分享方式:

在電子檔探索 (預覽) 中建立案例的搜尋查詢

  • 文章

您可以在電子檔探索 (預覽) 中使用搜尋,來搜尋組織中與案例相關的就地內容,例如電子郵件、檔和立即訊息交談。 使用搜尋來尋找這些雲端式Microsoft 365 數據源中的內容:

  • Exchange Online 信箱
  • SharePoint 網站
  • OneDrive 帳戶
  • Microsoft Teams
  • Microsoft 365 群組
  • Viva Engage Groups

您可以建立並執行與案例相關聯的不同搜尋。 您可以使用關鍵詞等條件 () 建置搜尋查詢,以傳回最可能與案例相關之數據的搜尋結果。 您也可以:

  • 檢視可協助您精簡搜尋查詢以縮小結果的搜尋統計數據。
  • 預覽搜尋結果以快速驗證是否找到相關資料。
  • 修改查詢,然後重新執行搜尋。

在您搜尋並尋找與調查相關的數據之後,您可以將結果傳送至檢閱集以供進一步調查,或導出以供調查小組外部人員檢閱。

注意事項

對於具有歐盟一般數據保護規定 (GDPR) 需求來保護及啟用歐盟 (歐盟) 內個人隱私權的組織,您也可以管理調查,以回應組織中人員) 提交的數據主體要求 (DSR。 用戶數據搜尋案例工具已淘汰,且其功能已與電子檔探索 (預覽) 合併。 您現在可以使用搜尋來尋找內容,以支援電子檔探索搜尋支援的所有位置的 DSR。

提示

開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security

搜尋秘訣

  • 所有搜尋的時區都是國際標準時間 (UTC) 。 目前不支援變更組織的時區。 搜尋檢視中的時區顯示設定僅適用於 [資料] 資料 行中的值,不會影響所收集項目的時間戳。
  • 關鍵詞搜尋不區分大小寫。 例如, catCAT 會傳回相同的結果。
  • 布爾運算元 ANDORNOTNEAR 必須是大寫。
  • 使用引號會停止通配符和引號內的任何作業。
  • 兩個關鍵詞或兩 property:value 個表達式之間的間距與使用 OR 相同。 例如, 會傳 from:"Sara Davis" subject:reorganization 回所有由Ara 接著傳送的訊息,或是主旨行中包含重新整理字組的訊息。 不過,在單一查詢中混合使用空格和 OR 條件可能會導致非預期的結果。 建議您在單一查詢中使用空格或 OR
  • 使用符合格式的 property:value 語法。 值不區分大小寫,而且在 運算子後面不能有空格。 如果有空格,您預期的值就是全文搜索。 例如 to: pilarp ,搜尋 「pilarp」 作為關鍵詞,而不是傳送至 pilarp 的訊息。
  • 搜尋收件者屬性時,例如收件者、收件者、副本或收件者,您可以使用 SMTP 位址、別名或顯示名稱來表示收件者。 例如,您可以使用 pilarp@contoso.com、pinarp 或 “Pilar Pinilla”。
  • 您只能使用前置詞搜尋;例如, cat*set*。 不支援 *cat) (後綴搜尋、 (c*t) 的 infix 搜尋,以及 (*cat*) 的子字元串搜尋。
  • 搜尋屬性時,如果搜尋值包含多個字詞,請使用雙引號 (“) 。 例如, 會傳 subject:budget Q1 回在主旨行中包含 預算 ,且包含訊息中任何位置或任何訊息屬性中 Q1 的訊息。 使用會 subject:"budget Q1" 傳回主旨行中任何位置包含 預算 Q1 的所有訊息。
  • 若要從搜尋結果中排除以特定屬性值標示的內容,請在屬性名稱之前加上減號 ( ) 。 例如, -from:"Sara Davis" 會排除任何由Ara 然後傳送的訊息。
  • 您可以根據訊息類型匯出專案。 例如,若要在 Microsoft Teams 中匯出Skype交談和聊天,請使用 語 kind:im法 。 若只要傳回電子郵件訊息,您可以使用 kind:email。 若要在 Microsoft Teams 中傳回聊天、會議和通話,請使用 kind:microsoftteams
  • 搜尋網站時,當您使用 path 屬性只傳回指定網站中的專案時,必須將尾端/新增至 URL 結尾。 如果您未包含尾端 /,也會傳回具有類似路徑名稱之網站的專案。 例如,如果您使用 path:sites/HelloWorld ,則會傳回名為 sites/HelloWorld_Eastsites/HelloWorld_West 之網站中的專案。 若只要從 HelloWorld 網站傳回專案,您必須使用 path:sites/HelloWorld/
  • 您必須在搜尋查詢中定義 查詢語言/國家/地區 ,才能收集內容。
  • 在搜尋 寄件 人資料夾中的電子郵件時,不支援使用寄件者的 SMTP 位址。 [ 傳送] 資料夾中的專案只包含顯示名稱。

