Auswerten und Verfeinern von Suchergebnissen in eDiscovery (Vorschau)

Das Auswerten und Verfeinern Ihrer Suchergebnisse ist einer der wichtigsten Schritte in Ihrer eDiscovery-Untersuchung. Anhand der von Ihnen konfigurierten Suchabfrage und der zurückgegebenen Ergebnisse können Sie ermitteln, ob Sie Elemente und Informationen ermittelt haben, die für Ihre Untersuchung gelten, oder ob Sie Ihre Suche ändern müssen, um weitere relevante Elemente zu ermitteln. Diese anfängliche Suche nach Elementen und die erste Überprüfung der Informationen helfen Ihnen, zu bestimmen, welche Aktionen erforderlich sind, nachdem Sie Ihre Suchparameter abgeschlossen haben.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Auswerten von Suchergebnissen

Nachdem Sie eine Suche erstellt und ausgeführt haben, besteht der nächste Schritt darin, die Suchstatistiken anzuzeigen, damit Sie überprüfen können, ob relevante Inhalte gefunden werden und welche Inhaltsspeicherorte die meisten Treffer aufweisen. Sie können auch ein Beispiel der Suchergebnisse überprüfen, um ihnen zu helfen, festzustellen, ob der Inhalt innerhalb des Bereichs Ihrer Untersuchung liegt.

Statistik-Dashboard

Wenn Sie Statistik als anfänglichen Ergebnistyp für Ihre Suche ausgewählt haben, werden Sie automatisch zu diesem Dashboard weitergeleitet, wenn die Suchergebnisse abgeschlossen sind. Wenn Sie bereits mit früheren Versionen von eDiscovery vertraut sind, ähneln die Informationen auf der Registerkarte Statistiken den Sammlungsschätzungen. Die Suchergebnisse für die Statistik-Dashboard sind in den folgenden Abschnitten enthalten:

• Zusammenfassung: In diesem Abschnitt werden die Anzahl der Suchtreffer, Speicherorte, Datenquellen und die Gesamtdateigröße der teilweise indizierten Elemente angezeigt.
  • Suchtreffer: Zeigt die Gesamtzahl der Suchtreffer und das Volumen aller Elemente an, die den Abfragekriterien der durchsuchten Speicherorte entsprechen.
  • Standorte: Zeigt den Anteil der Standorte mit Treffern aus allen durchsuchten Standorten an. Der Zähler zeigt die Standorte mit Treffern und nenner die Anzahl der durchsuchten Standorte an. Standorte mit Fehlern werden rot angezeigt. Um vollständige Details zu allen Speicherorten und den zugehörigen Treffern und Fehlern anzuzeigen, wählen Sie Bericht herunterladen aus, um den vollständigen .csv Bericht herunterzuladen.
  • Datenquellen: Zeigt den Anteil der Datenquellen mit Treffern aus allen durchsuchten Datenquellen an. Der Zähler zeigt die Datenquellen mit Treffern an, und der Nenner zeigt die Anzahl der in der Suche enthaltenen Datenquellen an. Diese Datenquelle ist konsistent mit der Datenquelle im Suchentwurfsflow und sollte der Anzahl der Personen oder Gruppen entsprechen, die in der Suche enthalten sind. Eine mandantenweite Datenquelle von Alle Personen und alle Gruppen zählt als einzelne Datenquelle.
  • Teilweise indizierte Elemente oder "Treffer für erweiterte indizierte Elemente": Zeigt die Anzahl und das Volumen der teilweisen und nicht indizierten Elemente an, die im Rahmen der Suche zurückgegeben werden. Diese Karte zeigt teilweise indizierte Elementinformationen an, wenn Sie sich dafür entscheiden, teilweise oder nicht indizierte Elemente als Teil der Suchkonfiguration einzuschließen. Wenn Sie sich dafür entschieden haben, teilweise und nicht indizierte Elemente einzuschließen und erweiterte Indizierungsoptionen aktiviert zu haben, zeigt diese Karte zusätzliche Treffer an, die Sie von erweiterten indizierten Elementen erhalten. Die erweiterte indizierte Trefferanzahl stammt aus einer Statistikstichprobe für die teilweise indizierten Elemente. Die tatsächlichen Treffer können höher sein und sollten mithilfe der Aktionen zu einem Überprüfungssatz hinzufügen und Suchergebnisse exportieren bestätigt werden.
• Trends für Suchtreffer: In diesem Abschnitt werden die folgenden Suchergebnisse angezeigt. Die Diagramme sind interaktiv, zeigen Sie mit der Maus, um Abschnittsnamen, Prozentsätze und Elementnummern anzuzeigen. Wählen Sie Top 100 anzeigen aus, um weitere Informationen zu den in den einzelnen Trends enthaltenen Elementen zu erfahren und die Ergebnisse in eine .csv-Datei herunterzuladen:
  • Top-Datenquellen: Zeigt die fünf wichtigsten Datenquellen an, die die meisten Suchtreffer für Ihre Abfrage bilden. Der Name dieser Datenquellen (Namen von Benutzern, Gruppen oder organization breiten Speicherorten) wird mit der Trefferanzahl aufgeführt. Diese Datenquellen sollten mit dem übereinstimmen, was Sie beim Erstellen der Suchabfrage im Datenquellenworkflow ausgewählt haben.
  • Top Sensitive Information Types (SITs): Zeigt die fünf wichtigsten Typen vertraulicher Informationen (SITs) in SharePoint-Dateien an, die am häufigsten in den Suchtreffern enthalten sind, die Ihrer Abfrage entsprechen. Das Hinzufügen der Anzahl jeder SIT entspricht nicht unbedingt der Gesamtzahl der Treffer, da ein einzelnes Element/Dokument mehr als einen SIT-Typ enthalten kann. Beispielsweise enthält ein Dokument sowohl ein Kennwort als auch eine Sozialversicherungsnummer (SSN). In diesem Beispiel wird sie zweimal gezählt. Es wird empfohlen, die Ersten 100 anzeigen auszuwählen, um ein tieferes Verständnis der Speicherorte dieser SIT-Zählungen zu erhalten, um zu überprüfen, ob sie sich überschneiden oder nicht.
  • Top-Schlüsselwörter: Abfrageschlüsselwörter, die zu den meisten Suchtreffern geführt haben, die Ihrer Abfrage entsprechen.
  • Häufigste Elementtypen: Die häufigsten Elementtypen innerhalb von Suchtreffern, die Ihrer Abfrage entsprechen. Diese Anzahl wird durch itemClass für Exchange-Inhalte und ContentType für SharePoint-Inhalte bestimmt.
  • Indizierung status: Aufschlüsselung der nicht indizierten (einschließlich teilweise indizierten) und vollständig indizierten Datenelementen.
  • Wichtigste Kommunikationsteilnehmer: Absender oder Empfänger für E-Mails, Microsoft Teams-Chats und Kalender-Einladungen an Exchange-Standorten.
  • Top-Standorttyp: Trefferanzahl nach Standorttyp (Postfach im Vergleich zu Website).

