Поделиться через

Использование построителя условий для создания поисковых запросов в eDiscovery (предварительная версия)

  • Статья

Построитель условий обеспечивает простой в использовании интерфейс поиска при создании поисковых запросов в eDiscovery (предварительная версия). Построитель условий в наборах поиска и проверки позволяет создавать простые и сложные ключевое слово запросы, запросы с операторами (AND, OR) или и то, и другое для идентификации элементов в организации.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Использование построителя условий

Чтобы создать запрос и пользовательскую условную фильтрацию для поиска, используйте следующие элементы управления:

  • Ключевые слова. Это общее условие всегда доступно в качестве первого условия в запросе и помогает быстро приступить к выполнению задач поиска. Условие Keywords поддерживает только оператор Equal и может быть исключено из запроса, оставив поле значения пустым. Чтобы добавить дополнительные условия ключевых слов , выберите Добавить условия и Ключевые слова.
  • Добавить условия. Позволяет добавить условие для конкретных источников данных для поиска. Чтобы добавить дополнительные условия в запрос, выберите Добавить условия , чтобы отобразить список доступных условий. При каждом выборе значения условия в запрос добавляется новое условие. Выберите оператор AND/OR соответствующим образом.
  • AND/OR. Эти условные логические операторы позволяют выбрать операцию запроса, которая применяется к конкретному условию. Эти операторы позволяют использовать несколько условий, подключенных к запросу.
  • Выбор оператора. В зависимости от выбранного условия доступны операторы, совместимые с условием. Например, если выбрано условие Дата , доступные операторы : "До", "После" и "Между". Если выбрано условие Размер (в байтах), доступные операторы: Больше, Больше или равно, Меньше, Меньше или равно, Между и Равно.
  • Значение. В зависимости от выбранного условия значения, совместимые с условием, доступны в области сведений о значении или можно добавить встроенные значения. В зависимости от типа условия, связанного со значением, отображаются параметры для определения, фильтрации или поиска значений, связанных с выбранным условием. Например, если в качестве условия выбрать Отправитель , можно найти и добавить определенных пользователей в организации или внешних пользователей. Если в качестве условия выбрано значение Размер (в байтах), вы увидите параметр для ввода числа для размера в качестве значения. Если значение пустое, граница поля значения отображается красным цветом, чтобы уведомить вас о необходимости значения.
  • Удалить условие фильтра. Чтобы удалить отдельное условие, щелкните значок удаления справа от каждой строки фильтра.
  • Сохранить как черновик. Чтобы сохранить текущий набор условий в виде черновика, выберите Сохранить как черновик в раскрывающемся списке запроса.
  • Отменить. Чтобы отменить все изменения, внесенные в поиск, включая условия и источник данных, выберите Отменить в раскрывающемся списке Сохранить как черновик .

Рекомендации по использованию условий

При использовании условий поиска необходимо учитывать следующее:

  • Условие логически подключается к запросу ключевое слово (указанному в поле ключевое слово) операторами AND и OR. Это означает, что элементы попадают в результаты поиска, если соответствуют как запросу по ключевому слову, так и условию.
  • При добавлении двух или более уникальных условий в поисковый запрос (условий, указывающих различные свойства), эти условия логически связываются операторами AND и OR . Это означает, что возвращаются только те элементы, которые удовлетворяют всем условиям (в дополнение к любым запросам по ключевому слову).
  • При добавлении более одного условия для одного свойства эти условия логически соединяются с помощью оператора OR. Это означает, что возвращаются элементы, которые удовлетворяют запросу по ключевому слову и любому одному условию. Таким образом, группы одинаковых условий соединяются друг с другом оператором OR, а группы уникальных условий затем соединяются оператором AND.
  • При добавлении нескольких значений (разделенных запятыми или точками с запятой) к одному условию эти значения соединяются оператором OR. Это означает, что элементы возвращаются, если они содержат любое из значений, указанных для свойства в условии.
  • Любое условие, использующее оператор с логикой Contains и Equals, возвращает аналогичные результаты поиска для простых строковых запросов. Простой поиск строк — это строка в условии, не включающая подстановочный знак). Например, условие, использующее значение Equals any of, возвращает те же элементы, что и условие, в котором используется параметр Contains any of .
  • Поисковый запрос, созданный с помощью поля ключевых слов и условий, отображается на странице Поиск в области сведений для выбранного поиска. В запросе все, что справа от нотации (c:c) указывает на условия, которые добавляются в запрос. (c:c) не должен использоваться в запросах, введенных вручную, и не равен И или ИЛИ.
  • Условия добавляют свойства только в поисковый запрос; они не добавляют операторы. Поэтому запрос, отображаемый в области сведений, не отображает операторы справа от (c:c) нотации. Язык KQL добавляет логические операторы (в соответствии с ранее разъясненными правилами) при выполнении запроса.
  • Для повторного изменения порядка условий можно использовать элемент управления перетаскиванием. Выберите элемент управления для условия и переместите его вверх или вниз.
  • Некоторые свойства условия позволяют вводить несколько значений (разделенных точками с запятой). Каждое значение логически соединено оператором OR и приводит к запросу (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). На следующем рисунке показан пример условия с несколькими значениями.

