Valutare e perfezionare i risultati della ricerca in eDiscovery

La valutazione e il perfezionamento dei risultati della ricerca è uno dei passaggi più importanti del lavoro di analisi di eDiscovery. La query di ricerca configurata e i risultati restituiti consentono di determinare se sono stati individuati elementi e informazioni applicabili all'indagine o se è necessario modificare la ricerca per provare a individuare altri elementi pertinenti. Questa ricerca iniziale di elementi e la revisione iniziale delle informazioni consentono di determinare quali azioni sono necessarie dopo aver finalizzato i parametri di ricerca.

Consiglio

Introduzione a Microsoft Security Copilot per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'IA. Altre informazioni su Microsoft Security Copilot in Microsoft Purview.

Valutare i risultati della ricerca

Dopo aver creato una ricerca ed eseguirla, il passaggio successivo consiste nel visualizzare le statistiche di ricerca per verificare se il contenuto pertinente viene trovato e le posizioni del contenuto con il maggior numero di riscontri. È anche possibile esaminare un esempio dei risultati della ricerca per determinare ulteriormente se il contenuto rientra nell'ambito dell'indagine.

Dashboard statistiche

Se è stato selezionato Statistiche come tipo di risultato iniziale per la ricerca, si verrà reindirizzati automaticamente a questo dashboard al termine dei risultati della ricerca. Se si ha già familiarità con le versioni precedenti di eDiscovery, le informazioni nella scheda Statistiche sono simili alle stime della raccolta. I risultati della ricerca per il dashboard Statistiche sono inclusi nelle sezioni seguenti:

• Riepilogo: questa sezione mostra il numero di riscontri di ricerca, i percorsi, le origini dati e le dimensioni totali del file degli elementi parzialmente indicizzati.
  • Riscontri di ricerca: visualizza il numero totale di riscontri di ricerca e il volume di tutti gli elementi corrispondenti ai criteri di query dei percorsi ricercati.
  • Posizioni: visualizza la frazione di posizioni con riscontri di tutte le posizioni ricercate. Il numeratore mostra le posizioni con riscontri e il denominatore mostra il numero di posizioni ricercate. Le posizioni con errori vengono visualizzate in rosso. Per visualizzare i dettagli completi su tutte le posizioni e i riscontri e gli errori associati, selezionare Scarica report per scaricare il report completo .csv.
  • Origini dati: visualizza la frazione di origini dati con riscontri di tutte le origini dati ricercate. Il numeratore mostra le origini dati con riscontri e il denominatore indica il numero di origini dati incluse nella ricerca. Questa origine dati è coerente con l'origine dati nel flusso di progettazione della ricerca e deve corrispondere al numero di persone o gruppi inclusi nella ricerca. Un'origine dati a livello di tenant di Tutti gli utenti e tutti i gruppi viene conteggiata come singola origine dati.
