搜索案例工具已停用,其功能已与电子数据展示 (预览版) 合并。 现在,可以使用搜索查找内容,以支持电子数据展示搜索支持的所有位置的 DSR。

提示

开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security

搜索提示

  • 所有搜索的时区为协调世界时 (UTC) 。 当前不支持更改组织的时区。 搜索视图中的时区显示设置仅适用于 “数据 ”列中的值,不会影响所收集项的时间戳。
  • 关键字搜索不区分大小写。 例如, catCAT 将返回相同的结果。
  • 布尔运算符 ANDORNOTNEAR 必须为大写。
  • 使用引号会停止通配符和引号内的任何操作。
  • 两个关键字或两个 property:value 表达式之间的空格与使用 OR 相同。 例如, from:"Sara Davis" subject:reorganization 返回由 Sara Davis 发送的所有消息或主题行中包含单词重组的消息。 但是,在单个查询中混合使用空格和 OR 条件可能会导致意外结果。 建议在单个查询中使用空格或 OR
  • 使用与格式匹配的 property:value 语法。 值不区分大小写,并且运算符后面不能有空格。 如果有空格,则预期值为全文搜索。 例如 to: pilarp ,搜索“pilarp”作为关键字,而不是搜索发送到 pilarp 的消息。
  • 在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。 例如,可以使用 pilarp@contoso.com、pilarp 或“Pilar Pinilla”。
  • 只能使用前缀搜索;例如 cat*set*。 不支持后缀搜索 (*cat) 、 (c*t) 的内缀搜索以及 (*cat*) 的子字符串搜索。
  • 在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。 例如, subject:budget Q1 返回在主题行中包含 预算 的消息,以及邮件中的任何位置或任何消息属性中包含 Q1 的消息。 使用 subject:"budget Q1" 返回主题行中任意位置包含 预算 Q1 的所有消息。
  • 若要将使用某个属性值标记的内容从搜索结果中排除,请在属性名称前放置减号 (-)。 例如, -from:"Sara Davis" 排除 Sara Davis 发送的任何消息。
  • 可以根据消息类型导出项目。 例如,若要在 Microsoft Teams 中导出Skype对话和聊天,请使用 语法 kind:im。 若要仅返回电子邮件,请使用 kind:email。 若要返回 Microsoft Teams 中的聊天、会议和通话,请使用 kind:microsoftteams
  • 搜索网站时,使用 path 属性仅返回指定网站中的项时,必须向 URL 末尾添加尾随/。 如果未包含尾随 /,则还会返回具有类似路径名称的网站中的项目。 例如,如果使用 path:sites/HelloWorld ,也将返回名为 sites/HelloWorld_Eastsites/HelloWorld_West 的网站中的项目。 若要仅从 HelloWorld 网站返回项目,必须使用 path:sites/HelloWorld/
  • 在收集内容之前,必须在搜索查询中定义 查询语言-国家/地区
  • “已发送 ”文件夹中搜索电子邮件时,不支持使用发件人的 SMTP 地址。 “已发送”文件夹中的项目仅包含显示名称。

创建搜索查询

提示

你更喜欢交互式配置指南体验吗? 请查看 设计搜索 指南。

创建新案例后,会自动定向到事例中的“ 搜索 ”选项卡,并且已准备好为案例创建搜索。 搜索可帮助你查找要为案例收集的项目。

  1. 选择“ 创建搜索”。 如果这是没有任何先前搜索的新案例,还可以在“开始搜索相关数据”下的主窗格中选择“创建搜索”。

  2. “输入详细信息以开始使用 ”页上,填写以下字段:

    • 搜索名称:为搜索提供所需的) (名称。 搜索名称在组织中必须唯一
    • 搜索说明:添加可选说明以帮助其他人了解此搜索。

  3. 选择“ 创建 ”以创建新的搜索并启动查询以查找案例的相关数据。

  4. 在搜索的“ 查询 ”选项卡上,为搜索添加数据源

  5. 选择 “添加数据源”。

  6. “管理数据源 ”浮出控件窗格中,你将为搜索查询添加或删除数据源。 可以选择一个或多个用户、组、组织位置。

    • 在搜索字段中输入要添加的特定用户、组或组织位置。
    • 为用户选择省略号菜单,以显示前十个 常用协作者 ,并为这些用户选择关联的邮箱和网站。
    • 若要运行组织范围的搜索,可以选择添加所有用户、组或组织位置,可以从搜索字段选项中选择“ 所有人员和组”、“ 所有应用”和 “所有公用文件夹( 如果适用)。

  7. 选择“保存”。 现已确定搜索查询所检查的数据源的范围。

  8. 若要定义搜索查询的参数,可以从“ 查询 ”选项卡上的以下选项中进行选择:

    • 条件生成器:在电子数据展示 (预览) 生成搜索查询时,搜索中的条件生成器选项可提供视觉筛选体验。 有关使用条件生成器选项生成搜索查询的详细信息,请参阅 使用条件生成器在电子数据展示中创建搜索查询 (预览版)

