Condividi tramite


Creare una query di ricerca per un caso in eDiscovery (anteprima)

È possibile usare la ricerca in eDiscovery (anteprima) per cercare contenuti sul posto, ad esempio messaggi di posta elettronica, documenti e conversazioni di messaggistica istantanea nell'organizzazione rilevanti per un caso. Usare la ricerca per trovare il contenuto in queste origini dati Microsoft 365 basate sul cloud:

  • Cassette postali di Exchange Online
  • Siti di SharePoint
  • Account di OneDrive
  • Microsoft Teams
  • Gruppi di Microsoft 365
  • Viva Engage Gruppi

È possibile creare ed eseguire ricerche diverse associate al caso. Si usano condizioni , ad esempio parole chiave, per compilare query di ricerca che restituiscono i risultati della ricerca con i dati più probabilmente rilevanti per il caso. È inoltre possibile:

  • Visualizzare le statistiche di ricerca che possono aiutare a perfezionare una query di ricerca per limitare i risultati.
  • Visualizzare in anteprima i risultati della ricerca per verificare rapidamente se vengono trovati i dati pertinenti.
  • Rivedere una query ed eseguire di nuovo la ricerca.

Dopo aver cercato e trovato i dati rilevanti per l'indagine, è possibile inviare i risultati a un set di revisione per ulteriori indagini o esportarli per la revisione da parte di persone esterne al team di indagine.

Nota

Per le organizzazioni che hanno requisiti gdpr (General Data Protection Regulation) dell'UE per proteggere e abilitare i diritti sulla privacy dei singoli all'interno dell'Unione europea (UE), è anche possibile gestire le indagini in risposta a richieste degli interessati inviate da una persona dell'organizzazione. Lo strumento case ricerca dati utente è stato ritirato e la relativa funzionalità è stata unita a eDiscovery (anteprima). È ora possibile usare la ricerca per trovare il contenuto per supportare le richieste DSR in tutte le posizioni supportate dalle ricerche di eDiscovery.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Suggerimenti per la ricerca

  • Il fuso orario per tutte le ricerche è Coordinated Universal Time (UTC). La modifica dei fusi orari per l'organizzazione non è attualmente supportata. Le impostazioni di visualizzazione del fuso orario nella visualizzazione di ricerca sono applicabili solo per i valori nella colonna Dati e non influiscono sui timestamp degli elementi raccolti.
  • Le ricerche per parole chiave non fanno distinzione tra maiuscole e minuscole. Ad esempio, cat e CAT restituiscono gli stessi risultati.
  • Gli operatori booleani AND, OR, NOT e NEAR e devono essere in maiuscolo.
  • L'uso delle virgolette arresta i caratteri jolly e tutte le operazioni all'interno delle virgolette.
  • Uno spazio tra due parole chiave o due espressioni property:value equivale all'utilizzo dell'operatore OR. Ad esempio, from:"Sara Davis" subject:reorganization restituisce tutti i messaggi inviati da Sara Davis o i messaggi che contengono la parola "reorganization" nella riga dell'oggetto. Tuttavia, l'uso di una combinazione di spazi e condizionali OR in una singola query può causare risultati imprevisti. È consigliabile usare spazi o OR in una singola query.
  • Utilizzare la sintassi che corrisponde al formato property:value. I valori non fanno distinzione tra maiuscole e minuscole e non presentano uno spazio dopo l'operatore. Se è presente uno spazio, il valore previsto è una ricerca full-text. Ad esempio to: pilarp ricerca "pilarp" come parola chiave, anziché come messaggi inviati a pilarp.
  • Quando si cerca una proprietà relativa al destinatario, come To (A), From (Da), Cc (Cc) o Recipients (Destinatari), è possibile utilizzare un indirizzo SMTP, un alias o un nome visualizzato per denotare un destinatario. Ad esempio, è possibile utilizzare pilarp@contoso.com, pilarp o "Pilar Pinilla".
  • È possibile utilizzare solo le ricerche di prefissi, ad esempio, cat* o set*. Le ricerche suffisso (*cat), ricerche infisso (c*t) e le ricerche di substring (*cat*) non sono supportate.
  • Quando si ricerca una proprietà, utilizzare le virgolette doppie (" ") se il valore della ricerca è costituito da più parole. Ad esempio, subject:budget Q1 restituisce i messaggi che contengono budget nella riga dell'oggetto e che contengono Q1 in qualsiasi parte del messaggio o in qualsiasi proprietà del messaggio. Utilizzando subject:"budget Q1", vengono restituiti tutti i messaggi che contengono budget Q1 in qualsiasi parte della riga dell'oggetto.
  • Per escludere i contenuti contrassegnati con un determinato valore della proprietà dai risultati della ricerca, inserire un segno meno (-) prima del nome della proprietà. Ad esempio, -from:"Sara Davis" esclude qualsiasi messaggio inviato da Sara Davis.
  • È possibile esportare gli elementi in base al tipo di messaggio. Ad esempio, per esportare conversazioni e chat Skype in Microsoft Teams, usare la sintassi kind:im. Per restituire solo i messaggi e-mail, usare kind:email. Per restituire chat, riunioni e chiamate in Microsoft Teams, usare kind:microsoftteams.
  • Durante la ricerca nei siti, è necessario aggiungere la parte finale / alla fine dell'URL quando si usa la proprietà path per restituire solo gli elementi di un sito specificato. Se non si include la parte finale /, vengono restituiti anche gli elementi di un sito con un nome di percorso simile. Ad esempio, se si usa path:sites/HelloWorld, verranno restituiti anche gli elementi dei siti denominati sites/HelloWorld_East o sites/HelloWorld_West. Per restituire elementi solo dal sito HelloWorld, è necessario usare path:sites/HelloWorld/.
  • La lingua/area geografica della query deve essere definita nella query di ricerca prima di raccogliere il contenuto.
  • Durante la ricerca di e-mail nelle cartelle Posta inviata, l'uso dell'indirizzo SMTP per il mittente non è supportato. Gli elementi nella cartella Posta inviata contengono solo nomi visualizzati.

