다음을 통해 공유

eDiscovery에서 검색 결과 평가 및 구체화

  • 아티클

검색 결과를 평가하고 구체화하는 것은 eDiscovery 조사 작업에서 가장 중요한 단계 중 하나입니다. 구성한 검색 쿼리와 반환되는 결과는 조사에 적용할 수 있는 항목 및 정보를 검색했는지 또는 추가 관련 항목을 검색하기 위해 검색을 수정해야 하는지 여부를 확인하는 데 도움이 됩니다. 항목의 초기 검색 및 정보의 초기 검토는 검색 매개 변수를 완료한 후 필요한 작업을 결정하는 데 도움이 됩니다.

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

검색 결과 평가

검색을 만들고 실행한 후 다음 단계는 검색 통계를 확인하여 관련 콘텐츠가 발견되고 있는지 여부와 적중이 가장 많은 콘텐츠 위치를 확인하는 것입니다. 또한 검색 결과 샘플을 검토하여 콘텐츠가 조사 scope 내에 있는지 확인하는 데 도움이 될 수 있습니다.

통계 dashboard

검색의 초기 결과 유형으로 통계를 선택한 경우 검색 결과가 완료되면 이 dashboard 자동으로 리디렉션됩니다. 이전 버전의 eDiscovery에 이미 익숙한 경우 통계 탭의 정보는 컬렉션 예상과 유사합니다. 통계 dashboard 대한 검색 결과는 다음 섹션에 포함되어 있습니다.

  • 요약: 이 섹션에서는 검색 적중 횟수, 위치, 데이터 원본 및 부분적으로 인덱싱된 항목의 총 파일 크기를 보여 줍니다.
    • 검색 적중: 검색된 위치의 쿼리 조건과 일치하는 모든 항목의 총 검색 적중 횟수 및 볼륨을 표시합니다.
    • 위치: 검색된 모든 위치에서 적중이 있는 위치의 비율을 표시합니다. 숫자화는 적중이 있는 위치를 표시하고 분모는 검색된 위치 수를 표시합니다. 오류가 있는 위치는 빨간색으로 표시됩니다. 모든 위치 및 관련 적중 및 오류에 대한 전체 세부 정보를 보려면 보고서 다운로드 를 선택하여 전체 .csv 보고서를 다운로드합니다.
    • 데이터 원본: 검색된 모든 데이터 원본 중 적중이 있는 데이터 원본의 비율을 표시합니다. 숫자화는 적중이 있는 데이터 원본을 표시하고 분모는 검색에 포함된 데이터 원본 수를 표시합니다. 이 데이터 원본은 검색 디자인 흐름의 데이터 원본과 일치하며 검색에 포함된 사용자 또는 그룹 수와 일치해야 합니다. 모든 사용자 및 모든 그룹의 테넌트 전체 데이터 원본은 단일 데이터 원본으로 계산됩니다.