Поиск и выбор условий

При выборе пункта Добавить условия в построителе условий отображается всплывающее меню Выбор условий для добавления , которое поможет вам уточнить поисковый запрос с конкретными условиями. Используйте параметры в следующих разделах, чтобы помочь вам выбрать подходящие условия:

Фильтрация условий по областям

Быстро отфильтруйте представление условия для почтовых ящиков и свойств сайта, чтобы найти конкретное условие для поискового запроса. Фильтрация доступных условий в следующих глобальных группах:

  • Все: отображаются все условия и группы условий.
  • Общие. Фильтрует и отображает только условия, применимые как к почтовым ящикам, так и к сайтам.
  • Почтовые ящики Exchange: фильтрует и отображает только условия, применимые к почтовым ящикам.
  • Сайты SharePoint и OneDrive. Фильтрует и отображает только условия, применимые к сайтам SharePoint и OneDrive.

Средство выбора условий

Чтобы быстро найти конкретное условие, используйте поле Сообщите нам, что вы ищете, чтобы ввести имя условия. Результаты автоматически определяются фильтром для глобальных групп. Например, чтобы найти любое условие с именем Type (или условие, содержащее тип термина в имени условия), выберите Все в качестве глобального фильтра, а затем введите тип в поле Сообщите нам, что вы ищете . Представление условия возвращает все условия во всех группах условий, содержащих тип термина. Выберите применимое условие для добавления в поисковый запрос.

Пример средства выбора условий.

Пример сценария

Администратору обнаружения электронных данных необходимо создать запрос для поиска сообщений электронной почты, отправленных от User1 до User4, которые были отправлены в период с 15 сентября 2024 г. по 15 октября 2024 г., который содержит ключевые слова соответствия требованиям и аудиту. В этом примере администратор создает следующий запрос с помощью нового построителя запросов:

  1. Для первого фильтра администратор использует условие "Ключевые слова", оператор "Равно" и "Соответствие, аудит" в качестве значения ключевое слово.
  2. Затем администратор выбирает Добавить условия, выберите Отправитель, затем оператор Содержит любой из , а затем выберите User1 из списка пользователей, доступных в области Сведения о значении . Сюда могут входить внешние пользователи.
  3. Затем администратор выбирает Добавить условия, выбирает фильтр К , затем выбирает оператор Содержит любой из , а затем выбирает User4 в списке пользователей, доступных в области Сведения о значении . Сюда могут входить внешние пользователи.
  4. Чтобы определить диапазон дат, администратор выбирает добавить условия, выбирает дату, затем оператор Between , а затем выбирает начальную и конечную даты для значения.
  5. Наконец, администратор выбирает Выполнить запрос , чтобы вернуть применимые результаты.

Пример построителя условий.

Использование условий поиска

Вы можете добавить условия в поисковый запрос, чтобы сузить поиск и вернуть более точный набор результатов. Каждое условие добавляет предложение к поисковому KQL-запросу, которое создается и запускается в начале поиска.

Специальные символы

Некоторые специальные символы не включаются в поисковый индекс и, следовательно, недоступны для поиска. Сюда также входят специальные символы, представляющие операторы поиска в поисковом запросе. Ниже приведен список специальных символов, которые либо заменяются пустым пробелом в фактическом поисковом запросе, либо вызывают ошибку поиска.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Условия для общих свойств

Создайте условие с помощью общих свойств при поиске в почтовых ящиках и на сайтах. В следующей таблице перечислены доступные свойства, которые следует использовать при добавлении условия.

