Évaluer et affiner les résultats de recherche dans eDiscovery (préversion)

L’évaluation et l’affinement de vos résultats de recherche sont l’une des étapes les plus importantes de votre travail d’investigation eDiscovery. La requête de recherche que vous configurez et les résultats retournés vous aident à déterminer si vous avez découvert des éléments et des informations applicables à votre investigation ou si vous devez modifier votre recherche pour essayer de découvrir d’autres éléments pertinents. Cette recherche initiale d’éléments et cet examen initial des informations vous aident à déterminer les actions requises une fois que vous avez finalisé vos paramètres de recherche.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Évaluer les résultats de la recherche

Après avoir créé une recherche et l’avoir exécutée, l’étape suivante consiste à afficher les statistiques de recherche pour vous aider à vérifier si le contenu pertinent est trouvé et les emplacements de contenu ayant le plus d’accès. Vous pouvez également consulter un exemple des résultats de la recherche pour vous aider à déterminer si le contenu est dans l’étendue de votre investigation.

Tableau de bord statistiques

Si vous avez sélectionné Statistiques comme type de résultat initial pour votre recherche, vous êtes automatiquement redirigé vers ce tableau de bord une fois les résultats de la recherche terminés. Si vous êtes déjà familiarisé avec les versions précédentes d’eDiscovery, les informations de l’onglet Statistiques sont similaires aux estimations de collection. Les résultats de la recherche pour le tableau de bord Statistiques sont inclus dans les sections suivantes :

• Résumé : cette section indique le nombre d’accès à la recherche, les emplacements, les sources de données et la taille de fichier totale des éléments partiellement indexés.
  • Résultats de recherche : affiche le nombre total d’accès à la recherche et le volume de tous les éléments correspondant aux critères de requête à partir des emplacements recherchés.
  • Emplacements : affiche la fraction d’emplacements avec des accès hors de tous les emplacements recherchés. Le numérateur affiche les emplacements avec des accès et le dénominateur indique le nombre d’emplacements recherchés. Les emplacements avec des erreurs sont affichés en rouge. Pour afficher des détails complets sur tous les emplacements et les correspondances et erreurs associées, sélectionnez Télécharger le rapport pour télécharger le rapport de .csv complet.
  • Sources de données : affiche la fraction des sources de données avec des correspondances de toutes les sources de données recherchées. Le numérateur affiche les sources de données avec des correspondances et le dénominateur indique le nombre de sources de données incluses dans la recherche. Cette source de données est cohérente avec la source de données dans le flux de conception de recherche et doit correspondre au nombre de personnes ou de groupes inclus dans la recherche. Une source de données à l’échelle du locataire de Toutes les personnes et tous les groupes est une source de données unique.
  • Éléments partiellement indexés ou « Accès avancés aux éléments indexés » : affiche le nombre et le volume d’éléments partiellement et non indexés retournés dans le cadre de la recherche. Cette carte affiche des informations sur les éléments partiellement indexés si vous choisissez d’inclure des éléments partiellement ou non indexés dans le cadre de la configuration de la recherche. Si vous avez choisi d’inclure des éléments partiellement ou non indexés et que vous avez activé des options d’indexation avancée, cette carte affiche les accès supplémentaires que vous obtenez à partir d’éléments indexés avancés. Le nombre d’accès indexé avancé provient d’un échantillon statistique sur les éléments partiellement indexés. Les résultats réels peuvent être plus nombreux et doivent être confirmés à l’aide des actions Ajouter à un jeu de révision et exporter les résultats de recherche.
• Tendances d’accès à la recherche : cette section présente les cartes de résultats de recherche suivantes. Les graphiques sont interactifs et pointent pour afficher les noms de section, les pourcentages et les numéros d’élément. Sélectionnez Afficher les 100 premiers pour plus d’informations sur les éléments inclus dans chaque tendance et pour télécharger les résultats dans un fichier .csv :
  • Principales sources de données : affiche les cinq principales sources de données qui composent le plus d’accès à la recherche correspondant à votre requête. Le nom de ces sources de données (noms d’utilisateurs, de groupes ou d’emplacements à l’échelle de organization) est répertorié avec le nombre d’accès. Ces sources de données doivent correspondre à ce que vous avez sélectionné dans le flux de travail des sources de données lors de la création de la requête de recherche.
  • Principaux types d’informations sensibles (SIT) : affiche les cinq principaux types d’informations sensibles (SIT) dans les fichiers SharePoint qui sont le plus souvent inclus dans les résultats de recherche correspondant à votre requête. L’ajout du nombre de chaque SIT n’équivaut pas nécessairement au nombre total d’accès, car un seul élément/document peut contenir plusieurs types SIT. Par exemple, un document contient à la fois un mot de passe et un numéro de sécurité sociale (SSN). Dans cet exemple, il est compté deux fois. Nous vous recommandons de sélectionner Afficher les 100 premiers pour mieux comprendre les emplacements de ces décomptes SIT afin de vérifier s’ils se chevauchent ou non.
  • Mots clés principaux : mots clés de requête, ce qui a permis d’obtenir le plus de résultats de recherche correspondant à votre requête.
  • Principaux types d’éléments : types d’éléments les plus fréquents dans les résultats de recherche correspondant à votre requête. Ce nombre est déterminé par itemClass pour le contenu Exchange et ContentType pour le contenu SharePoint.
  • Indexation status : répartition des éléments de données non indexés (y compris partiellement indexés) et entièrement indexés.
  • Principaux participants à la communication : expéditeurs ou destinataires pour les e-mails, les conversations Microsoft Teams et les invitations de calendrier dans les emplacements Exchange.
  • Type d’emplacement supérieur : nombre d’accès par type d’emplacement (boîte aux lettres ou site).

Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger le rapport pour combiner tous les résultats statistiques dans un seul fichier .csv. Lorsque vous affichez les 100 premiers résultats d’une zone de tendance, sélectionnez Télécharger le rapport pour un fichier .csv des 100 premiers résultats de la tendance sélectionnée.

Présentation des statistiques et des résultats de recherche

Selon le moment où vous exécutez une recherche dans eDiscovery (préversion), les statistiques de la recherche peuvent contenir des résultats différents. Par exemple, si vous exécutez deux recherches avec exactement les mêmes conditions, mais à des moments différents, vous obtiendrez probablement des résultats statistiques différents. Ces différences peuvent être provoquées pour les raisons suivantes :

• Votre organization est actif : étant donné que vous avez des utilisateurs actifs dans un environnement de production, les données de votre organization sont constamment déplacées, ajoutées, supprimées et mises hors service. Les mêmes conditions de recherche exécutées sur les mêmes emplacements sont susceptibles d’avoir des résultats de recherche différents, car les données de ces emplacements ont changé entre le moment où les recherches ont été effectuées.
• Erreurs temporaires : lorsque vous exécutez une recherche (ou que vous exportez ou ajoutez à un jeu de révision), des erreurs de traitement temporaires peuvent se produire, en particulier pour des jeux de données volumineux. Ces erreurs sont souvent dues à des délais d’attente de traitement et peuvent être atténuées en fractionnant les recherches en plages de dates plus petites et en exportant les données en parallèle. Essayez toujours de diviser les recherches en petites tailles avec des conditions de recherche plus spécifiques et plus ciblées avec des emplacements sélectionnés. Cela permet au processus de s’exécuter plus efficacement avec moins de risques d’erreurs.
• Accès à l’emplacement : il existe des scénarios où les emplacements inclus dans une recherche ne sont pas valides, ne sont pas accessibles ou expirent pendant le traitement. Lorsque vous comparez les résultats de deux recherches avec les mêmes conditions, vérifiez que les emplacements recherchés correspondent. Par exemple, une recherche sur 1 000 emplacements peut avoir 1 emplacement ayant échoué lors de la première exécution et aucun emplacement ayant échoué lors de la deuxième exécution. Cela signifie que la première exécution n’a recherché que 999 emplacements avec succès et que la deuxième exécution a recherché 1 000 emplacements. La différence d’un emplacement est la raison pour laquelle les résultats de recherche entre deux exécutions sont différents. Utilisez le rapportlocations.csv pour la recherche, l’exportation et l’ajout de processus de jeu de révision pour afficher un rapport complet sur les emplacements qui ont réussi et les emplacements ayant échoué. Réexécutez les recherches pour tous les emplacements ayant échoué.
• Utilisateur exécutant la recherche : selon que l’utilisateur démarre le processus de recherche, la limite de conformité ou le filtre de recherche de conformité peuvent être appliqués à l’utilisateur. Ce filtre filtre les emplacements en fonction des propriétés de boîte aux lettres ou filtre le contenu en fonction du chemin d’accès au contenu (sites SharePoint). Les résultats de l’utilisateur peuvent être limités si une limite de conformité ou un filtre d’autorisation de recherche est appliqué. Par exemple, un utilisateur n’a pas de limite de conformité appliquée, mais un deuxième utilisateur a une limite de conformité appliquée qui limite cet utilisateur aux boîtes aux lettres utilisateur et aux sites OneDrive à une région spécifique. Une recherche effectuée par le premier utilisateur renvoie toutes les boîtes aux lettres et les correspondances OneDrive pour les conditions de recherche pour toutes les régions, et une recherche pour le deuxième utilisateur renvoie uniquement les correspondances pour les boîtes aux lettres et les sites OneDrive uniquement pour la région autorisée.

Exemple de tableau de bord

Si vous avez sélectionné Sample comme type de résultat initial pour votre recherche, vous êtes automatiquement redirigé vers ce tableau de bord une fois les résultats de la recherche terminés. Les résultats de la recherche pour les colonnes Exemple de tableau de bord contiennent les informations suivantes pour chaque élément :

• Objet/Titre : objet ou titre des éléments inclus dans l’exemple.
• Date : date à laquelle l’élément a été créé ou envoyé.
• Expéditeur/auteur : expéditeur ou auteur de l’élément.

Les exemples vous permettent d’inspecter un sous-ensemble représentatif d’éléments individuels et de détails pour chaque élément retourné pour la recherche. Le nombre d’échantillons par emplacement et le nombre d’emplacements définis dans la recherche déterminent le nombre d’exemples d’éléments et la représentation de l’emplacement dans les exemples d’éléments.

Sélectionnez un exemple d’élément pour afficher les informations source de l’élément. S’il est disponible pour l’élément, cet affichage affiche une vue enrichie d’un élément sélectionné afin que vous puissiez évaluer la pertinence de l’élément en ce qui concerne la source de données de recherche et les conditions définies.

Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger les rapports pour combiner tous les exemples de résultats dans un seul fichier .csv. Sélectionnez Afficher les paramètres pour afficher les paramètres appliqués à l’exemple de génération d’affichage.

Affiner les résultats de recherche

En fonction des estimations et des statistiques retournées par la recherche, vous pouvez modifier et affiner la recherche en modifiant les sources de données recherchées et la requête de recherche pour développer ou affiner la recherche. Vous pouvez mettre à jour et réexécuter la recherche jusqu’à ce que vous soyez certain que les résultats de la recherche contiennent le contenu le plus pertinent pour votre cas.

Une fois que vous êtes satisfait des résultats de la recherche, vous pouvez effectuer les actions suivantes :

• Ajouter des résultats de recherche à un jeu à réviser
• Exporter les résultats de la recherche
• Créer une attente