    • 부분적으로 인덱싱된 항목 또는 "고급 인덱싱된 항목 적중": 검색의 일부로 반환된 부분 및 인덱싱되지 않은 항목의 수와 볼륨을 표시합니다. 이 카드 부분적으로 또는 인덱싱되지 않은 항목을 검색 구성의 일부로 포함하도록 선택하는 경우 부분적으로 인덱싱된 항목 정보를 표시합니다. 부분 및 인덱싱되지 않은 항목을 포함하도록 선택하고 고급 인덱싱 옵션을 사용하도록 설정한 경우 이 카드 고급 인덱싱된 항목에서 가져오는 추가 적중을 표시합니다. 인덱싱된 고급 적중 횟수는 부분적으로 인덱싱된 항목에 대한 통계 샘플에서 가져오며, 실제 적중 횟수는 더 많을 수 있으며 검토 집합에 추가 및 검색 결과 내보내기 작업을 사용하여 확인해야 합니다.
  • 검색 적중 추세: 이 섹션에서는 다음 검색 결과 카드를 보여 줍니다. 차트는 대화형이며 마우스로 가리키면 섹션 이름, 백분율 및 항목 번호가 표시됩니다. 각 추세에 포함된 항목에 대한 자세한 내용을 보려면 상위 100개 보기 를 선택하고 결과를 .csv 파일에 다운로드합니다.
    • 상위 데이터 원본: 쿼리와 일치하는 가장 많은 검색 적중을 구성하는 상위 5개 데이터 원본을 표시합니다. 이러한 데이터 원본의 이름(사용자, 그룹 또는 organization 전체 위치의 이름)은 적중 횟수와 함께 나열됩니다. 이러한 데이터 원본은 검색 쿼리를 빌드할 때 데이터 원본 워크플로에서 선택한 것과 일치해야 합니다.
    • 가장 중요한 정보 유형(SIT): 쿼리와 일치하는 검색 적중에 가장 자주 포함된 상위 5가지 SID(중요한 정보 유형)를 SharePoint 파일에 표시합니다. 단일 항목/문서에 둘 이상의 SIT 형식이 포함될 수 있으므로 각 SIT의 개수를 추가하는 것이 총 적중 횟수와 반드시 동일하지는 않습니다. 예를 들어 문서에는 암호와 SSN(사회 보장 번호)이 모두 포함됩니다. 이 예제에서는 두 번 계산됩니다. 상위 100개 보기를 선택하여 이러한 SIT 개수의 위치를 더 자세히 파악하여 겹치는지 여부를 확인하는 것이 좋습니다.
    • 상위 키워드: 쿼리 키워드로, 쿼리와 일치하는 검색 적중이 가장 많이 발생했습니다.
    • 상위 항목 유형: 쿼리와 일치하는 검색 적중 항목 내에서 가장 빈번한 항목 유형입니다. 이 수는 Exchange 콘텐츠의 경우 itemClass 및 SharePoint 콘텐츠의 ContentType 에 따라 결정됩니다.
    • 인덱싱 상태: 인덱싱되지 않은(부분 인덱싱 포함) 및 완전히 인덱싱된 데이터 항목의 분석입니다.
    • 주요 커뮤니케이션 참가자: 전자 메일의 보낸 사람 또는 받는 사람, Microsoft Teams 채팅 및 Exchange 위치의 일정 초대.
    • 상위 위치 유형: 위치 유형별 적중 횟수(사서함 및 사이트)입니다.

