Saiba mais sobre o fluxo de trabalho de Deteção de Dados Eletrónicos
O fluxo de trabalho de Deteção de Dados Eletrónicos ajuda-o a identificar, investigar e tomar medidas mais rapidamente sobre informações armazenadas eletrónicas (ESI) na sua organização. Identificar e tomar medidas em itens ESI com Deteção de Dados Eletrónicos utiliza o seguinte fluxo de trabalho melhorado:
Passo 1: Escalar do evento de acionador
Os eventos de acionador são atividades que são escaladas na sua organização e iniciam a criação de um novo caso na Deteção de Dados Eletrónicos. Estes eventos podem ser pedidos de parceiros internos ou externos, eventos integrados associados a alertas noutras soluções do Microsoft Purview (por exemplo, casos de Gestão de Riscos Internos) ou qualquer outra atividade que possa beneficiar das ações de pesquisa, investigação e mitigação incluídas na Deteção de Dados Eletrónicos.
Passo 2: Criar e gerir casos
Um caso na Deteção de Dados Eletrónicos contém todas as pesquisas, retenções e conjuntos de revisão relacionados com uma investigação específica. Os casos podem incluir responder a pedidos regulamentares, de investigação e de litígios. Também pode atribuir membros a um caso para controlar quem pode aceder ao caso e ver o conteúdo do caso. A Deteção de Dados Eletrónicos também suporta a integração da criação de novos casos com Gerenciamento de Risco Interno do Microsoft Purview casos.
Passo 3: procurar, avaliar resultados e refinar
Depois de criar um caso, utilize as ferramentas de pesquisa incorporadas na Deteção de Dados Eletrónicos para procurar as localizações dos conteúdos na sua organização. Pode criar e executar diferentes pesquisas associadas ao caso. Utilize condições (como palavras-chave) para criar múltiplas consultas de pesquisa que devolvem resultados de pesquisa com os dados mais prováveis de serem relevantes para o caso. Você também pode:
- Veja as estatísticas de pesquisa que podem ajudá-lo a refinar uma consulta de pesquisa para restringir os resultados.
- Visualize os resultados da pesquisa para verificar rapidamente se os dados relevantes estão sendo encontrados.
- Reveja as consultas e volte a executar pesquisas.
Passo 4a: ações dos resultados da pesquisa
- Exportar resultados da pesquisa: depois de uma pesquisa num caso de Deteção de Dados Eletrónicos ser concluída com êxito, pode exportar os resultados da pesquisa. Ao exportar os resultados da pesquisa, os itens da caixa de correio são transferidos em ficheiros PST ou como mensagens individuais. Quando exporta conteúdo de sites do SharePoint e do OneDrive, são exportadas cópias de documentos nativos do Office e outros documentos.
- Criar conjuntos de revisão: um conjunto de revisão é uma localização de Armazenamento do Azure segura fornecida pela Microsoft na cloud da Microsoft. Quando adiciona dados a um conjunto de revisão, os itens recolhidos são copiados da respetiva localização de conteúdo original para o conjunto de revisão. Os conjuntos de revisão fornecem um conjunto estático e conhecido de conteúdo que pode procurar, filtrar, etiquetar e analisar. Também pode controlar e comunicar que conteúdos são adicionados ao conjunto de revisões.
Passo 4b: Criar suspensões
Para preservar e proteger dados relevantes para uma investigação, pode colocar uma deteção de dados eletrónicos nas origens de dados associadas a um caso. Depois de criar um caso, pode colocar imediatamente uma suspensão nas localizações de conteúdo das pessoas de interesse na sua investigação. Também pode criar suspensões baseadas em consultas, se necessário. As localizações de conteúdo incluem caixas de correio do Exchange, sites do SharePoint, contas do OneDrive e caixas de correio e sites associados ao Microsoft Teams e Grupos do Microsoft 365. Embora a colocação de uma suspensão seja opcional, a criação de uma suspensão preserva o conteúdo que pode ser relevante para o caso durante a investigação.
Quando cria uma suspensão, pode preservar todo o conteúdo em localizações de conteúdo específicas ou pode criar uma suspensão baseada em consultas para preservar apenas o conteúdo que corresponde a uma consulta de suspensão. Além de preservar o conteúdo, outra boa razão para criar suspensões é procurar rapidamente as localizações de conteúdo em espera (em vez de ter de selecionar cada localização para procurar) quando criar e executar pesquisas no passo seguinte. Depois de concluir a investigação, pode libertar qualquer suspensão que tenha criado. Para obter mais informações, veja Gerir suspensões na Deteção de Dados Eletrónicos.
