Compartir a través de

Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery (versión preliminar)

  • Artículo

El generador de condiciones proporciona una experiencia de búsqueda fácil de usar al crear consultas de búsqueda en eDiscovery (versión preliminar). Use el generador de condiciones en conjuntos de búsqueda y revisión para construir consultas de palabras clave simples y complejas, consultas con operadores (AND, OR) o ambas para ayudar a identificar elementos de su organización.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Uso del generador de condiciones

Para crear una consulta y un filtrado condicional personalizado para la búsqueda, use los siguientes controles:

  • Palabras clave: esta condición común siempre está disponible como la primera condición de la consulta y le ayuda a empezar a trabajar rápidamente para las tareas de búsqueda. La condición Palabras clave solo admite el operador Equal y se puede excluir de la consulta dejando el campo de valor en blanco. Para agregar condiciones de palabras clave adicionales, seleccione Agregar condiciones y seleccione Palabras clave.
  • Agregar condiciones: permite agregar una condición para los orígenes de datos específicos para la búsqueda. Para agregar condiciones adicionales a la consulta, seleccione Agregar condiciones para mostrar la lista de condiciones disponibles. Cada selección de valor de condición agrega una nueva condición a la consulta. Elija el operador AND/OR según corresponda.
  • AND/OR: Estos operadores lógicos condicionales le permiten seleccionar la operación de consulta que se aplica a una condición específica. Estos operadores permiten usar varias condiciones conectadas a la consulta.
  • Seleccionar un operador: en función de la condición seleccionada, los operadores compatibles con la condición están disponibles para seleccionar. Por ejemplo, si se selecciona la condición Date , los operadores disponibles son Before, After y Between. Si se selecciona la condición Tamaño (en bytes), los operadores disponibles son Mayor que, Mayor o igual, Menor que, Menor o igual, Entre y Igual.
  • Valor: en función de la condición seleccionada, los valores compatibles con la condición están disponibles en el panel de detalles del valor o puede agregar en línea. En función del tipo de condición asociado al valor, verá opciones para definir, filtrar o buscar valores asociados a la condición seleccionada. Por ejemplo, si selecciona Remitente como condición, puede buscar y agregar usuarios específicos de su organización o usuarios externos. Si selecciona Tamaño (en bytes) como condición, verá la opción para especificar un número para el tamaño como valor. Si el valor está en blanco, el borde del campo de valor se muestra en rojo para ayudarle a notificar que se necesita un valor.
  • Quitar una condición de filtro: para quitar una condición individual, seleccione el icono quitar situado a la derecha de cada línea de filtro.
  • Guardar como borrador: para guardar el conjunto actual de condiciones como borrador, seleccione Guardar como borrador en la lista desplegable de consultas.
  • Descartar: para descartar los cambios realizados en la búsqueda, incluidas las condiciones y el origen de datos, seleccione Descartar en la lista desplegable Guardar como borrador .

Directrices para el uso de condiciones

Tenga en cuenta lo siguiente al usar condiciones de búsqueda.

  • Los operadores AND y OR conectan lógicamente una condición a la consulta de palabras clave (especificada en el cuadro palabra clave). Eso significa que los elementos tienen que satisfacer la consulta de palabra clave y la condición para que se incluyan en los resultados.
  • Si agrega dos o más condiciones únicas a una consulta de búsqueda (condiciones que especifican propiedades diferentes), esas condiciones están conectadas lógicamente por los operadores AND y OR . Esto significa que solo se devuelven los elementos que satisfacen todas las condiciones (además de cualquier consulta de palabras clave).
  • Si agrega más de una condición a la misma propiedad, las condiciones se conectan lógicamente mediante el operador OR. Eso significa que se devuelven los elementos que satisfacen la consulta de palabras clave y cualquiera de las condiciones. Por lo tanto, los grupos de las mismas condiciones se conectan entre sí mediante el operador OR y, después, los conjuntos de condiciones únicas se conectan mediante el operador AND.
  • Si agrega varios valores (separados por comas o por punto y coma) a una única condición, esos valores se conectan mediante el operador O. Eso significa que se devuelven los elementos que contengan cualquiera de los valores especificados para la propiedad en la condición.
  • Cualquier condición que use un operador con lógica Contains e Equals devuelve resultados de búsqueda similares para búsquedas de cadenas simples. Una búsqueda de cadenas simple es una cadena en la condición que no incluye un carácter comodín). Por ejemplo, una condición que usa Equals cualquiera de devuelve los mismos elementos que una condición que usa Contains any of.
  • La consulta de búsqueda que se crea mediante el cuadro de palabras clave y las condiciones se muestra en la página Buscar , en el panel de detalles de la búsqueda seleccionada. En una consulta, todo a la derecha de la notación (c:c) indica las condiciones que se agregan a la consulta. (c:c) no se debe usar en consultas especificadas manualmente y no es igual a AND o OR.
  • Las condiciones solo agregan propiedades a la consulta de búsqueda; no agregan operadores. Por este motivo, la consulta que se muestra en el panel de detalles no muestra operadores a la derecha de la (c:c) notación. KQL agrega operadores lógicos (según las reglas explicadas anteriormente) al ejecutar la consulta.
  • Puede usar el control de arrastrar y colocar para volver a secuenciar el orden de las condiciones. Seleccione el control de una condición y muévalo hacia arriba o hacia abajo.
  • Algunas propiedades de condición permiten escribir varios valores (separados por puntos y comas). Cada valor está conectado lógicamente por el operador OR y da como resultado la consulta (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). En la ilustración siguiente se muestra un ejemplo de una condición con varios valores.