Условие Описание
Тип содержимого Применяется к элементам Exchange и SharePoint, он относится к типу или категории содержимого.

Например, ContentKind:SharePointDocument, ContentKind:Copilot и т. д.
Приложение источника содержимого Определяет приложение или службу, в которых возникло содержимое.

Например, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint и т. д.
Date Для электронной почты — дата создания или импорта сообщения из PST-файла. Для документов — дата последнего изменения документа.

Если вы ищете сообщения электронной почты за определенный период времени, следует использовать условия сообщения Получено и Отправлено , если вы не уверены, были ли импортированы сообщения электронной почты, а не изначально созданные в Exchange.
Идентификатор Для электронной почты — идентификатор определенного сообщения. Идентификаторы сообщений включаются в запись аудита, оповещения защиты от потери данных (DLP) или метаданные набора проверок и позволяют создать конкретный поиск для отдельного сообщения.

Для сообщений Microsoft Teams — идентификатор чата или реакции. ChatThreadID включается в запись аудита, оповещения защиты от потери данных (DLP) или метаданные набора проверок и позволяет создать конкретный поиск для отдельного чата или реакции.
Отправитель или автор Для электронной почты: отправитель сообщения. Для документов: пользователь, указанный в поле автора в документах Office. Можно ввести несколько имен, разделенных запятой. Два или более значений, логически соединенных с помощью оператора OR.
(См. раздел Расширение получателей)
Размер (в байтах) Для электронной почты и документов: размер элемента (в байтах).
Тема или заголовок Для электронной почты: текст в строке темы сообщения. Для документов: заголовок документа. Свойство Title — это метаданные, указанные в документах Microsoft Office. Можно ввести имена нескольких тем или заголовков, разделенных запятыми. Два или более значений, логически соединенных с помощью оператора OR.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. Если добавить кавычки к значению, к значению условия добавляются две пары двойных кавычек, и поисковый запрос вернет ошибку.
Метка хранения Для электронной почты и документов к сообщениям и документам применяются метки хранения. Метки хранения можно использовать для объявления записей и управления жизненным циклом данных содержимого путем применения правил хранения и удаления, заданных меткой. Дополнительные сведения о метках хранения см. в статье Сведения о политиках хранения и метках хранения.
Тип конфиденциальной информации (SIT) Как для электронной почты, так и для документов типы конфиденциальной информации, включенные в сообщения и документы. SiT — это классификаторы на основе шаблонов, и они обнаруживают конфиденциальную информацию, такую как социальное обеспечение, кредитные карта или номера банковских счетов, для идентификации конфиденциальных элементов. Дополнительные сведения о типах конфиденциальной информации см. в разделе Сведения о типах конфиденциальной информации.
Метка конфиденциальности Как для электронной почты, так и для документов к сообщениям и документам применяются метки конфиденциальности. Метки конфиденциальности позволяют классифицировать и защищать данные организации, обеспечивая при этом, чтобы производительность пользователей и их способность к совместной работе не препятствовали. Дополнительные сведения о метках конфиденциальности см. в статье Сведения о метках конфиденциальности.

Условия для свойств почты

Создайте условие с помощью свойств почты при поиске в почтовых ящиках или общедоступных папках в Exchange Online. В следующей таблице перечислены свойства электронной почты, которые можно использовать для условия. Эти свойства являются подмножеством свойств электронной почты, которые были описаны ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Тип сообщения Тип сообщений для поиска. Это свойство совпадает со свойством Kind электронного сообщения. Возможные значения:
  • contacts
  • docs
  • email
  • externaldata
  • fax
  • im
  • journals
  • meetings
  • microsoftteams
  • notes
  • posts
  • rssfeeds
  • tasks
  • voicemail
Участники Все поля людей в сообщении электронной почты. Эти поля: "От", "Кому", "Копия" и "Ск". (См. раздел Расширение получателей)
ПОЛУЧЕНО Дата получения сообщения адресатом. Это свойство совпадает со свойством Received электронного сообщения.
Recipients Все поля получателя в сообщении электронной почты. Эти поля: Кому, Копия и Ск. (См. раздел Расширение получателей)
Sender Отправитель сообщения электронной почты.
Sent Дата отправки сообщения отправителем. Это свойство совпадает со свойством Sent электронного сообщения.
Subject Текст в строке темы сообщения электронной почты.