Passo 5: Rever e tomar medidas dos conjuntos de revisão
- Procurar conteúdo: na maioria dos casos, é útil aprofundar o conteúdo num conjunto de revisões e organizá-lo para facilitar uma revisão mais eficiente. A utilização de filtros e consultas num conjunto de revisões ajuda-o a concentrar-se num subconjunto de documentos que cumprem os critérios da sua revisão.
- Executar análise: a Deteção de Dados Eletrónicos fornece uma ferramenta de análise integrada que o ajuda a eliminar ainda mais os dados do conjunto de revisões que determina que não são relevantes para a investigação. Além de reduzir o volume de dados relevantes, a Deteção de Dados Eletrónicos também o ajuda a reduzir os custos de revisão legal, permitindo-lhe organizar conteúdos para tornar o processo de revisão mais fácil e eficiente. Para obter mais informações, veja Analisar dados num conjunto de revisão na Deteção de Dados Eletrónicos.
- Itens de etiqueta: organizar conteúdo num conjunto de revisão é importante para concluir vários fluxos de trabalho no processo de Deteção de Dados Eletrónicos. Muitas vezes, esta organização inclui a identificação de conteúdos relevantes, o abate de conteúdos desnecessários e a identificação de conteúdos que precisam de ser revistos por um especialista ou advogado. Quando os responsáveis pela conformidade, funcionários ou outros usuários revisam o conteúdo em um conjunto de revisão, suas opiniões relacionadas ao conteúdo podem ser capturadas usando marcas. As etiquetas fornecem itens de estrutura e organização incluídos numa investigação. Para obter mais informações, veja Etiquetar documentos num conjunto de revisões na Deteção de Dados Eletrónicos.
- Criar um Relatório de consulta (pré-visualização): gerar e transferir um relatório consolidado em várias consultas para um conjunto de revisão. Este relatório permite-lhe ver rapidamente a contagem total e o volume de itens filtrados numa determinada pesquisa palavra-chave ou várias consultas KeyQL compostas.
- Adicionar itens do conjunto de revisão a outro conjunto de revisões: em alguns casos, poderá ser necessário selecionar documentos de um conjunto de revisão e trabalhar com os mesmos individualmente noutro conjunto de revisão.
- Exportar itens: depois de procurar e encontrar dados relevantes para a sua investigação, pode exportá-lo para fora da sua organização do Microsoft 365 para revisão por pessoas fora da equipa de investigação. Além dos arquivos de dados exportados, o pacote de exportação contém um relatório de exportação, um relatório de resumo e um relatório de erro. Para obter mais informações, veja Exportar documentos de um conjunto de revisões na Deteção de Dados Eletrónicos.
Componentes do fluxo de trabalho
Casos
Um caso contém todas as pesquisas, retenções e conjuntos de revisão relacionados com uma investigação específica. Isto pode incluir responder a pedidos regulamentares, de investigação e de litígios. Também pode atribuir membros a um caso para controlar quem pode aceder ao caso e ver o conteúdo do caso. A Deteção de Dados Eletrónicos também suporta a integração da criação de novos casos com Gerenciamento de Risco Interno do Microsoft Purview casos.
Fontes de dados
No Microsoft 365, os dados são armazenados em três plataformas: Exchange, Teams e SharePoint. Estas plataformas servem de base para organizar e gerir dados em aplicações do Microsoft 365. A maioria das aplicações do Microsoft 365 armazena dados num ou mais dos seguintes contentores:
- Utilizadores: dados associados a utilizadores individuais, como o correio, mensagens do Teams 1:1 e ficheiros do OneDrive.
- Grupos: dados pertencentes à organização ou a um grupo de utilizadores numa organização. Estes são frequentemente referidos como Grupos Unificados ou Equipas.
Na Deteção de Dados Eletrónicos, o conceito de origem de dados simplifica o processo de identificação e gestão de dados em todas as plataformas do Microsoft 365. Os utilizadores da Deteção de Dados Eletrónicos selecionam um utilizador ou grupo que cria uma origem de dados e a Deteção de Dados Eletrónicos identifica e organiza automaticamente os dados relevantes armazenados nas plataformas. A origem de dados recolhe localizações relacionadas com o utilizador ou grupo (caixas de correio, sites do OneDrive, sites do SharePoint) e adiciona as localizações na hierarquia da origem de dados. Os utilizadores da Deteção de Dados Eletrónicos refinam o âmbito ao selecionar ou excluir localizações específicas, conforme necessário.
