Evaluar y refinar los resultados de búsqueda en eDiscovery (versión preliminar)

Evaluar y refinar los resultados de la búsqueda es uno de los pasos más importantes en el trabajo de investigación de eDiscovery. La consulta de búsqueda que configure y los resultados que se devuelven le ayudarán a determinar si ha detectado elementos e información aplicables a la investigación o si necesita modificar la búsqueda para intentar detectar elementos pertinentes adicionales. Esta búsqueda inicial de elementos y la revisión inicial de la información le ayudan a determinar qué acciones son necesarias después de finalizar los parámetros de búsqueda.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Evaluación de los resultados de la búsqueda

Después de crear una búsqueda y ejecutarla, el siguiente paso es ver las estadísticas de búsqueda para ayudarle a comprobar si se encuentra contenido relevante y las ubicaciones de contenido con más visitas. También puede revisar un ejemplo de los resultados de la búsqueda para ayudarle a determinar si el contenido está dentro del ámbito de la investigación.

Panel de estadísticas

Si seleccionó Estadísticas como tipo de resultado inicial para la búsqueda, se le redirigirá automáticamente a este panel cuando se completen los resultados de la búsqueda. Si ya está familiarizado con versiones anteriores de eDiscovery, la información de la pestaña Estadísticas es similar a las estimaciones de colección. Los resultados de búsqueda del panel Estadísticas se incluyen en las secciones siguientes:

• Resumen: en esta sección se muestra el número de visitas de búsqueda, las ubicaciones, los orígenes de datos y el tamaño total del archivo de los elementos parcialmente indexados.
  • Aciertos de búsqueda: muestra el número total de aciertos de búsqueda y el volumen de todos los elementos que coinciden con los criterios de consulta de las ubicaciones buscadas.
  • Ubicaciones: muestra la fracción de ubicaciones con aciertos fuera de todas las ubicaciones buscadas. El numerador muestra las ubicaciones con aciertos y denominador que muestra el número de ubicaciones buscadas. Las ubicaciones con errores se muestran en rojo. Para ver los detalles completos de todas las ubicaciones y los aciertos y errores asociados, seleccione Descargar informe para descargar el informe de .csv completo.
  • Orígenes de datos: muestra la fracción de orígenes de datos con aciertos de todos los orígenes de datos buscados. El numerador muestra los orígenes de datos con aciertos y denominador que muestra el número de orígenes de datos incluidos en la búsqueda. Este origen de datos es coherente con el origen de datos en el flujo de diseño de búsqueda y debe coincidir con el número de personas o grupos incluidos en la búsqueda. Un origen de datos de todo el inquilino de Todas las personas y todos los grupos cuenta como un único origen de datos.
  • Elementos indizados parcialmente o "Aciertos de elementos indizados avanzados": muestra el recuento y el volumen de elementos parcialmente y sin indexar devueltos como parte de la búsqueda. Esta tarjeta muestra información de elementos parcialmente indexados si decide incluir elementos parcial o no indexados como parte de la configuración de búsqueda. Si eligió incluir elementos parcial y no indizados y opciones de indexación avanzada habilitadas, esta tarjeta muestra los aciertos adicionales que obtiene de los elementos indizados avanzados. El recuento de aciertos indizado avanzado procede de un ejemplo de estadística en los elementos parcialmente indexados, los aciertos reales pueden ser más y se deben confirmar mediante el uso de agregar a un conjunto de revisión y exportar acciones de resultados de búsqueda.
• Tendencias de aciertos de búsqueda: en esta sección se muestran las siguientes tarjetas de resultados de búsqueda. Los gráficos son interactivos, mantienen el puntero para mostrar los nombres de sección, los porcentajes y los números de elemento. Seleccione Ver los 100 principales para obtener más información sobre los elementos incluidos en cada tendencia y descargar los resultados en un archivo .csv:
  • Principales orígenes de datos: muestra los cinco principales orígenes de datos que componen la mayoría de los resultados de búsqueda que coinciden con la consulta. El nombre de estos orígenes de datos (nombres de usuarios, grupos o ubicaciones de toda la organización) aparece con el recuento de aciertos. Estos orígenes de datos deben coincidir con lo que seleccionó en el flujo de trabajo de orígenes de datos al compilar la consulta de búsqueda.
  • Principales tipos de información confidencial (SIT): muestra los cinco principales tipos de información confidencial (SIT) en archivos de SharePoint que se incluyen con más frecuencia en los resultados de búsqueda que coinciden con la consulta. Agregar el recuento de cada SIT no equivale necesariamente al número total de aciertos porque un solo elemento o documento puede contener más de un tipo SIT. Por ejemplo, un documento contiene una contraseña y un número de seguro social (SSN). En este ejemplo, se cuenta dos veces. Se recomienda seleccionar Ver los 100 principales para obtener un conocimiento más profundo de las ubicaciones de estos recuentos sit para comprobar si se superponen o no.
  • Palabras clave principales: palabras clave de consulta, que dieron lugar a la mayoría de los resultados de búsqueda que coinciden con la consulta.
  • Tipos de elementos principales: tipos de elementos más frecuentes dentro de los resultados de búsqueda que coinciden con la consulta. Este recuento viene determinado por itemClass para el contenido de Exchange y ContentType para el contenido de SharePoint.
  • Estado de indexación: desglose de elementos de datos sin indexar (incluidos parcialmente indizados) y totalmente indexados.
  • Principales participantes de comunicación: remitentes o destinatarios de correos electrónicos, chats de Microsoft Teams e invitaciones de calendario en ubicaciones de Exchange.
  • Tipo de ubicación superior: recuento de aciertos por tipo de ubicación (buzón frente a sitio).

