Criar uma consulta de pesquisa para um caso na Deteção de Dados Eletrónicos (pré-visualização)
Pode utilizar a pesquisa na Deteção de Dados Eletrónicos (pré-visualização) para procurar conteúdos no local, como e-mail, documentos e conversações de mensagens instantâneas na sua organização que sejam relevantes para um caso. Utilize a pesquisa para localizar conteúdos nestas origens de dados do Microsoft 365 baseadas na cloud:
- Caixas de correio do Exchange Online.
- Sites do SharePoint
- Contas OneDrive
- Microsoft Teams
- Grupos do Microsoft 365
- Viva Engage Grupos
Pode criar e executar diferentes pesquisas associadas ao caso. Pode utilizar condições (como palavras-chave) para criar consultas de pesquisa que devolvem resultados de pesquisa com os dados mais prováveis de serem relevantes para o caso. Você também pode:
- Veja as estatísticas de pesquisa que podem ajudá-lo a refinar uma consulta de pesquisa para restringir os resultados.
- Visualize os resultados da pesquisa para verificar rapidamente se os dados relevantes estão sendo encontrados.
- Revise uma consulta e execute novamente a pesquisa.
Depois de procurar e encontrar dados relevantes para a sua investigação, pode enviar os resultados para um conjunto de revisão para uma investigação mais aprofundada ou exportá-lo para revisão por pessoas fora da equipa de investigação.
Observação
Para organizações que tenham requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE para proteger e ativar os direitos de privacidade das pessoas dentro da União Europeia (UE), também pode gerir investigações em resposta a pedidos de titulares de dados (DSRs) submetidos por uma pessoa na sua organização. A ferramenta de casos de Pesquisa de Dados do Utilizador foi descontinuada e a respetiva funcionalidade foi intercalada com a Deteção de Dados Eletrónicos (pré-visualização). Agora, pode utilizar a pesquisa para encontrar conteúdo para suportar DSRs em todas as localizações suportadas por pesquisas de Deteção de Dados Eletrónicos.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Sugestões de pesquisa
- O fuso horário de todas as pesquisas é Hora Universal Coordenada (UTC). A alteração de fusos horários para a sua organização não é atualmente suportada. As definições de visualização do fuso horário na vista de pesquisa são apenas aplicáveis para valores na coluna Dados e não afetam os carimbos de data/hora nos itens recolhidos.
- As pesquisas de palavras-chave não são sensíveis a maiúsculas e minúsculas. Por exemplo, gato e GATO retornam os mesmos resultados.
- Os operadores boolianos AND, OR, NOT e NEAR devem estar em maiúsculas.
- A utilização de aspas interrompe os cartões universais e quaisquer operações dentro das aspas.
- Um espaço entre duas palavras-chave ou duas
property:value
expressões é o mesmo que utilizar OU. Por exemplo,from:"Sara Davis" subject:reorganization
devolve todas as mensagens enviadas por Sara Davis ou mensagens que contêm a palavra reorganização no assunto da mensagem. No entanto, a utilização de uma combinação de espaços e condicionais OR numa única consulta pode levar a resultados inesperados. Recomendamos que utilize espaços ou OU numa única consulta. - Use uma sintaxe que corresponda ao formato de
property:value
. Os valores não são sensíveis a maiúsculas e minúsculas e não podem ter um espaço a seguir ao operador. Se existir um espaço, o valor pretendido é uma pesquisa em texto completo. Por exemploto: pilarp
, procura "pilarp" como palavra-chave, em vez de mensagens enviadas para pilarp. - Ao pesquisar uma propriedade de destinatário, como To, From, Cc ou Recipients, você pode usar um endereço SMTP, um alias ou um nome de exibição para indicar um destinatário. Por exemplo, pode utilizar pilarp@contoso.com, pilarp ou "Pilar Pinilla".
- Só pode utilizar pesquisas de prefixos; por exemplo, gato* ou conjunto*. Não há suporte para pesquisas de sufixo (*cat), pesquisas de infixo (c*t) e pesquisas de subcadeia de caracteres (*cat*).