建立搜尋查詢

提示

您偏好互動式設定指南體驗嗎? 請參閱 設計搜尋 指南。

建立新案例之後,系統會自動將您導向至案例中的 [ 搜尋] 索 引標籤,而且您已準備好建立案例的搜尋。 搜尋可協助您尋找要針對案例收集的專案。

  1. 取 [建立搜尋]。 如果這是沒有先前任何搜尋的新案例,您也可以在 [開始搜尋相關數據] 下方的主窗格中選取 [建立搜尋]。

  2. 在 [ 輸入要開始使用的詳細資料] 頁面上,完成下列欄位:

    • 搜尋名稱:指定搜尋的名稱 (必要) 。 搜尋名稱在您的組織中必須是唯一的
    • 搜尋描述:新增選擇性描述,以協助其他人瞭解此搜尋。

  3. 取 [建立 ] 以建立新的搜尋並啟動查詢,以尋找案例的相關數據。

  4. 在搜尋的 [ 查詢 ] 索引卷標上,為您的搜尋新增數據源

  5. 取 [新增數據源]

  6. 在 [ 管理數據源 ] 飛出視窗窗格中,您將新增或移除搜尋查詢的數據源。 您可以選擇一或多個使用者、群組、組織位置。

    • 在搜尋欄位中輸入您想要新增的特定使用者、群組或組織位置。
    • 選取省略號功能表,讓用戶顯示前十名 的常用共同作業者 ,併為這些用戶選取相關聯的信箱和網站。
    • 若要執行全組織搜尋,您可以選擇新增所有使用者、群組或組織位置,您可以從搜尋欄位選項中選取 [ 所有人員和群組]、[ 所有應用程式] 和 [ 所有公用資料夾 ]。

  7. 選取 [儲存]。 您現在已設定搜尋查詢檢查的數據源範圍。

  8. 若要定義搜尋查詢的參數,您可以在 [ 查詢 ] 索引卷標上選擇下列選項:

    • 條件產生器:當您在電子檔探索 (預覽) 中建置搜尋查詢時,搜尋中的條件產生器選項會提供可視化篩選體驗。 如需使用條件產生器選項建置搜尋查詢的詳細資訊,請參閱 使用條件產生器在電子檔探索中建立搜尋查詢 (預覽)

    • Keyword Query Language (KeyQL) :搜尋中的關鍵詞查詢語言 (KQL) 查詢選項提供指引,可讓您將冗長且複雜的查詢直接貼到編輯器中。 它也可協助您從頭開始建立搜尋查詢,並識別潛在的錯誤,並顯示如何解決問題的提示。 如需使用 KeyQL 選項建置搜尋查詢的詳細資訊,請參閱 使用關鍵詞查詢語言在電子檔探索中建立搜尋查詢 (預覽)

      您也可以使用 Microsoft Copilot for Security 快速建置搜尋的 KeyQL 查詢。 如需指引,請參閱本文中的 下一節

    • 依檔案搜尋:上傳一或多個檔案,以尋找特定案例的相關或類似內容。 使用稽核活動 csv 來尋找特定時間範圍內特定使用者的相關訊息和檔案。 或提供範例辨識項以尋找類似的內容。 每個檔案的檔案大小上限為 10 MB,且檔案可以是 csv 或 txt。 依檔案搜尋時,會停用查詢組建和 KQL 選項。

  9. 選取 [執行查詢]。 如果您想要儲存已定義的查詢參數,並在稍後執行查詢,請選取 [ 另存為草稿]

使用 Microsoft Copilot (預覽版建立 KeyQL 搜尋查詢)