Seleccione Regenerar vista para volver a ejecutar la consulta y revisar los resultados más recientes. Seleccione Descargar informe para combinar todos los resultados de Estadísticas en un único archivo .csv. Al ver los 100 primeros resultados de cualquier área de tendencia, seleccione Descargar informe para obtener un archivo .csv de los 100 primeros resultados de la tendencia de aciertos seleccionada.

Descripción de las estadísticas y los resultados de búsqueda

Dependiendo de cuándo ejecute una búsqueda en eDiscovery (versión preliminar), las estadísticas de la búsqueda pueden contener resultados diferentes. Por ejemplo, si ejecuta dos búsquedas con las mismas condiciones exactas, pero en momentos diferentes, es probable que tenga resultados de estadísticas diferentes. Estas diferencias pueden deberse a los siguientes motivos:

• La organización está activa: dado que tiene usuarios activos en un entorno de producción, los datos de la organización se mueven, agregan, eliminan y se retiran constantemente. Es probable que las mismas condiciones de búsqueda se ejecuten en las mismas ubicaciones con resultados de búsqueda diferentes porque los datos de esas ubicaciones han cambiado entre el momento en que se ejecutaron las búsquedas.
• Errores transitorios: al ejecutar una búsqueda (o exportar o agregar a un conjunto de revisión), pueden producirse errores de procesamiento transitorios, especialmente para grandes conjuntos de datos. Estos errores suelen deberse a tiempos de espera de procesamiento y se pueden mitigar dividiendo las búsquedas en intervalos de fechas más pequeños y exportando los datos en paralelo. Intente dividir siempre las búsquedas en tamaños más pequeños con condiciones de búsqueda más específicas y más dirigidas a ubicaciones seleccionadas. Esto ayuda a que el proceso se ejecute de forma más eficaz con menos posibilidades de errores.
• Acceso a la ubicación: hay escenarios en los que las ubicaciones incluidas en una búsqueda no son válidas, no son accesibles o agotan el tiempo de espera durante el procesamiento. Al comparar los resultados entre dos búsquedas con las mismas condiciones, asegúrese de que las ubicaciones coinciden correctamente. Por ejemplo, una búsqueda en 1000 ubicaciones puede tener una ubicación con error en la primera ejecución y ninguna ubicaciones con errores en la segunda ejecución. Esto significa que la primera ejecución solo ha buscado 999 ubicaciones correctamente y la segunda ejecución ha buscado 1000 ubicaciones. La diferencia de una ubicación es la razón por la que los resultados de búsqueda entre dos ejecuciones son diferentes. Use el informelocations.csv para buscar, exportar y agregar para revisar los procesos establecidos a fin de ver un informe completo sobre qué ubicaciones se han realizado correctamente y qué ubicaciones han producido errores. Vuelva a ejecutar las búsquedas de las ubicaciones con errores que no se pudieron realizar.
• Usuario que ejecuta la búsqueda: según el usuario que inicia el proceso de búsqueda, el usuario puede o no tener aplicado el límite de cumplimiento o el filtro de búsqueda de cumplimiento. Este filtro filtra las ubicaciones en función de las propiedades del buzón o filtra el contenido en función de la ruta de acceso de contenido (sitios de SharePoint). Los resultados del usuario pueden estar limitados si se aplica un límite de cumplimiento o un filtro de permisos de búsqueda. Por ejemplo, un usuario no tiene un límite de cumplimiento aplicado, pero un segundo usuario tiene aplicado un límite de cumplimiento que restringe este usuario a los buzones de usuario y los sitios de OneDrive a una región específica. Una búsqueda del primer usuario devuelve todos los buzones de correo y OneDrive coincide con las condiciones de búsqueda de todas las regiones y una búsqueda del segundo usuario devuelve solo coincidencias para buzones y sitios de OneDrive solo para la región permitida.

Panel de ejemplo

Si seleccionó Ejemplo como tipo de resultado inicial para la búsqueda, se le redirigirá automáticamente a este panel cuando se completen los resultados de la búsqueda. Los resultados de la búsqueda de las columnas de panel de ejemplo contienen la siguiente información para cada elemento:

• Asunto o título: asunto o título de los elementos incluidos en el ejemplo.
• Fecha: fecha en que se creó o envió el elemento.
• Remitente o autor: remitente o autor del elemento.

Los ejemplos permiten inspeccionar un subconjunto representativo de elementos individuales y detalles de cada elemento devuelto para la búsqueda. El número de muestras por ubicación y el número de ubicaciones de ejemplo definidas en la búsqueda determinan el número de elementos de ejemplo y la representación de ubicación en los elementos de ejemplo.

Seleccione un elemento de ejemplo para ver la información de origen del elemento. Si está disponible para el elemento, esta vista muestra una vista enriquecida de un elemento seleccionado para que pueda evaluar la relevancia del elemento en relación con el origen de datos de búsqueda definido y las condiciones.

Seleccione Regenerar vista para volver a ejecutar la consulta y revisar los resultados más recientes. Seleccione Descargar informes para combinar todos los resultados de ejemplo en un único archivo .csv. Seleccione Ver configuración para ver la configuración aplicada a la generación de vista de ejemplo.

Refinar resultados de búsqueda

En función de las estimaciones y estadísticas devueltas por la búsqueda, puede editar y refinar la búsqueda cambiando los orígenes de datos que se buscan y la consulta de búsqueda para expandir o restringir la búsqueda. Puede actualizar y volver a ejecutar la búsqueda hasta que esté seguro de que los resultados de la búsqueda contienen el contenido más relevante para su caso.

Una vez que esté satisfecho con los resultados de la búsqueda, puede realizar las siguientes acciones:

• Agregar los resultados de búsqueda a un conjunto de revisión
• Exportación de los resultados de la búsqueda
• Crear una retención