뷰 다시 생성을 선택하여 쿼리를 다시 실행하고 최신 결과를 검토합니다. 보고서 다운로드를 선택하여 모든 통계 결과를 단일 .csv 파일로 결합합니다. 추세 영역에 대한 상위 100개 결과를 볼 때 선택한 적중 추세의 상위 100개 결과의 .csv 파일에 대한 보고서 다운로드 를 선택합니다.

통계 및 검색 결과 이해

eDiscovery에서 검색을 실행하는 시기에 따라 검색에 대한 통계에는 다른 결과가 포함될 수 있습니다. 예를 들어 정확히 동일한 조건과 다른 시간에 두 개의 검색을 실행하는 경우 통계 결과가 다를 수 있습니다. 이러한 차이는 다음과 같은 이유로 발생할 수 있습니다.

  • organization 활성 상태: 프로덕션 환경에 활성 사용자가 있으므로 organization 데이터가 지속적으로 이동, 추가, 삭제 및 사용 중지됩니다. 동일한 위치에 대해 실행되는 동일한 검색 조건은 검색이 실행된 시간 사이에 해당 위치의 데이터가 변경되었기 때문에 검색 결과가 다를 수 있습니다.
  • 일시적인 오류: 검색을 실행하거나 검토 집합에 내보내거나 추가할 때 일시적인 처리 오류가 발생할 수 있습니다( 특히 큰 데이터 집합의 경우). 이러한 오류는 종종 시간 제한 처리로 인해 발생하며 검색을 더 작은 날짜 범위로 나누고 데이터를 병렬로 내보내서 완화할 수 있습니다. 항상 검색을 더 구체적인 검색 조건으로 더 작은 크기로 분할하고 선택한 위치로 더 많은 대상을 지정하려고 합니다. 이렇게 하면 오류 발생 가능성을 줄이면 프로세스가 보다 효율적으로 실행됩니다.
  • 위치 액세스: 검색에 포함된 위치가 잘못되었거나, 액세스할 수 없거나, 처리 중에 시간이 초과되는 시나리오가 있습니다. 두 검색 간의 결과를 동일한 조건과 비교할 때 위치가 일치하는지 확인합니다. 예를 들어 1,000개 위치에 대한 검색은 첫 번째 실행에서 실패한 위치가 하나 있고 두 번째 실행에서는 실패한 위치가 없을 수 있습니다. 즉, 첫 번째 실행은 999개 위치만 성공적으로 검색했으며 두 번째 실행은 1,000개의 위치를 검색했습니다. 한 위치의 차이는 두 실행 간의 검색 결과가 다른 이유입니다. 검색, 내보내기 및 추가에 locations.csv보고서를 사용하여 설정된 프로세스를 검토하여 성공한 위치와 실패한 위치에 대한 포괄적인 보고서를 봅니다. 실패한 위치에 대한 검색을 다시 실행합니다.
  • 검색을 실행하는 사용자: 검색 프로세스를 시작하는 사용자에 따라 사용자에게 규정 준수 경계 또는 규정 준수 검색 필터가 적용되어 있거나 적용되지 않을 수 있습니다. 이 필터는 사서함 속성을 기반으로 위치를 필터링하거나 콘텐츠 경로(SharePoint 사이트)를 기반으로 콘텐츠를 필터링합니다. 준수 경계 또는 검색 권한 필터가 적용되는 경우 사용자에 대한 결과가 제한될 수 있습니다. 예를 들어 한 사용자에게는 규정 준수 경계가 적용되지 않지만 두 번째 사용자에게는 이 사용자를 사용자 사서함으로 제한하고 OneDrive 사이트를 특정 지역으로 제한하는 규정 준수 경계가 적용되어 있습니다. 첫 번째 사용자의 검색은 모든 지역에 대한 검색 조건에 대한 모든 사서함 및 OneDrive 일치를 반환하고 두 번째 사용자에 대한 검색은 허용된 지역에 대해서만 사서함 및 OneDrive 사이트에 대한 일치 항목만 반환합니다.

샘플 dashboard

검색의 초기 결과 유형으로 샘플을 선택한 경우 검색 결과가 완료되면 이 dashboard 자동으로 리디렉션됩니다. 샘플 dashboard 열에 대한 검색 결과에는 각 항목에 대한 다음 정보가 포함됩니다.

  • 제목/제목: 샘플에 포함된 항목의 제목 또는 제목입니다.
  • 날짜: 항목을 만들거나 보낸 날짜입니다.
  • 보낸 사람/작성자: 항목의 보낸 사람 또는 작성자입니다.

샘플을 사용하면 개별 항목의 대표 하위 집합과 검색을 위해 반환된 각 항목에 대한 세부 정보를 검사할 수 있습니다. 위치당 샘플 수와 검색에 정의된 샘플 위치 수에 따라 샘플 항목의 샘플 항목 수와 위치 표현이 결정됩니다.

항목의 원본 정보를 보려면 샘플 항목을 선택합니다. 항목에 사용할 수 있는 경우 이 보기는 선택한 항목의 풍부한 보기를 표시하므로 정의된 검색 데이터 원본 및 조건과 관련된 항목의 관련성을 평가할 수 있습니다.

뷰 다시 생성을 선택하여 쿼리를 다시 실행하고 최신 결과를 검토합니다. 보고서 다운로드를 선택하여 모든 샘플 결과를 단일 .csv 파일로 결합합니다. 보기 설정을 선택하여 샘플 보기 생성에 적용된 설정을 봅니다.

검색 결과 구체화

검색에서 반환된 예상 및 통계에 따라 검색되는 데이터 원본과 검색 쿼리를 변경하여 검색을 확장하거나 좁히면 검색을 편집하고 구체화할 수 있습니다. 검색 결과에 사례와 가장 관련된 콘텐츠가 포함되어 있다고 확신할 때까지 검색을 업데이트하고 다시 실행할 수 있습니다.

검색 결과에 만족하면 다음 작업을 수행할 수 있습니다.