Compartir vía


Buscar contenido en un conjunto de revisión en eDiscovery (versión preliminar)

En la mayoría de los casos, es útil profundizar en el contenido de un conjunto de revisión y organizarlo para facilitar una revisión más eficaz. El uso de filtros y consultas en un conjunto de revisión le ayuda a centrarse en un subconjunto de documentos que cumplen los criterios de la revisión. Para obtener más información sobre las condiciones de búsqueda disponibles, vea Uso del generador de condiciones para crear consultas de búsqueda en eDiscovery (versión preliminar).

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Filtros avanzados (versión preliminar)

Al mejorar los filtros predeterminados en versiones anteriores, eDiscovery (versión preliminar) proporciona filtros avanzados que permiten crear filtros más flexibles y avanzados para conjuntos de revisión. El filtrado avanzado le permite:

  • Busque rápidamente condiciones de filtro.
  • Cree filtros complejos mediante subgrupos, AND o CONDICIONES OR .
  • Cambie fácilmente las consultas con controles de consulta de filtro Deshacer y Rehacer .
  • Administre los filtros guardados sin tener que navegar a otra área.
  • Use Is empty (Está vacío ) y Isn't empty conditions (Condiciones no vacías ) para cada filtro.

Importante

Un conjunto de revisión muestra un máximo de 1000 elementos por página y hasta 10 páginas (para un total de 10 000 elementos mostrados por conjunto de revisión). Use filtros predeterminados o personalizados para ajustar los elementos mostrados según sea necesario. Los recuentos de elementos coincidentes son estimaciones.

Controles de filtro avanzados (versión preliminar)

Para crear y filtrar personalizado para el conjunto de revisión, use los siguientes controles:

  • AND/OR: estos operadores lógicos condicionales permiten seleccionar la condición de consulta que se aplica a filtros y subgrupos de filtro específicos. Estos operadores permiten usar varios filtros o subgrupos conectados a un único filtro en la consulta.
  • Seleccionar un filtro: permite seleccionar filtros para los orígenes de datos específicos y el contenido de ubicación seleccionados para la búsqueda.
  • Agregar filtro: permite agregar varios filtros a la consulta. Está disponible después de haber definido al menos un filtro de consulta.
  • Seleccionar un operador: en función del filtro seleccionado, los operadores compatibles con el filtro están disponibles para seleccionar. Por ejemplo, si se selecciona el filtro Date , los operadores disponibles son Before, After y Between. Si se selecciona el filtro Tamaño (en bytes), los operadores disponibles son Mayor que, Mayor o igual, Menor que, Menor o igual, Entre y Igual.
  • Valor: en función del filtro seleccionado, están disponibles los valores compatibles con el filtro. Además, algunos filtros admiten varios valores y algunos filtros admiten un valor específico. Por ejemplo, si el filtro Fecha está seleccionado, seleccione valores de fecha. Si está seleccionado el filtro Tamaño (en bytes), seleccione un valor para bytes.
  • Agregar subgrupo: después de definir un filtro, puede agregar un subgrupo para refinar los resultados devueltos por el filtro. También puede agregar un subgrupo a un subgrupo para el refinamiento de consultas multicapa.
  • Quitar una condición de filtro: para quitar un filtro o subgrupo individuales, seleccione el icono Quitar situado a la derecha de cada línea de filtro o subgrupo.
  • Borrar todo: para borrar toda la consulta de todos los filtros y subgrupos, seleccione Borrar todo.

Para quitar los controles de filtro avanzados del conjunto de revisión, seleccione Administrar Ocultar>filtros avanzados (versión preliminar). Para mostrar filtros avanzados, administre Mostrar>filtros avanzados (versión preliminar). Los filtros existentes se quitan al mostrar u ocultar filtros avanzados. Para conservar los filtros, guárdelos como una consulta.

Tipos de filtro

Cada campo que se puede buscar en un conjunto de revisión tiene un filtro correspondiente que puede usar para filtrar elementos basados en un campo específico.

Hay varios tipos de filtros:

  • Freetext: se aplica un filtro de texto libre a campos de texto como Subject. Puede enumerar varios términos de búsqueda si los separa con una coma.
  • Fecha: se usa un filtro de fecha para campos de fecha como Fecha de última modificación.
  • Opciones de búsqueda: un filtro de opciones de búsqueda proporciona una lista de valores posibles (cada valor se muestra con una casilla que puede seleccionar) para campos concretos en la revisión. Este filtro se usa para campos, como Sender, donde hay un número finito de valores posibles en el conjunto de revisión.
  • Palabra clave: una condición de palabra clave es una instancia específica de la condición freetext que puede usar para buscar términos. También puede usar el lenguaje de consulta similar a KQL en este tipo de filtro. Para obtener más información, consulte las secciones Lenguaje de consulta y Generador de consultas avanzadas de este artículo.

Guardar y administrar consultas de filtro

Una vez que esté satisfecho con los filtros, puede guardar la combinación de filtros como una consulta de filtro. Esta consulta de filtro guardada le permite aplicar el filtro en las sesiones de revisión futuras.

Para guardar un filtro, seleccione Guardar en la barra de comandos Guardar consultas de filtro y asígnele el nombre . Usted u otros revisores pueden ejecutar consultas de filtro guardadas anteriormente seleccionando la lista desplegable Consultas de filtro guardadas y seleccionando una consulta de filtro que se aplicará para revisar los documentos establecidos.