搜尋中的 [自然語言查詢 (預覽) KeyQL 產生器] 選項可讓您使用自然語言,並 Microsoft Copilot for Security 快速產生 KeyQL (KeyQL) 語句的關鍵詞查詢語言。 使用產生器建構具有其他功能的複雜查詢,包括 AND、OR 和條件群組,同時使用自然語言提示。

此功能可協助您更輕鬆地使用預先定義的提示來建置查詢,例如案例,並可讓您精簡和增強自定義提示,以取得更精確的搜尋查詢。 您也可以選擇使用提示建議作為起點,以建立及精簡一般或自定義搜尋案例的 KeyQL 查詢。

若要使用 Copilot 建立搜尋查詢,請完成下列步驟:

  1. 選取查詢的數據源之後,請選取 [使用 Copilot 草稿查詢]
  2. 在 [ 自然語言提示 字元] 窗格中,選擇下列其中一個選項:
    • 輸入您的搜尋查詢問題。 您可以視需要包含使用者、資料來源和其他內容詳細數據。
    • 取 [檢視提示] 以選取下列其中一個提示建議:
      • 尋找包含預算和財務單字的所有電子郵件,並具有附件
      • 搜尋 2020 年 1 月包含「財務年度」一詞的所有聊天
      • 搜尋類型為 .docx 的檔案,其中包含機密和預算等字組
  3. 檢閱自然語言提示。 若要使用 Copilot 精簡提示,請選取 [精簡]
  4. 當提示完成時,選取 [產生 KeyQL]
  5. 在 [ 關鍵詞查詢語言 (KeyQL) 結果窗格中檢閱 KeyQL 查詢。 如果您需要精簡 KeyQL 查詢結果,您可以在 [自然語言提示 字元] 窗格中更新提示,然後再次選取 [產生 KeyQL] 。 1. 當 KeyQL 結果完成時,請選取 [複製 KeyQL]
  6. 將 KeyQL 結果貼到 [ 關鍵詞查詢語言] ([KeyQL) ] 索引標籤上的 [查詢] 字段。您可以使用 Copilot 關閉草稿查詢
  7. 選取 [執行查詢]。 如果您想要儲存已定義的查詢參數,並在稍後執行查詢,請選取 [ 另存為草稿]

執行搜尋查詢

手動建立搜尋查詢或使用 Microsoft Copilot for Security 之後,您就可以開始執行查詢併產生搜尋結果。

若要執行搜尋查詢,請完成下列步驟:

  1. 移至 Microsoft Purview 入口網站 ,並使用指派電子檔探索許可權之用戶帳戶的認證登入。

  2. 選取 電子檔探索 解決方案卡片,然後選取左側導覽中的 [ 案例 ]。

  3. 選取案例。 在 [ 搜尋] 索引 標籤上,選取已儲存的搜尋。

  4. 選取 [執行查詢]

  5. 選取 [ 執行查詢] 之後,您會看到 [ 格式化查詢結果 ] 飛出視窗窗格。 選擇您想要為查詢及其設定產生的檢視。 您可以選擇 [統計資料 ] 或 [ 範例] 檢視:

    • 統計數據:此檢視會產生由最上層指標排列的收集數據估計值摘要。 選擇下列一或多個選項:

      • 包含類別:精簡您的檢視,以包含人員、敏感性資訊類型、專案類型和錯誤。
      • 包含查詢關鍵詞報告:評估搜尋查詢不同部分的關鍵詞相關性/
      • 調查部分編製索引的專案:部分編製索引的專案通常會依計數占內容的大約百分之一。 您也可以選取 [ 在部分編製索引的專案上執行進 階索引編製],以及選取 [ 排除位置中部分編製索引的專案,而不需要搜尋點擊]

    • 範例:此檢視會產生完整搜尋結果的代表性選取專案。 定義下列選項的參數:

      • 選取每個位置要產生的範例項目數目:選擇 1、10100
      • 選取要從中取得範例的位置數目:選擇 10、100100010000

  6. 取 [執行查詢 ] 以立即執行查詢。

根據您選取的查詢檢視選項,系統會自動將您導向至 [統計數據 ] 或 [ 範例] 索引 標籤。搜尋查詢評量隨即開始,並計算處理查詢的剩餘時間。 如需評估和微調搜尋結果的詳細資訊,請參 閱檢閱和評估搜尋結果