Buscar y seleccionar condiciones

Al seleccionar Agregar condiciones en el generador de condiciones, se muestra el panel desplegable Elegir qué condiciones agregar para ayudarle a refinar la consulta de búsqueda con condiciones específicas. Use las opciones de las secciones siguientes para ayudarle a elegir las condiciones aplicables:

Condiciones de filtro por área

Filtre rápidamente la vista de condición para los buzones y las propiedades del sitio para ayudar a localizar una condición específica para la consulta de búsqueda. Filtre las condiciones disponibles en los siguientes grupos globales:

  • Todos: muestra todas las condiciones y los grupos de condiciones.
  • Común: filtra y muestra solo las condiciones que se aplican tanto a los buzones como a los sitios.
  • Buzones de Exchange: filtra y muestra solo las condiciones que se aplican a los buzones.
  • Sitios de SharePoint y OneDrive: filtra y muestra solo las condiciones que se aplican a los sitios de SharePoint y OneDrive.

Selector de condición

Para buscar rápidamente una condición específica, use el campo Indicarnos lo que busca para escribir el nombre de la condición. Los resultados se limitan automáticamente al filtro de grupos globales. Por ejemplo, para buscar cualquier condición denominada Tipo (o una que contenga el tipo de término en el nombre de la condición), seleccione Todo como filtro global y escriba el tipo en el campo Indicarnos lo que busca . La vista de condición devuelve todas las condiciones de todos los grupos de condición que contienen el tipo de término. Seleccione la condición aplicable que se va a agregar a la consulta de búsqueda.

Ejemplo del selector de condiciones.

Ejemplo de escenario

El administrador de eDiscovery debe crear una consulta para buscar correos electrónicos enviados de User1 a User4 que se enviaron entre el 15 de septiembre de 2024 y el 15 de octubre de 2024 que contienen el cumplimiento y la auditoría de palabras clave. En este ejemplo, el administrador crea la siguiente consulta mediante el nuevo generador de consultas:

  1. Para el primer filtro, el administrador usa la condición Keywords , el operador Equal y compliance, audit como la palabra clave Value.
  2. A continuación, el administrador selecciona Agregar condiciones, remitente, contienecualquiera de los operadores y, a continuación, selecciona User1 en la lista de usuarios disponibles en el panel Detalles del valor . Esto puede incluir usuarios externos.
  3. A continuación, el administrador selecciona Agregar condiciones, selecciona el filtro Para , después, selecciona el operador Contiene cualquiera de y, a continuación, selecciona User4 en la lista de usuarios disponibles en el panel Detalles del valor . Esto puede incluir usuarios externos.
  4. Para definir el intervalo de fechas, el administrador selecciona Agregar condiciones, fecha, operadorBetween y, a continuación, las fechas de inicio y finalización del valor.
  5. Por último, el administrador selecciona Ejecutar consulta para devolver los resultados aplicables.

Ejemplo del generador de condiciones.

Uso de condiciones de búsqueda

Puede agregar condiciones a una consulta de búsqueda para restringir una búsqueda y devolver un conjunto de resultados más refinado. Cada condición agrega una cláusula a la consulta de búsqueda KQL que se crea y se ejecuta cuando se inicia la búsqueda.

Caracteres especiales

Algunos caracteres especiales no se incluyen en el índice de búsqueda y, por tanto, no se pueden buscar. Esto también incluye los caracteres especiales que representan a los operadores de búsqueda en la consulta de búsqueda. Esta es una lista de caracteres especiales que se reemplazan por un espacio en blanco en la consulta de búsqueda real o provocan un error de búsqueda.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Condiciones para las propiedades comunes

Cree una condición mediante propiedades comunes al buscar en buzones y sitios de la misma búsqueda. En la tabla siguiente se enumeran las propiedades disponibles que se usarán al agregar una condición.