Para editar o eliminar una consulta de filtro guardada, seleccione Consultas de filtro guardadas y expanda las propiedades del filtro para mostrar las opciones Editar y Eliminar de la consulta de filtro guardada.

Uso de la compatibilidad del lenguaje de consulta para filtros KQL y palabras clave

Al usar los filtros KQL o Keyword , puede usar un lenguaje de consulta similar a KQL para compilar la consulta de búsqueda del conjunto de revisión. El lenguaje de consulta de estos dos filtros admite operadores booleanos estándar, como AND, OR, NOT y NEAR. También admite un carácter comodín de un solo carácter (?) y un carácter comodín de varios caracteres (*).

Nota:

Los filtros de revisión solo admiten caracteres comodín (? o *) en un solo término. No se admite el uso de caracteres comodín en las búsquedas en frases que constan de varios términos.

Ejemplos de escenarios

Filtro de elementos sin etiquetar en un conjunto de revisión

Un administrador de eDiscovery debe crear una consulta para buscar todos los elementos del conjunto de revisión sin aplicar ningún etiquetado. En este ejemplo, el administrador crea la siguiente consulta de filtro de conjunto de revisión:

  1. Para el primer filtro, el administrador selecciona la etiqueta de filtro y tipos en la búsqueda de filtros. Las etiquetas de filtro se muestran como una opción coincidente y el administrador la selecciona.
  2. A continuación, el administrador selecciona Seleccionar un operador y selecciona el operador Está vacío . Este operador devuelve todos los elementos que no tienen ninguna etiqueta aplicada.

El conjunto de revisión se actualiza inmediatamente y solo se muestran los elementos que no están etiquetados.

Filtrar por elementos de tipo de archivo nativo en un conjunto de revisión

Un administrador de eDiscovery debe crear una consulta para buscar todos los elementos del conjunto de revisión que sean de un tipo determinado, como .csv, .msg o .pdf. En este ejemplo, el administrador crea la siguiente consulta de filtro de conjunto de revisión:

  1. Para el primer filtro, el administrador selecciona el archivo de filtro y tipos en la búsqueda de filtros. La extensión de archivo nativo de filtro es una de las opciones de filtro que se muestran en los resultados de búsqueda y el administrador la selecciona.
  2. A continuación, el administrador selecciona Seleccionar un operador y selecciona igual a cualquiera de los operadores .
  3. El administrador selecciona el campo Cualquiera y activa las casillas aplicables para que los tipos de archivo se incluyan en la consulta de filtro.

El conjunto de revisión se actualiza inmediatamente y solo se muestran los elementos que coinciden con los tipos de archivo seleccionados.

Filtrar elementos parcialmente indizados

Si seleccionó la opción para agregar elementos parcialmente indizados desde orígenes de datos adicionales al confirmar la estimación de búsqueda en un conjunto de revisión. Probablemente querrá identificar y ver esos elementos para determinar si un elemento puede ser relevante para la investigación y si necesita corregir el error que provocó que el elemento se indizase parcialmente.

En este momento, no hay una opción de filtro en un conjunto de revisión para mostrar elementos parcialmente indexados. Pero esta es una manera de filtrar y mostrar los elementos parcialmente indexados que agregó a un conjunto de revisión.

  1. Cree una búsqueda y agréguela a un nuevo conjunto de revisión sin agregar elementos indizados parcialmente desde los orígenes de datos adicionales.
  2. Cree un nuevo searcg copiando la búsqueda del paso 1.
  3. Agregue la nueva búsqueda al mismo conjunto de revisión. Pero esta vez, agregue los elementos parcialmente indizados de los orígenes de datos adicionales. Dado que los elementos de la búsqueda que creó en el paso 1 ya se han agregado al conjunto de revisión, solo los elementos indizados parcialmente de la segunda búsqueda se agregan al conjunto de revisión.
  4. Después de agregar ambas búsquedas al conjunto de revisión, seleccione el conjunto de revisión y seleccione Conjuntos de carga.
  5. Copie o anote el id. de carga de la segunda búsqueda (la que creó en el paso 2). El nombre de búsqueda se identifica en la columna Información de origen .
  6. De nuevo en el conjunto de revisión, seleccione Filtrar, expanda la sección Identificadores y, a continuación, active la casilla Id. de carga .
  7. Expanda el filtro Id. de carga y, a continuación, active la casilla del identificador de carga correspondiente a la segunda búsqueda para mostrar los elementos parcialmente indexados.

Filtrar documentos por tema

El filtrado de documentos por tema puede ahorrar considerablemente tiempo al revisar documentos. Por ejemplo, si busca documentos que analicen un asunto determinado, puede filtrar los documentos por el tema dominante relacionado con ese asunto. También puede filtrar documentos por otros temas de la lista de temas para buscar documentos similares a los que le interesen. Para mostrar los temas de un documento como una columna en la lista de documentos del conjunto de revisión, seleccione Personalizar columnas y seleccione Tema dominante y Lista de temas.

Para filtrar documentos por tema, siga estos pasos:

  1. En un conjunto de revisión, elija Seleccionar un filtro y seleccione Tema dominante.
  2. Seleccione un operador que se usará con el tema Dominante y defina el valor que se usará con el operador .
  3. Use un filtro de lista temas de adición y el operador y los valores aplicables a este filtro. Puede configurar los operadores AND y OR para filtrar documentos mediante una combinación de los valores de lista Tema dominante y Temas .