Hinzufügen von Suchergebnissen zu einem Überprüfungssatz in eDiscovery (Vorschau)
Wenn Sie mit den Ergebnissen einer Suche zufrieden sind und bereit sind, die Ergebnisse zu überprüfen und zu analysieren, können Sie sie in diesem Fall einem Überprüfungssatz hinzufügen. Das Kopieren der originalen Daten in den Überprüfungssatz erleichtert auch den Überprüfungs- und Analyseprozess, indem Sie erweiterte Analysetools wie Die Erkennung von Designs, die Erkennung nahezuer Duplikate und die Identifizierung von E-Mail-Threads bereitstellen.
Tipp
Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.
Erstellen oder Hinzufügen von Ergebnissen zu einem Überprüfungssatz
Tipp
Bevorzugen Sie einen interaktiven Konfigurationsleitfaden? Sehen Sie sich den Leitfaden zum Erstellen und Verwalten von Prüfsätzen an .
Wenn Sie die Ergebnisse einer Suche zu einem Überprüfungssatz hinzufügen (die Überprüfungssätze in einem Fall werden auf der Registerkarte Überprüfen von Sätzen aufgeführt), geschieht Folgendes:
- Die Suche wird erneut ausgeführt. Dies bedeutet, dass die tatsächlichen Suchergebnisse, die in den Überprüfungssatz kopiert wurden, von den geschätzten Ergebnissen abweichen können, die bei der letzten Ausführung der Suche zurückgegeben wurden.
- Alle Elemente in den Suchergebnissen werden aus der ursprünglichen Datenquelle in den Livediensten kopiert und an einen sicheren Azure Storage-Speicherort in der Microsoft-Cloud kopiert.
- Alle Elemente (einschließlich Inhalt und Metadaten) werden neu indiziert, sodass alle Daten im Überprüfungssatz während der Überprüfung der Falldaten vollständig durchsucht werden können. Das Erneute Indizieren der Daten führt zu gründlichen und schnellen Suchvorgängen, wenn Sie die Daten im Review-Satz während der Falluntersuchung durchsuchen.
- Eine Datei, die mit einer Microsoft-Verschlüsselungstechnologie verschlüsselt ist und an eine E-Mail-Nachricht angefügt ist, die in den Suchergebnissen zurückgegeben wird, wird entschlüsselt, wenn die E-Mail-Nachricht und die angefügte Datei dem Überprüfungssatz hinzugefügt werden. Sie können die entschlüsselte Datei im Überprüfungssatz überprüfen und abfragen. Ihnen muss die RMS Decrypt-Rolle zugewiesen werden, um entschlüsselte E-Mail-Anlagen zu einem Überprüfungssatz hinzuzufügen. Weitere Informationen finden Sie unter Entschlüsselung in Microsoft Purview-eDiscovery Tools.
Führen Sie die folgenden Schritte aus, um einem Überprüfungssatz Daten hinzuzufügen:
Wählen Sie auf der Registerkarte Suchen eine Suche aus, und wählen Sie dann Zum Überprüfungssatz hinzufügen aus.
Wählen Sie auf der Flyoutseite Elemente zum Überprüfen des Prüfsatzes hinzufügen die Option Zu einem neuen Überprüfungssatz hinzufügen oder Zu einem vorhandenen Überprüfungssatz hinzufügen aus.
Geben Sie für einen neuen Überprüfungssatz einen Namen für den Überprüfungssatz ein. Um Einem vorhandenen Überprüfungssatz Daten hinzuzufügen, wählen Sie in den Dropdownoptionen einen Überprüfungssatz aus.
Das Hinzufügen von Daten zu einem Prüfdateisatz ist ein langwieriger Prozess. Dieser Prozess umfasst das Sammeln von Elementen aus den ursprünglichen Datenquellen in Microsoft 365 (z. B. aus Postfächern und Websites), das Kopieren an den Azure Storage-Speicherort (dieser Kopiervorgang wird auch als Erfassung bezeichnet) und das anschließende erneute Indizieren der Elemente. Sie können den Fortschritt auf der Seite Prozess-Manager nachverfolgen. Nachdem die Verarbeitung des Prüfsatzes abgeschlossen ist, wählen Sie im Fall die Registerkarte Prüfsätze und dann den Prüfsatz aus, um den Prozess des Filterns, Überprüfens, Markierens und Exportierens von Daten im Prüfsatz zu starten.