Normalmente, uma origem de dados de utilizador inclui:
- Caixa de correio do usuário
- Site do OneDrive
Os grupos unificados são classificados em três tipos, cada um abrangendo localizações de dados específicas:
- Teams: inclui armazenamento de caixas de correio do Exchange para chats e e-mails do Teams, bem como todos os sites do SharePoint associados para canais e a equipa
- Yammer: inclui armazenamento de caixas de correio do Exchange para mensagens do Yammer.
- Clássico: inclui apenas sites do SharePoint.
Os utilizadores da Deteção de Dados Eletrónicos também podem utilizar origens de toda a organização para efetuar pesquisas na sua organização. As origens ao nível da organização incluem:
- Todas as pessoas e grupos: inclui todos os utilizadores e todos os grupos na sua organização.
- Todas as pastas públicas: inclui todo o conteúdo em caixas de correio de pastas públicas do Exchange.
É um caso comum em que um conjunto de caixas de correio de utilizador tem de ser pesquisado e a lista é gerida como uma lista de distribuição. A adição de listas de distribuição é suportada e apenas as caixas de correio do Exchange listadas no grupo são pesquisadas.
Pode procurar origens de dados ou localizações de dados específicas com os nomes de utilizador ou grupo, endereços SMTP (Simple Mail Transfer Protocol) e URLs de site do OneDrive ou do SharePoint. Quando uma pesquisa é criada com origens de dados específicas, apenas as localizações especificadas na origem de dados são pesquisadas.
Se for utilizada a origem de toda a organização Todas as pessoas e grupos , a pesquisa abrange todas as caixas de correio do Exchange, o OneDrive e os sites do SharePoint. Se o utilizador da Deteção de Dados Eletrónicos quiser procurar apenas todas as caixas de correio do Exchange, selecione caixas de correio em Todas as pessoas e grupos e desselecione os sites. Se precisar de procurar apenas todos os sites do SharePoint e do OneDrive, selecione sites em Todas as pessoas e grupos e desselecione as caixas de correio.
A sincronização de origens de dados em tempo real ajuda a garantir que está sempre informado sobre as alterações mais recentes nas localizações de dados associadas a utilizadores e grupos. Pode consultar se são adicionadas origens de dados específicas a uma pesquisa, se uma suspensão tiver localizações de dados recentemente aprovisionadas ou se as localizações de dados forem removidas.
Por exemplo, se for criado um canal privado para um grupo do Teams, a funcionalidade de sincronização no painel de origem de dados alerta-o sobre a nova localização, permitindo-lhe incluí-la de forma rápida e fácil nas pesquisas ou retenções. Isto garante que os novos dados não passam despercebidos e são incluídos nas suas investigações. Esta sincronização também ajuda a evitar potenciais perdas de dados de alterações de localização.
Explorar origens relacionadas
Colaboradores frequentes
Ao selecionar pessoas como origem de dados para pesquisas, pode encontrar rapidamente outros utilizadores que colaboram frequentemente com o utilizador selecionado. Os colaboradores frequentes são os 10 principais utilizadores mais relevantes para o utilizador selecionado e pode selecionar as caixas de correio e os sites para estes utilizadores como origens de dados para pesquisas.
Exportações e transferências
Depois de uma pesquisa associada a um caso de Deteção de Dados Eletrónicos ser executada com êxito, pode exportar os resultados da pesquisa. Ao exportar os resultados da pesquisa, os itens da caixa de correio são transferidos em ficheiros PST ou como mensagens individuais. Quando exporta conteúdo de sites do SharePoint e do OneDrive, são exportadas cópias de documentos nativos do Office e outros documentos.
Se os resultados da pesquisa forem adicionados a um conjunto de revisão a partir de um caso, também pode exportar conteúdo de conjunto de revisão para um pacote de transferência. Este pacote é configurável e inclui opções para exportar apenas documentos selecionados, todos os documentos filtrados ou todos os documentos no conjunto de revisão.
Mantém e mantém políticas
Pode utilizar um caso de Deteção de Dados Eletrónicos para criar políticas de suspensão para preservar conteúdos que possam ser relevantes para a investigação com uma suspensão de Deteção de Dados Eletrónicos. Pode colocar uma suspensão nas caixas de correio do Exchange e nas contas do OneDrive das pessoas que está a investigar no caso. Também pode colocar uma suspensão nas caixas de correio e sites associados ao Microsoft Teams, grupos do Microsoft 365 e Grupos de Viva Engage. Quando coloca as localizações de conteúdo em suspensão, o conteúdo é preservado até remover a localização do conteúdo da suspensão ou até eliminar a suspensão.