Wählen Sie Ansicht erneut generieren aus, um die Abfrage erneut auszuführen und die aktuellsten Ergebnisse zu überprüfen. Wählen Sie Bericht herunterladen aus, um alle Statistikergebnisse in einer einzelnen .csv-Datei zu kombinieren. Wenn Sie die top 100 Ergebnisse für einen beliebigen Trendbereich anzeigen, wählen Sie Bericht herunterladen aus, um eine .csv Datei der 100 wichtigsten Ergebnisse des ausgewählten Treffertrends zu sehen.

Grundlegendes zu Statistiken und Suchergebnissen

Je nachdem, wann Sie eine Suche in eDiscovery (Vorschau) ausführen, können die Statistiken für die Suche unterschiedliche Ergebnisse enthalten. Wenn Sie z. B. zwei Suchvorgänge mit genau den gleichen Bedingungen, aber zu unterschiedlichen Zeiten ausführen, haben Sie wahrscheinlich unterschiedliche Statistikergebnisse. Diese Unterschiede können aus folgenden Gründen verursacht werden:

• Ihre organization ist aktiv: Da Sie aktive Benutzer in einer Produktionsumgebung haben, werden Daten in Ihrem organization ständig verschoben, hinzugefügt, gelöscht und eingestellt. Die gleichen Suchbedingungen, die für dieselben Speicherorte ausgeführt werden, weisen wahrscheinlich unterschiedliche Suchergebnisse auf, da sich die Daten an diesen Speicherorten zwischen dem Zeitpunkt geändert haben, zu dem die Suchvorgänge ausgeführt wurden.
• Vorübergehende Fehler: Wenn Sie eine Suche ausführen (oder einen Überprüfungssatz exportieren oder hinzufügen), können vorübergehende Verarbeitungsfehler auftreten, insbesondere bei großen Datensätzen. Diese Fehler sind häufig auf Verarbeitungstimeouts zurückzuführen und können verringert werden, indem Suchvorgänge in kleinere Datumsbereiche aufgeteilt und die Daten parallel exportiert werden. Versuchen Sie immer, Suchvorgänge in kleinere Größen mit spezifischeren Suchbedingungen aufzuteilen und gezieltere Suchvorgänge mit ausgewählten Speicherorten durchzuführen. Dies trägt dazu bei, dass die Verarbeitung effizienter ausgeführt wird, wobei die Wahrscheinlichkeit von Fehlern geringer ist.
• Standortzugriff: Es gibt Szenarien, in denen in einer Suche enthaltene Speicherorte ungültig sind, nicht zugänglich sind oder während der Verarbeitung zeitüberschreitungen. Wenn Sie die Ergebnisse zwischen zwei Suchvorgängen mit denselben Bedingungen vergleichen, stellen Sie sicher, dass die durchsuchten Speicherorte übereinstimmen. Beispielsweise kann bei einer Suche nach 1.000 Speicherorten bei der ersten Ausführung ein Fehlerspeicherort und bei der zweiten Ausführung keine fehlerhaften Speicherorte vorliegen. Dies bedeutet, dass bei der ersten Ausführung nur 999 Standorte erfolgreich durchsucht wurden, und bei der zweiten Ausführung wurden 1.000 Standorte durchsucht. Der Unterschied zwischen einem Speicherort ist der Grund, warum suchergebnisse zwischen zwei Ausführungen unterschiedlich sind. Verwenden Sie den locations.csvBericht zum Suchen, Exportieren und Hinzufügen zu Überprüfungssatzprozessen, um einen umfassenden Bericht darüber anzuzeigen, welche Standorte erfolgreich waren und an welchen Speicherorten fehler aufgetreten sind. Erneut ausführen sucht nach fehlerhaften Speicherorten.