Wählen Sie im Abschnitt Elemente auswählen, die zum Prüfsatz hinzugefügt werden sollen eine der folgenden Optionen aus:
- Indizierte Elemente, die Ihrer Suchabfrage entsprechen:
- Indizierte Elemente, die ihrer Suchabfrage entsprechen, und teilweise indizierte Elemente, die möglicherweise nicht mit der Abfrage übereinstimmen:
- Teilweise indizierte Elemente, die möglicherweise nicht mit der Abfrage übereinstimmen:
Führen Sie im Abschnitt Was soll für Dateien von ODSP-Websites eingeschlossen werden? die folgenden Optionen aus:
- Dokumentversionen auswählen: Geben Sie an, wie viele Versionen von SharePoint-Dokumenten gesammelt werden sollen. Wählen Sie nur neueste Version, Zuletzt verwendete 10 Versionen, Zuletzt verwendete 100 Versionen oder Alle Versionen aus.
-
Ordnerelemente auswählen: Wählen Sie eine der folgenden Optionen aus, um Elemente in Unterordnern eines übereinstimmenden Ordners zu sammeln:
- Nur Elemente einschließen, die einer Abfrage entsprechen
- Alle Elemente in den Ordner einschließen, auch wenn sie nicht mit der Abfrage übereinstimmen
-
Elemente in Listen und Anlagen auswählen (Listenerweiterung):Wählen Sie Folgendes aus, um Dateien zu sammeln, die an SharePoint-Listen und deren untergeordnete Elemente angefügt sind.
- Alle Elemente in SharePoint einschließen, wenn ein Element mit der Abfrage übereinstimmt
- Aktivieren Sie ggf. das Kontrollkästchen Anlagen von Listen einschließen .
Wählen Sie im Abschnitt Was soll für Nachrichten und verwandte Elemente aus Postfächern eingeschlossen werden? die folgenden Optionen aus:
- Organisieren von Unterhaltungen in HTML-Transkripts: Kontextbezogene Chatnachrichten werden in html-Transkripts zusammengefasst, um die Überprüfung/Handhabung zu vereinfachen.
- Einschließen von Teams und Viva Engage Unterhaltungen: Sammeln Sie bis zu 12 Stunden verwandter Unterhaltungen, wenn eine Nachricht mit einer Suche übereinstimmt.
- Zugriffslinks (Cloudanlagen) in Nachrichten: Sammeln Sie Elemente aus Links zu SharePoint oder OneDrive. Wählen Sie nur neueste Version, Zuletzt verwendete 10 Versionen, Zuletzt verwendete 100 Versionen oder Alle Versionen aus.
Überprüfen Sie Ihre Auswahl für den Überprüfungssatz, und wählen Sie dann Zu Überprüfungssatz hinzufügen aus. Um den Vorgang abzubrechen, wählen Sie Abbrechen aus.
Optical Character Recognition (optische Zeichenerkennung)
Wenn Sie einem Überprüfungssatz Suchergebnisse hinzufügen, extrahiert die OCR-Funktion (Optische Zeichenerkennung) in eDiscovery (Vorschau) automatisch Text aus Bildern und schließt den Bildtext mit den Daten ein, die einem Überprüfungssatz hinzugefügt werden. Sie können den extrahierten Text im Text-Viewer der ausgewählten Bilddatei im Überprüfungssatz anzeigen. Auf diese Weise können Sie den Text in Bildern genauer überprüfen und analysieren. OCR wird für lose Dateien, E-Mail-Anlagen und eingebettete Bilder unterstützt. Eine Liste der Bilddateiformate, für die OCR unterstützt wird, finden Sie unter Unterstützte Dateitypen in eDiscovery.
Sie müssen die OCR-Funktionalität für jeden Fall aktivieren, den Sie in eDiscovery (Vorschau) erstellen. Weitere Informationen finden Sie unter Konfigurieren von Such- und Analyseeinstellungen.