Se necessário, também pode colocar uma caixa de correio em Suspensão de Litígios para preservar todo o conteúdo da caixa de correio, incluindo itens eliminados e versões originais de itens modificados. Ao colocar uma caixa de correio em Retenção de Litígio, a caixa de correio de arquivo morto do usuário (se habilitada) também é colocada em retenção.
Permissões
Se quiser que as pessoas utilizem qualquer uma das funcionalidades relacionadas com a Deteção de Dados Eletrónicos no portal do Microsoft Purview, tem de lhes atribuir as permissões adequadas. A forma mais fácil de atribuir funções é adicionar à pessoa o grupo de funções adequado na página Grupos de funções no portal do Microsoft Purview.
Dica
Pode ver as suas próprias permissões na página de descrição geral da Deteção de Dados Eletrónicos no portal do Microsoft Purview. Tem de ter, pelo menos, uma função atribuída para que as suas permissões sejam apresentadas.
Processos
A Deteção de Dados Eletrónicos inclui um relatório de Processo que lista todas as atividades que contam para a simultaneidade de casos e limites diários na Deteção de Dados Eletrónicos durante um período de tempo definido. Os processos em eDsicovery (pré-visualização) são atividades associadas a tarefas específicas que suportam casos, pesquisas e conjuntos de revisão. Os processos são acionados por ações do utilizador ao utilizar estes componentes.
Os administradores de Deteção de Dados Eletrónicos e os Gestores de Deteção de Dados Eletrónicos (pré-visualização) podem aceder a este relatório. Os gestores de processos ajudam-no a ver informações que são automaticamente confinadas a casos, pesquisas, conjuntos de revisão e retenções.
Conjuntos de revisão
Um conjunto de revisão é uma localização segura do Armazenamento do Azure fornecida pela Microsoft na cloud da Microsoft. Quando adiciona dados a um conjunto de revisão, os itens recolhidos são copiados da respetiva localização de conteúdo original para o conjunto de revisão. Os conjuntos de revisão fornecem um conjunto estático e conhecido de conteúdo que pode pesquisar, filtrar, etiquetar, analisar e prever a relevância com modelos de codificação preditiva. Também pode controlar e comunicar que conteúdos são adicionados ao conjunto de revisões.
Pesquisas
Utilize a pesquisa para localizar rapidamente conteúdo relevante para um caso. As pesquisas podem incluir e-mails em caixas de correio do Exchange, documentos em sites do SharePoint e localizações do OneDrive e conversações de mensagens instantâneas no Skype for Business. Pode utilizar as ferramentas de pesquisa para procurar e-mail, documentos e conversações de mensagens instantâneas em ferramentas de colaboração, como o Microsoft Teams e Grupos do Microsoft 365.
Pode criar e executar diferentes pesquisas associadas ao caso. Pode utilizar condições (como palavras-chave) para criar consultas de pesquisa que devolvem resultados de pesquisa com os dados mais prováveis de serem relevantes para o caso.
Você também pode:
- Veja estatísticas de pesquisa e itens de exemplo que podem ajudá-lo a refinar uma consulta de pesquisa para restringir os resultados.
- Visualize os resultados da pesquisa para verificar rapidamente se os dados relevantes estão sendo encontrados.
- Revise uma consulta e execute novamente a pesquisa.
- Exporte os resultados da pesquisa ou adicione os resultados da pesquisa a um conjunto de revisões.
Amostra de pesquisa
Os exemplos de uma pesquisa fornecem uma amostra representativa dos itens devolvidos pelos critérios de pesquisa definidos. Ver detalhes sobre itens individuais pode ajudá-lo a determinar se a pesquisa precisa de ser refinada ou se os itens representativos suportam a adição dos resultados da pesquisa a um conjunto de revisões ou a um ficheiro de exportação.
Estatísticas de pesquisa
As estatísticas de uma pesquisa fornecem informações sobre o volume de dados, as localizações de conteúdo que contêm resultados, o número de acessos para a condição de consulta de pesquisa e muito mais. Estas informações podem ajudar a informar se a pesquisa deve ser revista para restringir ou expandir o âmbito da pesquisa antes de avançar nas fases de revisão e análise no fluxo de trabalho de Deteção de Dados Eletrónicos.
Eventos de acionador
Os eventos de acionador são atividades que são escaladas na sua organização e iniciam a criação de um novo caso na Deteção de Dados Eletrónicos. Estes eventos podem ser pedidos de parceiros internos ou externos, eventos integrados associados a alertas noutras soluções do Microsoft Purview (por exemplo, casos de Gestão de Riscos Internos) ou qualquer outra atividade que possa beneficiar das ações de pesquisa, investigação e mitigação incluídas na Deteção de Dados Eletrónicos.