Condición Descripción
Tipo de contenido Aplicado a los elementos de Exchange y SharePoint, hace referencia al tipo o categoría del contenido.

Por ejemplo, ContentKind:SharePointDocument, ContentKind:Copilot, etc.
Aplicación de origen de contenido Identifica la aplicación o el servicio donde se originó el contenido.

Por ejemplo, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint, etc.
Fecha En el caso del correo electrónico, la fecha en que se creó o importó un mensaje desde un archivo PST. En el caso de los documentos, la fecha en que se modificó por última vez un documento.

Si está buscando mensajes de correo electrónico durante un período de tiempo específico, debe usar las condiciones de mensaje Recibido y Enviado si no está seguro de si los mensajes de correo electrónico pueden haberse importado en lugar de crearse de forma nativa en Exchange.
Identificador En el caso del correo electrónico, el identificador de un mensaje específico. Los identificadores de mensaje se incluyen en el registro de auditoría, las alertas de prevención de pérdida de datos (DLP) o los metadatos del conjunto de revisiones y permiten crear una búsqueda específica de un mensaje individual.

Para los mensajes de Microsoft Teams, el identificador del chat o la reacción. ChatThreadID se incluye en el registro de auditoría, las alertas de prevención de pérdida de datos (DLP) o los metadatos del conjunto de revisiones y le permiten crear una búsqueda específica de un chat o reacción individuales.
Remitente/autor Para correo electrónico, la persona que envió un mensaje. Para los documentos, la persona mencionada en el campo del autor de documentos de Office. Puede escribir más de un nombre, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR.
(Consulte Expansión de destinatarios)
Tamaño (en bytes) Para los correos electrónicos y documentos, el tamaño del elemento (en bytes).
Asunto o título Para correo electrónico, el texto en la línea de asunto de un mensaje. Para los documentos, el título del documento. La propiedad Title es metadatos especificados en documentos de Microsoft Office. Puede escribir el nombre de más de un valor de asunto o título, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR.

Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregan dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error.
Etiqueta de retención Para el correo electrónico y los documentos, etiquetas de retención aplicadas a mensajes y documentos. Las etiquetas de retención se pueden usar para declarar registros y ayudarle a administrar el ciclo de vida de los datos del contenido mediante la aplicación de reglas de retención y eliminación especificadas por la etiqueta. Para obtener más información sobre las etiquetas de retención, consulte Información sobre las directivas de retención y las etiquetas de retención.
Tipo de información confidencial (SIT) Tanto para el correo electrónico como para los documentos, tipos de información confidencial incluidos en mensajes y documentos. Los SIT son clasificadores basados en patrones y detectan información confidencial como seguridad social, tarjeta de crédito o números de cuenta bancaria para identificar elementos confidenciales. Para obtener más información sobre los SIT, consulte Información sobre los tipos de información confidencial.
Etiqueta de confidencialidad Tanto para el correo electrónico como para los documentos, las etiquetas de confidencialidad se aplican a los mensajes y documentos. Las etiquetas de confidencialidad le permiten clasificar y proteger los datos de su organización, a la vez que se asegura de que la productividad del usuario y su capacidad de colaboración no se ve obstaculizada. Para obtener más información sobre las etiquetas de confidencialidad, consulte Información sobre las etiquetas de confidencialidad.

Condiciones para las propiedades de correo

Cree una condición mediante propiedades de correo al buscar buzones o carpetas públicas en Exchange Online. En la tabla siguiente se enumeran las propiedades de correo electrónico que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades de correo electrónico que se describieron anteriormente. Estas descripciones se repiten para su comodidad.

Condición Descripción
Tipo de mensaje El tipo de mensaje para buscar. Se trata de la misma propiedad que la propiedad de correo electrónico Tipo. Posibles valores:
  • contactos
  • documentos
  • correo electrónico
  • externaldata
  • fax
  • mensajería instantánea
  • diarios
  • reuniones
  • microsoftteams
  • notas
  • entradas
  • fuentes rss
  • tareas
  • correo de voz
Participantes Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc. (Consulte Expansión de destinatarios)
Cantidad.Recibida La fecha en la que un destinatario recibió un mensaje de correo electrónico. Se trata de la misma propiedad que la propiedad de correo electrónico Recibido.
Recipientes Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc. (Consulte Expansión de destinatarios)
Remitente El remitente de un mensaje de correo electrónico.
Sent La fecha en la que un remitente envió un mensaje de correo electrónico. Se trata de la misma propiedad que la propiedad de correo electrónico Enviado.
Asunto El texto en la línea de asunto de un mensaje de correo electrónico.