- Ao pesquisar uma propriedade, use aspas duplas (" ") se o valor de pesquisa consistir em várias palavras. Por exemplo,
subject:budget Q1
devolve mensagens que contêm orçamento na linha de assunto e que contêm Q1 em qualquer parte da mensagem ou em qualquer uma das propriedades da mensagem. O uso desubject:"budget Q1"
retorna todas as mensagens que contêm orçamento T1 em qualquer lugar na linha de assunto. - Para excluir o conteúdo marcado com determinado valor de propriedade dos resultados de pesquisa, coloque um sinal de subtração (-) antes do nome da propriedade. Por exemplo,
-from:"Sara Davis"
exclui todas as mensagens enviadas por Sara Melo. - Você pode exportar itens com base no tipo de mensagem. Por exemplo, para exportar conversas e chats do Skype no Microsoft Teams, use a sintaxe
kind:im
. Para retornar apenas mensagens de email, você usariakind:email
. Para retornar chats, reuniões e chamadas no Microsoft Teams, usekind:microsoftteams
. - Ao procurar sites, tem de adicionar o à direita
/
ao final do URL ao utilizar apath
propriedade para devolver apenas itens num site especificado. Se não incluir os itens à direita/
, também serão devolvidos itens de um site com um nome de caminho semelhante. Por exemplo, se utilizarpath:sites/HelloWorld
itens de sites com o nomesites/HelloWorld_East
ousites/HelloWorld_West
que também seriam devolvidos. Para devolver itens apenas do site HelloWorld, tem de utilizarpath:sites/HelloWorld/
. - A linguagem/região da consulta tem de ser definida na consulta de pesquisa antes de recolher conteúdo.
- Ao procurar e-mails nas pastas Enviadas , a utilização do endereço SMTP do remetente não é suportada. Os itens na pasta Enviados contêm apenas nomes a apresentar.
Criar uma consulta de pesquisa
Dica
Prefere uma experiência de guia de configuração interativa? Consulte o guia Estruturar uma pesquisa .
Depois de criar um novo caso, será automaticamente direcionado para o separador Pesquisas no caso e estará pronto para criar uma pesquisa para o caso. As pesquisas ajudam-no a encontrar os itens que pretende recolher para o caso.
Selecione Criar uma pesquisa. Se este for um caso novo sem pesquisas anteriores, também pode selecionar Criar uma pesquisa no painel main em Começar a procurar dados relevantes.
Na página Introduzir detalhes para começar , preencha os seguintes campos:
- Nome da pesquisa: atribua um nome à pesquisa (obrigatório). O nome da pesquisa tem de ser exclusivo na sua organização
- Descrição da pesquisa: adicione uma descrição opcional para ajudar outras pessoas a compreender esta pesquisa.
Selecione Criar para criar a nova pesquisa e inicie as suas consultas para encontrar dados relevantes para o caso.
No separador Consulta na pesquisa, adicione origens de dados para a sua pesquisa
Selecione Adicionar origens de dados ou Adicionar origens ao nível do inquilino.
Adicionar origens de dados: selecionar esta opção adiciona origens de dados individuais à sua organização.
Adicionar origens ao nível do inquilino: selecionar esta opção inclui origens na sua organização. Opte por aplicar a todas as origens ou refinar seleções a um subconjunto de origens de dados.
Por exemplo, selecionar Todas as pessoas e grupos e selecionar Tudo para Caixas de Correio adiciona todas as caixas de correio do Exchange do utilizador na sua organização como uma origem de dados. selecionar Todas as pessoas e grupos e selecionar Tudo para Sites adiciona todos os sites do SharePoint e do OneDrive da sua organização como uma origem de dados.
No painel de lista de opções Procurar origens , irá procurar e adicionar origens de dados para a consulta de pesquisa. Pode filtrar para definir o âmbito de origens de dados para o ajudar a escolher um ou mais utilizadores ou origens de grupo para adicionar à pesquisa.
O lado esquerdo do painel apresenta as opções de Filtro para origens. Por predefinição, Todas as origens no inquilino estão selecionadas para incluir todas as origens na sua organização para seleção e adição à pesquisa.