Creare una query di ricerca

Consiglio

Si preferisce un'esperienza interattiva di guida alla configurazione? Vedere la guida Progettare una ricerca .

Dopo aver creato un nuovo caso, si viene automaticamente indirizzati alla scheda Ricerche nel caso e si è pronti per creare una ricerca per il caso. Le ricerche consentono di trovare gli elementi da raccogliere per il caso.

  1. Selezionare Crea una ricerca. Se si tratta di un nuovo caso senza ricerche precedenti, è anche possibile selezionare Crea una ricerca nel riquadro principale in Avvia ricerca dei dati pertinenti.

  2. Nella pagina Immettere i dettagli per iniziare completare i campi seguenti:

    • Nome ricerca: assegnare un nome alla ricerca (obbligatorio). Il nome della ricerca deve essere univoco nell'organizzazione
    • Descrizione della ricerca: aggiungere una descrizione facoltativa per consentire ad altri utenti di comprendere questa ricerca.
  3. Selezionare Crea per creare la nuova ricerca e avviare le query per trovare i dati rilevanti per il caso.

  4. Nella scheda Query della ricerca aggiungere origini dati per la ricerca

  5. Selezionare Aggiungi origini dati o Aggiungi origini a livello di tenant.

    • Aggiungi origini dati: selezionando questa opzione vengono aggiunte singole origini dati all'organizzazione.

    • Aggiungere origini a livello di tenant: la selezione di questa opzione include origini nell'organizzazione. Scegliere di applicare a tutte le origini o di perfezionare le selezioni a un subset di origini dati.

      Ad esempio, selezionando Tutti gli utenti e i gruppi e selezionando Tutto per cassette postali vengono aggiunte tutte le cassette postali di Exchange degli utenti nell'organizzazione come origine dati. Selezionando Tutti gli utenti e i gruppi e selezionando Tutti per siti vengono aggiunti tutti i siti di SharePoint e OneDrive dell'organizzazione come origine dati.

  6. Nel riquadro a comparsa Cerca origini cercare e aggiungere origini dati per la query di ricerca. È possibile filtrare in base all'ambito delle origini dati per consentire di scegliere uno o più utenti o origini di gruppo da aggiungere alla ricerca.

    Nel lato sinistro del riquadro vengono visualizzate le opzioni filtro per le origini. Per impostazione predefinita, tutte le origini nel tenant sono selezionate per includere tutte le origini nell'organizzazione per la selezione e l'aggiunta alla ricerca.