  • Elementi parzialmente indicizzati o "Riscontri di elementi indicizzati avanzati": visualizza il conteggio e il volume degli elementi parzialmente e non indicizzati restituiti come parte della ricerca. Questa scheda visualizza informazioni sugli elementi parzialmente indicizzati se si sceglie di includere elementi parzialmente o non indicizzati come parte della configurazione di ricerca. Se si è scelto di includere elementi parzialmente e non indicizzati e sono state abilitate le opzioni di indicizzazione avanzate, questa scheda visualizza i riscontri aggiuntivi ottenuti dagli elementi indicizzati avanzati. Il numero di riscontri indicizzati avanzati proviene da un esempio di statistica sugli elementi parzialmente indicizzati, i riscontri effettivi possono essere maggiori e devono essere confermati usando l'aggiunta a un set di revisione ed esportare le azioni dei risultati della ricerca.
• Tendenze dei risultati della ricerca: questa sezione mostra le schede dei risultati della ricerca seguenti. I grafici sono interattivi, passando il puntatore del mouse per visualizzare nomi di sezione, percentuali e numeri di elemento. Selezionare Visualizza i primi 100 per altre informazioni sugli elementi inclusi in ogni tendenza e per scaricare i risultati in un file .csv:
  • Principali origini dati: visualizza le prime cinque origini dati che costituiscono il maggior numero di riscontri di ricerca corrispondenti alla query. Il nome di queste origini dati (nomi di utenti, gruppi o località a livello di organizzazione) è elencato con il numero di riscontri. Queste origini dati devono corrispondere a quelle selezionate nel flusso di lavoro delle origini dati durante la compilazione della query di ricerca.
  • Principali tipi di informazioni sensibili (SIT): visualizza i primi cinque tipi di informazioni sensibili (SIT) nei file di SharePoint che sono più spesso inclusi nei riscontri di ricerca corrispondenti alla query. L'aggiunta del conteggio di ogni SIT non equivale necessariamente al numero totale di riscontri perché un singolo elemento/documento può contenere più di un tipo SIT. Ad esempio, un documento contiene sia una password che un numero di previdenza sociale (SSN). In questo esempio viene conteggiato due volte. È consigliabile selezionare Visualizza i primi 100 per ottenere una comprensione più approfondita delle posizioni di questi conteggi SIT per verificare se si sovrappongono o meno.
  • Parole chiave principali: parole chiave di query, che hanno generato il maggior numero di riscontri di ricerca corrispondenti alla query.
  • Tipi di elementi principali: tipi di elementi più frequenti all'interno dei riscontri di ricerca corrispondenti alla query. Questo conteggio è determinato da itemClass per il contenuto di Exchange e ContentType per il contenuto di SharePoint.
  • Stato di indicizzazione: suddivisione di elementi di dati non indicizzati (inclusi quelli parzialmente indicizzati) e completamente indicizzati.
  • Principali partecipanti alla comunicazione: mittenti o destinatari per i messaggi di posta elettronica, le chat di Microsoft Teams e gli inviti al calendario nelle posizioni di Exchange.
  • Tipo di posizione principale: numero di riscontri per tipo di posizione (cassetta postale rispetto al sito).