Utilize as seguintes opções no filtro Mostrar para para ajudar a definir o âmbito das origens na secção Procurar :
- Todas as pessoas e grupos (predefinição)
- apenas Pessoas
- apenas Grupos
Se aplicável, selecione Excluir utilizadores inativos para reduzir o âmbito das origens apenas aos utilizadores atualmente ativos.
Depois de filtrar as origens de dados, utilize o controlo de pesquisa e os seletores na secção Procurar para adicionar origens de dados, utilizadores e grupos específicos à consulta de pesquisa. Introduza as localizações específicas de utilizadores, grupos ou organizações que pretende adicionar no campo de pesquisa e selecione Procurar.
Procure pessoas que utilizem os seguintes valores:
- Nome próprio e familiar do nome a apresentar do utilizador (por exemplo, João Silva)
- Apenas nome próprio
- Endereço SMTP do Utilizador
- Alias do usuário
- Exchange GUID
- URL do site do OneDrive do utilizador
Procure grupos com os seguintes valores:
- Endereço SMTP da caixa de correio de grupo
- URL do site de grupo. O URL de um site de canal do Teams resolve o grupo do Teams como uma origem de dados.
Selecione Gerir para atualizar a caixa de correio ou o site associado a origens selecionadas. Caso contrário, selecione Guardar e fechar.
Reveja as suas seleções e confirme os recursos incluídos para cada origem de dados. Selecione Salvar. Acabou de definir o âmbito das origens de dados que as consultas de pesquisa examinam.
Na secção Origens de dados, selecione o menu de reticências de qualquer origem de dados para opções de gestão para a origem de dados.
Para opções de gestão, selecione a partir do seguinte:
- Gerir origem de dados: faça a gestão de origens de dados para o utilizador ou site selecionado.
- Desativar caixas de correio: desative as caixas de correio do utilizador ou site selecionado. Selecione esta opção novamente para ativar a caixa de correio para o utilizador ou site.
- Desativar sites: desative o site para o utilizador ou site selecionado. Selecione esta opção novamente para ativar o site para o utilizador ou site.
- Colaboradores frequentes: selecione caixas de correio e sites associados para os utilizadores que colaboram frequentemente com o utilizador selecionado.
- Gestor: selecione caixas de correio e sites associados do gestor do utilizador.
- Relatórios diretos: selecione caixas de correio e sites associados dos relatórios diretos do utilizador.
- Grupos o utilizador é proprietário: selecione caixas de correio e sites de grupos associados de que o utilizador é proprietário.
- Grupos o utilizador estiver: selecione caixas de correio associadas e sites de grupos dos qual o utilizador é membro.
Para origens de grupo, selecione a partir do seguinte:
- Membros: selecione caixas de correio e sites associados de pessoas que são membros do grupo.
Utilize os controlos da barra de comandos origens de dados para adicionar, atualizar, sincronizar e procurar outras origens de dados para a pesquisa (conforme necessário)
- Procurar e adicionar: selecione o ícone + para adicionar origens de dados.
- Gerir: selecione o ícone de lápis para gerir as origens de dados atribuídas.
- Sincronizar: selecione o ícone de sincronização para sincronizar origens de dados e atualizar as origens de dados com as origens de dados mais recentes na sua organização.
- Pesquisa: selecione o ícone de pesquisa para procurar as origens de dados atualmente incluídas na consulta de pesquisa.
Para definir os parâmetros da consulta de pesquisa, pode escolher entre as seguintes opções no separador Consulta :
Construtor de condições: a opção de construtor de condições na pesquisa fornece uma experiência de pesquisa fácil de utilizar quando cria consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização). Utilize palavras-chave ou condições personalizadas para focar o âmbito das consultas de pesquisa. Além disso, pode utilizar a opção de condição de consulta KQL (Keyword Query Language) na pesquisa que fornece orientações e permite-lhe colar rapidamente consultas longas e complexas diretamente no editor. Também o ajuda a criar consultas de pesquisa do zero, identifica potenciais erros e apresenta sugestões sobre como resolve problemas.
Também pode criar rapidamente consultas KeyQL para a sua pesquisa com Microsoft Security Copilot. Para obter orientações, veja a secção seguinte neste artigo.