    Usare le opzioni seguenti nella sezione Mostra filtro per definire l'ambito delle origini nella sezione Ricerca :

    • Tutte le persone e i gruppi (impostazione predefinita)
    • solo Persone
    • solo Gruppi

    Se applicabile, selezionare Escludi utenti inattivi per ridurre l'ambito delle origini solo agli utenti attualmente attivi.

    Dopo aver filtrato le origini dati, usare il controllo di ricerca e i selettori nella sezione Cerca per aggiungere origini dati, utenti e gruppi specifici alla query di ricerca. Immettere gli utenti, i gruppi o le posizioni dell'organizzazione specifici da aggiungere nel campo di ricerca e selezionare Cerca.

    Cercare persone usando i valori seguenti:

    • Nome e nome della famiglia del nome visualizzato dell'utente (ad esempio, John Smith)
    • Solo nome
    • Indirizzo SMTP utente
    • Alias utente
    • Exchange GUID
    • URL del sito di OneDrive dell'utente

    Cercare i gruppi usando i valori seguenti:

    • Raggruppare l'indirizzo SMTP della cassetta postale
    • URL del sito del gruppo. L'URL di un sito del canale di Teams risolve il gruppo di Teams come origine dati.
  7. Selezionare Gestisci per aggiornare la cassetta postale o il sito associato alle origini selezionate. In caso contrario, selezionare Salva e chiudi.

  8. Esaminare le selezioni e confermare le risorse incluse per ogni origine dati. Seleziona Salva. È stato ora definito l'ambito delle origini dati esaminate dalle query di ricerca.

  9. Nella sezione Origini dati selezionare il menu dei puntini di sospensione per qualsiasi origine dati per le opzioni di gestione per l'origine dati.

    Per le opzioni di gestione, selezionare una delle opzioni seguenti:

    • Gestisci origine dati: gestire le origini dati per l'utente o il sito selezionato.
    • Disabilita cassette postali: disabilitare le cassette postali per l'utente o il sito selezionato. Selezionare di nuovo questa opzione per abilitare la cassetta postale per l'utente o il sito.
    • Disabilita siti: disabilita il sito per l'utente o il sito selezionato. Selezionare di nuovo questa opzione per abilitare il sito per l'utente o il sito.
    • Collaboratori frequenti: selezionare le cassette postali e i siti associati per gli utenti che collaborano spesso con l'utente selezionato.
    • Manager: selezionare le cassette postali e i siti associati del responsabile dell'utente.
    • Report diretti: selezionare le cassette postali e i siti associati dei report diretti dell'utente.
    • Gruppi l'utente è proprietario: selezionare le cassette postali e i siti dei gruppi associati di cui l'utente è proprietario.
    • Gruppi l'utente si trova in: selezionare le cassette postali e i siti associati dei gruppi di cui l'utente è membro.

    Per le origini di gruppo, selezionare una delle opzioni seguenti:

    • Membri: selezionare le cassette postali e i siti associati di persone che sono membri del gruppo.
  10. Usare i controlli della barra dei comandi Origini dati per aggiungere, aggiornare, sincronizzare e cercare altre origini dati per la ricerca (in base alle esigenze)

    • Cerca e aggiungi: selezionare l'icona + per aggiungere origini dati.
    • Gestisci: selezionare l'icona a matita per gestire le origini dati assegnate.
    • Sincronizzazione: selezionare l'icona di sincronizzazione per sincronizzare le origini dati e aggiornare le origini dati con le origini dati più recenti dell'organizzazione.
    • Ricerca: selezionare l'icona di ricerca per cercare le origini dati attualmente incluse nella query di ricerca.
  11. Per definire i parametri della query di ricerca, è possibile scegliere tra le opzioni seguenti nella scheda Query :

    • Generatore di condizioni: l'opzione generatore di condizioni nella ricerca offre un'esperienza di ricerca facile da usare quando si compilano query di ricerca in eDiscovery (anteprima). Usare parole chiave o condizioni personalizzate per concentrare l'ambito delle query di ricerca. È anche possibile usare l'opzione condizione di query KQL (Keyword Query Language) nella ricerca che fornisce indicazioni e consente di incollare rapidamente query lunghe e complesse direttamente nell'editor. Consente inoltre di creare query di ricerca da zero e di identificare potenziali errori e di visualizzare suggerimenti su come risolvere i problemi.