Selezionare Rigenera visualizzazione per eseguire di nuovo la query e per esaminare i risultati più aggiornati. Selezionare Scarica report per combinare tutti i risultati delle statistiche in un singolo file di .csv. Quando si visualizzano i primi 100 risultati per qualsiasi area di tendenza, selezionare Scarica report per un file .csv dei primi 100 risultati della tendenza di hit selezionata.

Informazioni sulle statistiche e sui risultati della ricerca

A seconda di quando si esegue una ricerca in eDiscovery, le statistiche per la ricerca possono contenere risultati diversi. Ad esempio, se si eseguono due ricerche con esattamente le stesse condizioni, ma in momenti diversi, è probabile che si abbiano risultati di statistiche diversi. Queste differenze possono essere causate per i motivi seguenti:

• L'organizzazione è attiva: poiché si hanno utenti attivi in un ambiente di produzione, i dati dell'organizzazione vengono costantemente spostati, aggiunti, eliminati e ritirati. È probabile che le stesse condizioni di ricerca eseguite nelle stesse posizioni abbiano risultati di ricerca diversi perché i dati in tali posizioni sono cambiati tra il momento in cui sono state eseguite le ricerche.
• Errori temporanei: quando si esegue una ricerca (o si esporta o si aggiunge a un set di revisione) possono verificarsi errori di elaborazione temporanei, in particolare per set di dati di grandi dimensioni. Questi errori sono spesso dovuti a timeout di elaborazione e possono essere attenuati suddividendo le ricerche in intervalli di date più piccoli ed esportando i dati in parallelo. Provare sempre a suddividere le ricerche in dimensioni più piccole con condizioni di ricerca più specifiche e più mirate a posizioni selezionate. Ciò consente di eseguire l'esecuzione in modo più efficiente con meno probabilità di errori.
• Accesso alla posizione: esistono scenari in cui le posizioni incluse in una ricerca non sono valide, non sono accessibili o si verificano timeout durante l'elaborazione. Quando si confrontano i risultati tra due ricerche con le stesse condizioni, assicurarsi che le posizioni ricercate corrispondano correttamente. Ad esempio, una ricerca in 1.000 posizioni potrebbe avere 1 percorso non riuscito nella prima esecuzione e nessuna posizione non riuscita nella seconda esecuzione. Ciò significa che la prima esecuzione ha eseguito correttamente solo 999 posizioni e la seconda ha cercato 1.000 posizioni. La differenza di una posizione è il motivo per cui i risultati della ricerca tra due esecuzioni sono diversi. Usare il reportlocations.csv per la ricerca, l'esportazione e l'aggiunta per esaminare i processi impostati per visualizzare un report completo sulle posizioni riuscite e sui percorsi non riusciti. Rieseguire la ricerca di eventuali posizioni non riuscite.
• Utente che esegue la ricerca: a seconda dell'utente che avvia il processo di ricerca, l'utente può applicare o meno il limite di conformità o il filtro di ricerca di conformità. Questo filtro filtra i percorsi in base alle proprietà delle cassette postali o filtra il contenuto in base al percorso del contenuto (siti di SharePoint). I risultati per l'utente possono essere limitati se viene applicato un limite di conformità o un filtro delle autorizzazioni di ricerca. Ad esempio, un utente non ha un limite di conformità applicato, ma un secondo utente ha un limite di conformità applicato che limita l'utente alle cassette postali utente e ai siti di OneDrive a un'area specifica. Una ricerca del primo utente restituisce tutte le cassette postali e OneDrive corrisponde alle condizioni di ricerca per tutte le aree e una ricerca per il secondo utente restituisce solo corrispondenze per le cassette postali e i siti di OneDrive solo per l'area consentita.

Dashboard di esempio

Se è stato selezionato Esempio come tipo di risultato iniziale per la ricerca, si viene reindirizzati automaticamente a questo dashboard al termine dei risultati della ricerca. I risultati della ricerca per le colonne del dashboard di esempio contengono le informazioni seguenti per ogni elemento:

• Oggetto/Titolo: oggetto o titolo degli elementi inclusi nell'esempio.
• Data: data di creazione o invio dell'elemento.
• Mittente/Autore: mittente o autore dell'elemento.

Gli esempi consentono di esaminare un subset rappresentativo di singoli elementi e dettagli per ogni elemento restituito per la ricerca. Il numero di campioni per località e il numero di posizioni di esempio definite nella ricerca determinano il numero di elementi di esempio e la rappresentazione della posizione negli elementi di esempio.

Selezionare un elemento di esempio per visualizzare le informazioni di origine per l'elemento. Se disponibile per l'elemento, questa visualizzazione visualizza una visualizzazione avanzata di un elemento selezionato in modo che sia possibile valutare la pertinenza dell'elemento in relazione all'origine dati e alle condizioni di ricerca definite.

Selezionare Rigenera visualizzazione per eseguire di nuovo la query e per esaminare i risultati più aggiornati. Selezionare Scarica report per combinare tutti i risultati di esempio in un singolo file .csv. Selezionare Visualizza impostazioni per visualizzare le impostazioni applicate alla generazione di visualizzazioni di esempio.

Perfezionare i risultati della ricerca

In base alle stime e alle statistiche restituite dalla ricerca, è possibile modificare e perfezionare la ricerca modificando le origini dati in cui viene eseguita la ricerca e la query di ricerca per espandere o limitare la ricerca. È possibile aggiornare ed eseguire nuovamente la ricerca fino a quando non si è certi che i risultati della ricerca contengano il contenuto più rilevante per il caso.

Dopo aver soddisfatto i risultati della ricerca, è possibile eseguire le azioni seguenti:

• Aggiungere i risultati della ricerca a un insieme da rivedere
• Esportare i risultati della ricerca
• Creare un blocco