Procurar por ficheiro: carregue um ou mais ficheiros para encontrar conteúdo relacionado ou semelhante para um caso específico. Utilize a atividade de auditoria csv para localizar mensagens e ficheiros relacionados para um utilizador específico dentro de um período de tempo específico. Em alternativa, forneça provas de exemplo para encontrar conteúdos semelhantes. Cada ficheiro tem um tamanho de ficheiro máximo de 10 MB e os ficheiros podem ser csv ou txt. As opções de criação de consultas e KQL são desativadas ao procurar por ficheiro.
Selecione Executar consulta. Se quiser guardar os parâmetros de consulta que definiu e executar a consulta mais tarde, selecione Guardar como rascunho.
Criar uma consulta de pesquisa keyQL com Microsoft Copilot (pré-visualização)
A opção de construtor keyQL de Consulta de Linguagem Natural (pré-visualização) na pesquisa permite-lhe utilizar linguagem natural e Microsoft Security Copilot para gerar rapidamente uma instrução keyword query language (KeyQL). Utilize o construtor para construir consultas complexas com funcionalidades adicionais, incluindo AND, OR e agrupamento de condições, tudo ao utilizar pedidos de linguagem natural.
Esta funcionalidade ajuda-o a criar consultas mais facilmente através de pedidos predefinidos para cenários de exemplo e permite-lhe refinar e melhorar pedidos personalizados para consultas de pesquisa mais precisas. Também pode optar por utilizar sugestões de pedidos como ponto de partida para criar e refinar consultas KeyQL para cenários de pesquisa comuns ou personalizados.
Para criar uma consulta de pesquisa com o Copilot, conclua os seguintes passos:
- Depois de selecionar origens de dados para a consulta, selecione Redigir uma consulta com o Copilot.
- No painel de aviso Linguagem natural , escolha uma das seguintes opções:
- Introduza a sua pergunta de consulta de pesquisa. Pode incluir o utilizador, a origem de dados e outros detalhes de conteúdo, conforme aplicável.
- Selecione Ver pedidos para selecionar uma das seguintes sugestões de pedido:
- Localizar todos os e-mails com as palavras orçamento e finanças e ter anexos
- Procurar todas as conversas no mês de janeiro de 2020 que contenham a palavra "ano financeiro"
- Procurar ficheiros do tipo .docx que contenham as palavras confidencial e orçamento
- Reveja o pedido de linguagem natural. Para refinar o pedido com Copilot, selecione Refinar.
- Quando o pedido for finalizado, selecione Gerar KeyQL.
- Reveja a consulta KeyQL no painel de resultados Keyword Query Language (KeyQL ). Se precisar de refinar os resultados da consulta KeyQL, pode atualizar o pedido no painel de aviso Linguagem natural e selecionar Gerar KeyQL novamente. 1. Quando os resultados do KeyQL estiverem finalizados, selecione Copiar KeyQL.
- Cole os resultados do KeyQL no campo de consulta no separador Linguagem de consulta de palavra-chave (KeyQL ). Pode fechar o Draft de uma consulta com o Copilot.
- Selecione Executar consulta. Se quiser guardar os parâmetros de consulta que definiu e executar a consulta mais tarde, selecione Guardar como rascunho.
Executar uma consulta de pesquisa
Depois de criar manualmente uma consulta de pesquisa ou utilizar Security Copilot, está pronto para executar a consulta e gerar resultados de pesquisa.
Para executar uma consulta de pesquisa, conclua os seguintes passos:
Aceda ao portal do Microsoft Purview e inicie sessão com as credenciais de uma conta de utilizador com permissões de Deteção de Dados Eletrónicos atribuídas.
Selecione a solução de Deteção de Dados Eletrónicos card e, em seguida, selecione Casos (pré-visualização) no painel de navegação esquerdo.
Selecione um processo. No separador Pesquisas , selecione uma pesquisa guardada.
Selecione Executar consulta.