      È anche possibile compilare rapidamente query KeyQL per la ricerca usando Microsoft Security Copilot. Per indicazioni, vedere la sezione seguente in questo articolo.

    • Ricerca per file: caricare uno o più file per trovare contenuto correlato o simile per un caso specifico. Usare il csv dell'attività di controllo per trovare i messaggi e i file correlati per un utente specifico entro un intervallo di tempo specifico. In alternativa, fornire prove di esempio per trovare contenuti simili. Ogni file è limitato a dimensioni massime di 10 MB e i file possono essere csv o txt. Le opzioni di compilazione query e KQL sono disabilitate durante la ricerca per file.

  12. Selezionare Esegui query. Per salvare i parametri di query definiti ed eseguire la query in un secondo momento, selezionare Salva come bozza.

Creare una query di ricerca KeyQL con Microsoft Copilot (anteprima)

L'opzione generatore KeyQL di Query in linguaggio naturale (anteprima) nella ricerca consente di usare il linguaggio naturale e Microsoft Security Copilot per generare rapidamente un'istruzione KeyQL (Keyword Query Language). Usare il generatore per costruire query complesse con funzionalità aggiuntive, tra cui AND, OR e raggruppamento di condizioni, il tutto usando i prompt del linguaggio naturale.

Questa funzionalità consente di creare più facilmente query usando richieste predefinite per scenari di esempio e consente di perfezionare e migliorare le richieste personalizzate per query di ricerca più accurate. È anche possibile scegliere di usare i suggerimenti di richiesta come punto di partenza per creare e perfezionare le query KeyQL per scenari di ricerca comuni o personalizzati.

Per creare una query di ricerca con Copilot, seguire questa procedura:

  1. Dopo aver selezionato le origini dati per la query, selezionare Bozza di una query con Copilot.
  2. Nel riquadro Prompt del linguaggio naturale scegliere una delle opzioni seguenti:
    • Immettere la domanda della query di ricerca. È possibile includere l'utente, l'origine dati e altri dettagli sul contenuto in base alle esigenze.
    • Selezionare Visualizza richieste per selezionare uno dei suggerimenti seguenti:
      • Trovare tutti i messaggi di posta elettronica contenenti le parole budget e finance e avere allegati
      • Cerca in tutte le chat del mese di gennaio 2020 che contengono la parola "esercizio finanziario"
      • Cercare file di tipo .docx contenenti le parole confidential e budget
  3. Esaminare il prompt del linguaggio naturale. Per perfezionare la richiesta con Copilot, selezionare Affina.
  4. Al termine della richiesta, selezionare Genera KeyQL.
  5. Esaminare la query KeyQL nel riquadro dei risultati KeyQL (Keyword Query Language). Se è necessario perfezionare i risultati della query KeyQL, è possibile aggiornare la richiesta nel riquadro prompt del linguaggio naturale e selezionare di nuovo Genera KeyQL . 1. Quando i risultati di KeyQL sono finalizzati, selezionare Copia KeyQL.
  6. Incollare i risultati di KeyQL nel campo query nella scheda Linguaggio di query parola chiave (KeyQL). È possibile chiudere Bozza di una query con Copilot.
  7. Selezionare Esegui query. Per salvare i parametri di query definiti ed eseguire la query in un secondo momento, selezionare Salva come bozza.

Eseguire una query di ricerca

Dopo aver creato una query di ricerca manualmente o usando Security Copilot, è possibile eseguire la query e generare i risultati della ricerca.

Per eseguire una query di ricerca, seguire questa procedura:

  1. Passare al portale di Microsoft Purview e accedere usando le credenziali per un account utente a cui sono assegnate le autorizzazioni di eDiscovery.

  2. Selezionare la scheda della soluzione eDiscovery e quindi selezionare Case (anteprima) nel riquadro di spostamento a sinistra.

  3. Selezionare un caso. Nella scheda Ricerche selezionare una ricerca salvata.

  4. Selezionare Esegui query.

  5. Dopo aver selezionato Esegui query, verrà visualizzato il riquadro a comparsa Formato risultati query . Scegliere la visualizzazione che si vuole generare per la query e le relative impostazioni. È possibile scegliere la visualizzazione Statistiche o Esempio :

    • Statistiche: questa visualizzazione genera un riepilogo delle stime dei dati raccolti disposte in base agli indicatori principali. Scegliere una o più delle opzioni seguenti:

      • Includi categorie: perfezionare la visualizzazione per includere persone, tipi di informazioni riservate, tipi di elemento ed errori.