Nota: No incluya comillas dobles en los valores de esta condición porque las comillas se agregan automáticamente al usar esta condición de búsqueda. Si agrega comillas al valor, se agregan dos pares de comillas dobles al valor de condición y la consulta de búsqueda devolverá un error.
To Destinatario de un mensaje de correo electrónico en el campo Para.
Tema Resumen del tema o asunto principal tratados en una conversación o subproceso de correo electrónico.
Tipo Propiedad de clase de mensaje para un elemento de correo electrónico. Esta es la misma propiedad que la propiedad de correo electrónico ItemClass. También es una condición de varios valores. Por lo tanto, para seleccionar varias clases de mensaje, mantenga presionada la tecla CTRL y, a continuación, seleccione dos o más clases de mensaje en la lista desplegable que desea agregar a la condición. Cada clase de mensaje que seleccione en la lista se conecta lógicamente mediante el operador OR en la consulta de búsqueda correspondiente.

Para obtener una lista de las clases de mensaje (y su identificador de clase de mensaje correspondiente) que exchange usa y que puede seleccionar en la lista Clase de mensaje, vea Tipos de elementos y Clases de mensaje.

Condiciones para las propiedades de documento

Cree una condición mediante propiedades de documento al buscar documentos en sitios de SharePoint y OneDrive. En la tabla siguiente se enumeran las propiedades del documento que puede usar para una condición. Estas propiedades son un subconjunto de las propiedades del sitio que se describieron anteriormente. Estas descripciones se repiten para su comodidad.

Condición Descripción
Autor El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conservará el autor original.
Creados La fecha en la que se creó el documento.
Tipo de archivo Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. Se trata de la misma propiedad que la propiedad del sitio FileExtension.

Nota: Si incluye una condición de tipo File mediante el operador Equals o Equals en una consulta de búsqueda, no puede usar una búsqueda de prefijo (incluyendo el carácter comodín ( * ) al final del tipo de archivo) para devolver todas las versiones de un tipo de archivo. Si lo hace, se omite el carácter comodín. Por ejemplo, si incluye la condición Equals any of doc*, solo se devolverán los archivos con una extensión de .doc . Los archivos con una extensión de .docx no se devuelven. Para devolver todas las versiones de un tipo de archivo, se usa el par property:value en una consulta de palabras clave; por ejemplo, filetype:doc*.
Última modificación La fecha en la que el documento se modificó por última vez.
Ruta de acceso Dirección URL o ubicación de un archivo o carpeta dentro de un sitio de SharePoint.
Cargo El título del documento. La propiedad Título son metadatos que se especifican en los documentos de Office. Es diferente del nombre de archivo del documento.

Operadores usados con condiciones

Cuando se agrega una condición, puede seleccionar un operador que sea pertinente para el tipo de propiedad de la condición. En la tabla siguiente se describen los operadores que se usan con condiciones y se enumera el equivalente que se usa en la consulta de búsqueda.

Operador Equivalente de consulta Descripción
Después property>date Se usa con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron después de la fecha especificada.
Antes property<date Se usa con condiciones de fecha. Devuelve los elementos que se enviaron, recibieron o modificaron antes de la fecha especificada.
Between date..date Se usa con condiciones de fecha y tamaño. Cuando se usa con una condición de fecha, devuelve los elementos que se enviaron, recibieron o modificaron durante el intervalo de fechas especificado. Cuando se usa con una condición de tamaño, devuelve los elementos cuyo tamaño está dentro del intervalo especificado.
Contiene cualquiera de (property:value) OR (property:value) Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que contienen cualquier parte de uno o más valores de cadena especificados.
No contiene ninguno de -property:value

NOT property:value

 Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen ninguna parte del valor de cadena especificado.
No es igual a ninguno de -property=value

NOT property=value

 Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que no contienen la cadena especificada.
Igual a size=value Devuelve elementos que son iguales al tamaño especificado. 1
Es igual a cualquiera de (property=value) OR (property=value) Se usa con condiciones para las propiedades que especifican un valor de cadena. Devuelve elementos que coinciden con uno o varios valores de cadena especificados.
Mayor size>value Devuelve elementos donde la propiedad especificada es mayor que el valor especificado. 1
Mayor o igual size>=value Devuelve elementos donde la propiedad especificada es mayor o igual que el valor especificado. 1
Menos size<value Devuelve elementos que son mayores o iguales que el valor específico. 1
Menor o igual size<=value Devuelve elementos que son mayores o iguales que el valor específico. 1
No es igual size<>value Devuelve elementos que no son iguales al tamaño especificado. 1

Nota:

1 Este operador solo está disponible para las condiciones que usan la propiedad Size.