Unterhaltungsthreading
Chat ist eine bequeme Möglichkeit, Fragen zu stellen, Ideen zu teilen oder schnell über große Zielgruppen hinweg zu kommunizieren. Da Instant Messaging-Plattformen wie Microsoft Teams und Viva Engage Gruppen zum Kern der Unternehmenszusammenarbeit werden, müssen Organisationen bewerten, wie ihr eDiscovery-Workflow diese neuen Formen der Kommunikation und Zusammenarbeit adressieren kann.
Das Feature zur Konversationsrekonstruktion in eDiscovery (Vorschauversion) soll Ihnen helfen, kontextbezogene Inhalte zu identifizieren und unterschiedliche Konversationsansichten zu erzeugen. Mit dieser Funktion können Sie vollständige Chatunterhaltungen (auch als Threadunterhaltungen bezeichnet) effizient und schnell überprüfen, die auf Plattformen wie Microsoft Teams generiert werden.
Mit der Konversationsrekonstruktion können Sie integrierte Funktionen verwenden, um Konversationsthreads zu rekonstruieren, zu überprüfen und zu exportieren. Verwenden Sie die eDiscovery-Konversationsrekonstruktion für Folgendes:
- Behalten Sie eindeutige Metadaten auf Nachrichtenebene für alle Nachrichten innerhalb einer Unterhaltung bei.
- Sammeln Sie kontextbezogene Nachrichten zu Ihren Suchergebnissen.
- Überprüfen, kommentieren und bearbeiten Sie Threadunterhaltungen.
- Exportieren einzelner Nachrichten oder Unterhaltungen im Thread
Begrifflichkeiten
Im Folgenden finden Sie einige Definitionen, die Ihnen den Einstieg in die Konversationsrekonstruktion erleichtern.
Meldungen: Stellt die kleinste Einheit einer Unterhaltung dar. Nachrichten können in Größe, Struktur und Metadaten variieren.
Gespräch: Stellt eine Gruppierung von einer oder mehreren Nachrichten dar. In verschiedenen Anwendungen können Unterhaltungen auf unterschiedliche Weise dargestellt werden. In einigen Anwendungen gibt es eine explizite Aktion, die sich aus der Antwort auf eine vorhandene Nachricht ergibt. Unterhaltungen werden explizit als Ergebnis dieser Benutzeraktion gebildet. Hier ist beispielsweise ein Screenshot einer Kanalunterhaltung in Microsoft Teams.
In anderen Apps (z. B. Gruppenchatnachrichten in Teams) gibt es keine formale Antwortkette, und stattdessen werden Nachrichten als "flacher Fluss von Nachrichten" in einem einzelnen Thread angezeigt. In apps dieser Typen werden Unterhaltungen aus einer Gruppe von Nachrichten abgeleitet, die innerhalb einer bestimmten Zeit auftreten. Diese "weiche Gruppierung" von Nachrichten (im Gegensatz zu einer Antwortkette) stellt das "Hin und Her" über ein bestimmtes Thema dar.
Hinzufügen von Unterhaltungen zu einem Überprüfungssatz
Nachdem Sie die Suchabfrage überprüft und abgeschlossen haben, können Sie die Suchergebnisse einem Überprüfungssatz hinzufügen. Sie können die Option Unterhaltungen im Thread verwenden, um kontextbezogene Nachrichten aus Unterhaltungen zu sammeln, die Elemente enthalten, die den Suchkriterien entsprechen. Nachdem Sie die Option "Threadunterhaltungen" ausgewählt haben, können die folgenden Schritte ausgeführt werden:
- Mithilfe einer Schlüsselwort (keyword)- und Datumsbereichsabfrage hat die Suche einen Treffer für Meldung 3 zurückgegeben. Diese Nachricht war Teil einer größeren Unterhaltung, die von CRC1 veranschaulicht wurde.
- Wenn Sie die Daten einem Überprüfungssatz hinzufügen und die Optionen zum Abrufen von Unterhaltungen aktivieren, geht eDiscovery zurück und sammelt andere Elemente in CRC1.
- Nachdem die Elemente dem Überprüfungssatz hinzugefügt wurden, können Sie alle einzelnen Nachrichten aus CRC1 überprüfen.