      • Includi report sulle parole chiave di query: valutare la pertinenza delle parole chiave per diverse parti della query di ricerca/

      • Analizzare gli elementi parzialmente indicizzati: gli elementi parzialmente indicizzati rappresentano in genere circa l'1% del contenuto nelle origini dati in base al conteggio. Selezionando questa opzione (e solo questa opzione), vengono generate informazioni di riepilogo (numero di elementi e posizione) sugli elementi parzialmente indicizzati inclusi nelle origini dati selezionate per la ricerca. Nessun elemento parzialmente indicizzato viene reindicato o elaborato. Per elaborare ulteriormente gli elementi parzialmente indicizzati nelle origini dati con ambito, prendere in considerazione le opzioni di indicizzazione avanzate seguenti:

        • Escludere gli elementi parzialmente indicizzati nelle posizioni senza riscontri di ricerca: la scelta di questa opzione aggiuntiva riduce l'ambito degli elementi parzialmente indicizzati (o l'indicizzazione avanzata se è selezionata tale opzione) limitando l'inclusione di elementi parzialmente indicizzati solo dalle origini dati che includono elementi rilevanti per la ricerca. Ciò esclude gli elementi parzialmente indicizzati da origini dati che non includono elementi rilevanti per la ricerca.

          Ad esempio, sono state selezionate più cassette postali, siti di SharePoint e siti di OneDrive come origini dati per la ricerca. Quando la ricerca viene eseguita, solo alcune delle cassette postali e dei siti hanno elementi indicizzati rilevanti per le condizioni di ricerca, le altre cassette postali e i siti non contengono elementi indicizzati in modo nativo rilevanti per le condizioni di ricerca. Se è stata selezionata questa opzione, gli elementi parzialmente indicizzati nelle cassette postali e nei siti che contengono elementi indicizzati in modo nativo rilevanti per la ricerca vengono inclusi nei risultati delle statistiche di ricerca. Gli elementi parzialmente indicizzati nelle cassette postali e nei siti che non contengono elementi indicizzati in modo nativo rilevanti per la ricerca vengono ignorati e non segnalati nei risultati delle statistiche di ricerca.

        • Eseguire l'indicizzazione avanzata su elementi parzialmente indicizzati: l'ambito di esecuzione dell'indicizzazione avanzata dipende dall'opzione Escludi elementi parzialmente indicizzati in posizioni senza riscontri di ricerca . Il processo di indicizzazione avanzato esegue un esempio di statistica di elementi parzialmente indicizzati nell'ambito e determina se questi elementi corrispondono o meno alla query:

          • Selezionata con l'opzione Escludi elementi parzialmente indicizzati in posizioni senza riscontri di ricerca : si applica agli elementi parzialmente indicizzati solo alle origini dati con elementi completamente indicizzati corrispondenti alla query di ricerca. Questi elementi vengono campionati, indicizzati e gli elementi corrispondenti alla query di ricerca vengono visualizzati nelle statistiche di ricerca (se applicabile).
          • Selezionata senza l'opzione Escludi elementi parzialmente indicizzati in posizioni senza riscontri di ricerca : si applica a tutti gli elementi parzialmente indicizzati in tutte le origini dati incluse nella ricerca. Tutti gli elementi vengono campionati, indicizzati e gli elementi corrispondenti alla query di ricerca vengono visualizzati nelle statistiche di ricerca (se applicabile).
    • Esempio: questa visualizzazione genera una selezione rappresentativa dei risultati completi della ricerca. Definire i parametri per le opzioni seguenti:

      • Selezionare il numero di elementi di esempio da generare per località: scegliere 1, 10 o 100.
      • Selezionare il numero di posizioni da cui ottenere gli esempi: scegliere 10, 100, 1000 o 10000.
  6. Selezionare Esegui query per eseguire immediatamente la query.

A seconda delle opzioni di visualizzazione query selezionate, si verrà automaticamente indirizzati alla scheda Statistiche o Esempio . La valutazione della query di ricerca viene avviata e viene calcolato il tempo rimanente per elaborare la query. Per altre informazioni sulla valutazione e l'ottimizzazione dei risultati della ricerca, vedere Esaminare e valutare i risultati della ricerca.