Примечание. Не добавляйте двойные кавычки к значениям этого условия, так как кавычки добавляются автоматически при использовании этого условия поиска. Если добавить кавычки к значению, к значению условия добавляются две пары двойных кавычек, и поисковый запрос вернет ошибку.
To Получатель сообщения электронной почты в поле Кому.
Статья Сводка main темы или темы, обсуждаемой в потоке электронной почты или беседе.
Тип Свойство класса сообщений для элемента электронной почты. Это то же свойство, что и свойство электронной почты ItemClass. Это также условие с несколькими значениями. Поэтому, чтобы выбрать несколько классов сообщений, удерживайте клавишу CTRL , а затем выберите в раскрывающемся списке два или более классов сообщений, которые нужно добавить в условие. Каждый класс сообщений, выбираемый в списке, логически соединен оператором OR в соответствующем поисковом запросе.

Список классов сообщений (и их соответствующий идентификатор класса), которые используются Exchange и которые можно выбрать в списке Классы сообщений , см. в разделе Типы элементов и Классы сообщений.

Условия для свойств документов

Создайте условие с помощью свойств документа при поиске документов на сайтах SharePoint и OneDrive. В следующей таблице перечислены свойства документа, которые можно использовать для условия. Эти свойства являются подмножеством свойств сайта, описанных ранее. Эти описания повторяются для вашего удобства.

Условие Описание
Автор Поле автора в документах Microsoft Office, которое сохраняется при копировании документа. Например, если пользователь создает документ и отправляет его по электронной почте другому пользователю, который затем отправляет его в SharePoint, в документе по-прежнему будет сохранен исходный автор.
Создано Дата создания документа.
Тип файла Расширение файла; например, docx, one, pptx или xlsx. Это свойство совпадает со свойством FileExtension сайта.

Заметка: При включении условия типа файла с помощью оператора Equals или Equals any of в поисковом запросе вы не сможете использовать поиск префиксов (включив подстановочный знак ( * ) в конце типа файла) для возврата всех версий типа файла. В этом случае подстановочный знак игнорируется. Например, если включить условие Equals any of doc*, будут возвращены только файлы с расширением .doc . Файлы с расширением .docx не возвращаются. Чтобы вернуть все версии типа файла, используется пара "свойство:значение" в запросе ключевое слово, например filetype:doc*.
Дата последнего изменения Дата последнего изменения документа.
Path URL-адрес или расположение файла или папки на сайте SharePoint.
Название Заголовок документа. Свойство Title — это метаданные, указанные в документах Office. Он отличается от имени файла документа.

Операторы, используемые с условиями

При добавлении условия вы можете выбрать оператор, относящийся к типу свойства для этого условия. В следующей таблице описаны операторы, используемые с условиями, и перечислены эквиваленты, используемые в поисковых запросах.

Оператор Эквивалент запроса Описание
После property>date Используется с условиями даты. Возвращает элементы, отправленные, полученные или измененные после указанной даты.
До property<date Используется с условиями даты. Возвращает элементы, отправленные, полученные или измененные до указанной даты.
Между date..date Используется с условиями даты и размера. При использовании с условием даты возвращает элементы, отправленные, полученные или измененные в указанный временной период. При использовании с условием размера возвращает элементы, размер которых находится в заданном диапазоне.
Contains any of (property:value) OR (property:value) Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые содержат любую часть одного или нескольких указанных строковых значений.
Doesn't contain any of -property:value

NOT property:value

 Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые не содержат ни одной части указанного строкового значения.
Doesn't equal any of -property=value

NOT property=value

 Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые не содержат определенную строку.
Равно size=value Возвращает элементы, равные указанному размеру. 1
Equals any of (property=value) OR (property=value) Используется с условиями для свойств, определяющих строковые значения. Возвращает элементы, которые совпадают с одним или несколькими заданными строковыми значениями.
Больше size>value Возвращает элементы, в которых указанное свойство больше указанного значения. 1
Greater or equal size>=value Возвращает элементы, в которых указанное свойство больше или равно указанному значению. 1
Менее size<value Возвращает элементы, которые больше или равны определенному значению. 1
Less or equal size<=value Возвращает элементы, которые больше или равны определенному значению. 1
Not equal size<>value Возвращает элементы, не равные указанному размеру. 1

Примечание.

1 Этот оператор доступен только для условий, использующих свойство Size.