    • 关键字查询语言 (KeyQL) :搜索中的关键字查询语言 (KQL) 查询选项提供了指导,使你能够快速将较长的复杂查询直接粘贴到编辑器中。 它还有助于从头开始生成搜索查询,识别潜在错误并显示有关如何解决问题的提示。 有关使用 KeyQL 选项生成搜索查询的详细信息,请参阅 使用关键字查询语言在电子数据展示中创建搜索查询 (预览版)

      还可以使用 Microsoft Copilot for Security 快速生成用于搜索的 KeyQL 查询。 有关指导,请参阅本文中的 以下部分

    • 按文件搜索:上传一个或多个文件以查找特定案例的相关或类似内容。 使用审核活动 csv 在特定时间范围内查找特定用户的相关消息和文件。 或者提供示例证据来查找类似内容。 每个文件的最大文件大小限制为 10 MB,文件可以是 csv 或 txt。 按文件搜索时,将禁用查询生成和 KQL 选项。

  9. 选择 运行查询。 如果要保存已定义的查询参数并稍后运行查询,请选择“ 另存为草稿”。

使用 Microsoft Copilot (预览版创建 KeyQL 搜索查询)

通过搜索中的“自然语言查询 (预览”) KeyQL 生成器选项,可以使用自然语言和 Microsoft Copilot for Security 快速生成关键字查询语言 (KeyQL) 语句。 使用生成器构造具有附加功能(包括 AND、OR 和条件分组)的复杂查询,同时使用自然语言提示。

此功能有助于使用预定义的提示(例如方案)更轻松地生成查询,并允许优化和增强自定义提示,以便更准确的搜索查询。 还可以选择使用提示建议作为起点,为常见或自定义搜索方案创建和优化 KeyQL 查询。

若要使用 Copilot 创建搜索查询,请完成以下步骤:

  1. 为查询选择数据源后,选择“ 使用 Copilot 起草查询”。
  2. “自然语言提示 ”窗格中,选择以下选项之一:
    • 输入搜索查询问题。 可以包括用户、数据源和其他内容详细信息(如果适用)。
    • 选择“ 查看提示 ”,选择以下提示建议之一:
      • 查找包含“预算”和“财务”一词的所有电子邮件,并具有附件
      • 搜索 2020 年 1 月包含“财务年度”一词的所有聊天
      • 搜索包含“机密”和“预算”一词的 .docx 类型的文件
  3. 查看自然语言提示。 若要使用 Copilot 优化提示,请选择“ 优化”。
  4. 完成提示后,选择“ 生成 KeyQL”。
  5. 关键字查询语言 (KeyQL) 结果窗格中查看 KeyQL 查询。 如果需要优化 KeyQL 查询结果,可以在 “自然语言提示 ”窗格中更新提示,然后再次选择“ 生成 KeyQL ”。 1. 完成 KeyQL 结果后,选择“ 复制 KeyQL”。
  6. 将 KeyQL 结果粘贴到“ 关键字查询语言 (KeyQL) ”选项卡上的查询字段中。可以使用 Copilot 关闭“草稿”查询
  7. 选择 运行查询。 如果要保存已定义的查询参数并稍后运行查询,请选择“ 另存为草稿”。

运行搜索查询

手动或使用 Microsoft Copilot for Security 创建搜索查询后,即可运行查询并生成搜索结果。

若要运行搜索查询,请完成以下步骤:

  1. 转到 Microsoft Purview 门户 ,并使用分配有电子数据展示权限的用户帐户的凭据登录。

  2. 选择 电子数据展示 解决方案卡,然后在左侧导航栏中选择“ 事例 ”。

  3. 选择一个案例。 在“ 搜索 ”选项卡上,选择保存的搜索。

  4. 选择 运行查询

  5. 选择“ 运行查询”后,你将看到 “设置查询结果格式 ”浮出控件窗格。 选择要为查询及其设置生成的视图。 可以选择 “统计信息 ”或 “示例” 视图:

    • 统计信息:此视图生成按排名靠前的指标排列的收集的数据估计摘要。 选择以下一个或多个选项:

      • 包括类别:优化视图以包括人员、敏感信息类型、项目类型和错误。
      • 包含查询关键字报告:评估搜索查询不同部分的关键字相关性/
      • 调查部分索引项:按计数计算,部分索引项通常占内容总数的大约 1%。 还可以选择 对部分索引的项执行高级索引 ,以及 “排除位置中的部分索引项,而不搜索命中”。

    • 示例:此视图生成完整搜索结果的代表性选择。 定义以下选项的参数:

      • 选择每个位置要生成的示例项数:选择 110100
      • 选择要从中获取样本的位置数:选择 10、100100010000

  6. 选择“ 运行查询” 以立即运行查询。

根据所选的查询视图选项,将自动定向到 “统计信息 ”或“ 示例 ”选项卡。将启动搜索查询评估,并计算处理查询的剩余时间。 有关评估和微调搜索结果的详细信息,请参阅 查看和评估搜索结果