• Benutzer, der die Suche ausführt: Je nachdem, ob der Benutzer den Suchvorgang startet, hat der Benutzer möglicherweise die Konformitätsgrenze oder den Filter für die Kompatibilitätssuche angewendet. Dieser Filter filtert entweder Speicherorte basierend auf Postfacheigenschaften oder filtert Inhalte basierend auf dem Inhaltspfad (SharePoint-Websites). Die Ergebnisse der für den Benutzer können eingeschränkt sein, wenn eine Konformitätsgrenze oder ein Suchberechtigungsfilter angewendet wird. Für einen Benutzer ist z. B. keine Konformitätsgrenze angewendet, für einen zweiten Benutzer jedoch eine Konformitätsgrenze, die diesen Benutzer auf Benutzerpostfächer und OneDrive-Websites auf eine bestimmte Region beschränkt. Eine Suche des ersten Benutzers gibt alle Postfächer zurück, und OneDrive stimmt mit den Suchbedingungen für alle Regionen überein, und eine Suche nach dem zweiten Benutzer gibt nur Übereinstimmungen für Postfächer und OneDrive-Websites nur für die zulässige Region zurück.

Beispiel Dashboard

Wenn Sie Sample als ersten Ergebnistyp für Ihre Suche ausgewählt haben, werden Sie automatisch zu diesem Dashboard weitergeleitet, wenn die Suchergebnisse abgeschlossen sind. Die Suchergebnisse für die Spalten Sample Dashboard enthalten die folgenden Informationen für jedes Element:

• Betreff/Titel: Der Betreff oder Titel der elemente, die im Beispiel enthalten sind.
• Datum: Das Datum, an dem das Element erstellt oder gesendet wurde.
• Absender/Autor: Der Absender oder Autor des Elements.

Mit Beispielen können Sie eine repräsentative Teilmenge einzelner Elemente und Details für jedes Element überprüfen, das für die Suche zurückgegeben wird. Die Anzahl der Stichproben pro Standort und die Anzahl der in der Suche definierten Stichprobenstandorte bestimmen die Anzahl der Stichprobenelemente und die Positionsdarstellung in den Stichprobenelementen.

Wählen Sie ein Beispielelement aus, um die Quellinformationen für das Element anzuzeigen. Falls für das Element verfügbar, zeigt diese Ansicht eine umfangreiche Ansicht eines ausgewählten Elements an, sodass Sie die Relevanz des Elements im Zusammenhang mit der definierten Suchdatenquelle und den bedingungen auswerten können.

Wählen Sie Ansicht erneut generieren aus, um die Abfrage erneut auszuführen und die aktuellsten Ergebnisse zu überprüfen. Wählen Sie Berichte herunterladen aus, um alle Beispielergebnisse in einer einzelnen .csv-Datei zu kombinieren. Wählen Sie Einstellungen anzeigen aus, um die Einstellungen anzuzeigen, die auf die Generierung der Beispielansicht angewendet werden.

Suchergebnisse verfeinern

Basierend auf den von der Suche zurückgegebenen Schätzungen und Statistiken können Sie die Suche bearbeiten und verfeinern, indem Sie die durchsuchten Datenquellen und die Suchabfrage ändern, um die Suche zu erweitern oder einzugrenzen. Sie können die Suche aktualisieren und erneut ausführen, bis Sie sicher sind, dass die Suchergebnisse die Inhalte enthalten, die für Ihren Fall am relevantesten sind.

Nachdem Sie mit den Suchergebnissen zufrieden sind, können Sie die folgenden Aktionen ausführen:

• Hinzufügen von Suchergebnissen zu einem Prüfdateisatz
• Exportieren der Suchergebnisse
• Erstellen eines Haltebereichs