Depois de selecionar Executar consulta, verá o painel de lista de opções Formatar resultados da consulta . Escolha a vista que pretende gerar para a consulta e as respetivas definições. Pode escolher a vista Estatísticas ou Exemplo :
Estatísticas: esta vista gera um resumo das estimativas de dados recolhidas dispostas pelos principais indicadores. Escolha uma ou mais das seguintes opções:
Incluir categorias: refine a sua vista para incluir pessoas, tipos de informações confidenciais, tipos de itens e erros.
Incluir relatório de palavras-chave de consulta: Avaliar palavra-chave relevância para diferentes partes da consulta de pesquisa/
Investigar itens parcialmente indexados: os itens parcialmente indexados normalmente representam cerca de 1% do conteúdo nas origens de dados por contagem. Selecionar esta opção (e apenas esta opção), gera informações de resumo (contagem de itens e localização) sobre itens parcialmente indexados incluídos nas origens de dados selecionadas para a pesquisa. Não são reindexados ou processados itens parcialmente indexados. Para continuar a processar itens parcialmente indexados em origens de dados no âmbito, considere as seguintes opções avançadas de indexação:
Excluir itens parcialmente indexados em localizações sem resultados de pesquisa: escolher esta opção adicional reduz o âmbito dos itens parcialmente indexados (ou da indexação avançada se essa opção estiver selecionada) ao limitar a inclusão de itens parcialmente indexados apenas das origens de dados que incluem itens relevantes para a sua pesquisa. Isto exclui itens parcialmente indexados de origens de dados que não incluem itens relevantes para a sua pesquisa.
Por exemplo, selecionou várias caixas de correio, sites do SharePoint e sites do OneDrive como origens de dados para a sua pesquisa. Quando a pesquisa é executada, apenas algumas das caixas de correio e sites têm itens indexados relevantes para as condições de pesquisa, as restantes caixas de correio e sites não contêm itens indexados nativamente relevantes para as suas condições de pesquisa. Se tiver selecionado esta opção, os itens parcialmente indexados nas caixas de correio e nos sites que contêm itens indexados nativamente relevantes para a pesquisa são incluídos nos resultados das estatísticas de pesquisa. Os itens parcialmente indexados nas caixas de correio e nos sites que não contêm itens indexados nativamente relevantes para a pesquisa são ignorados e não são comunicados nos resultados das estatísticas de pesquisa.
Executar a indexação avançada em itens parcialmente indexados: o âmbito de onde a indexação avançada é executada depende se tiver selecionado a opção Excluir itens parcialmente indexados em localizações sem resultados de pesquisa . O processo de indexação avançado executa uma amostra de estatística de itens parcialmente indexados no âmbito e determina se estes itens correspondem ou não à consulta:
- Selecionado com a opção Excluir itens parcialmente indexados em localizações sem resultados de pesquisa : isto aplica-se apenas a itens parcialmente indexados a origens de dados com itens totalmente indexados que correspondam à consulta de pesquisa. Estes itens são amostrados, indexados e os itens correspondentes à consulta de pesquisa são apresentados nas estatísticas de pesquisa (conforme aplicável).
- Selecionado sem a opção Excluir itens parcialmente indexados em localizações sem resultados de pesquisa : isto aplica-se a todos os itens parcialmente indexados em todas as origens de dados incluídas na pesquisa. Todos os itens são amostrados, indexados e os itens correspondentes à consulta de pesquisa são apresentados nas estatísticas de pesquisa (conforme aplicável).
Exemplo: esta vista gera uma seleção representativa dos resultados completos da pesquisa. Defina os parâmetros para as seguintes opções:
- Selecione o número de itens de exemplo a gerar por localização: escolha 1, 10 ou 100.
- Selecione o número de localizações a partir das quais obter exemplos: selecione10, 100, 1000 ou 10000.
Selecione Executar consulta para executar imediatamente a consulta.
Consoante as opções de vista de consulta que selecionou, será automaticamente direcionado para o separador Estatísticas ou Exemplo . A avaliação da consulta de pesquisa é iniciada e o tempo restante para processar a consulta é calculado. Para obter mais informações sobre a avaliação e otimização dos resultados da pesquisa, consulte Rever e avaliar os resultados da pesquisa.