Оценка и уточнение результатов поиска в обнаружении электронных данных

Оценка и уточнение результатов поиска является одним из наиболее важных шагов в работе по расследованию обнаружения электронных данных. Настраиваемый поисковый запрос и возвращаемые результаты помогают определить, обнаружены ли элементы и сведения, применимые к расследованию, или необходимо ли изменить поиск, чтобы попытаться обнаружить дополнительные соответствующие элементы. Этот начальный поиск элементов и первоначальный просмотр сведений помогает определить, какие действия требуются после завершения поиска параметров.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Оценка результатов поиска

После создания поиска и его запуска следующим шагом является просмотр статистики поиска, чтобы проверить, найдено ли соответствующее содержимое и его расположения с наибольшим успехом. Вы также можете просмотреть пример результатов поиска, чтобы определить, находится ли содержимое в область вашего исследования.

Панель мониторинга статистики

Если вы выбрали Статистику в качестве начального типа результата поиска, вы автоматически перенаправляетесь на эту панель мониторинга по завершении поиска. Если вы уже знакомы с предыдущими версиями обнаружения электронных данных, сведения на вкладке Статистика похожи на оценки сбора. Результаты поиска на панели мониторинга Статистики включены в следующие разделы:

• Сводка. В этом разделе показано количество поисковых обращений, расположения, источники данных и общий размер файла частично индексированных элементов.
  • Поиск попаданий. Отображает общее количество попаданий в поиск и объем всех элементов, соответствующих условиям запроса из мест поиска.
  • Расположения. Отображает долю расположений с попаданиями из всех мест поиска. Числитель показывает расположения с хитами, а знаменатель — количество мест поиска. Расположения с ошибками отображаются красным цветом. Чтобы просмотреть полные сведения обо всех расположениях и связанных с ними попаданиях и ошибках, выберите Скачать отчет , чтобы скачать полный отчет .csv.
  • Источники данных. Отображает долю источников данных с попаданиями из всех искомых источников данных. Числитель отображает источники данных с попаданиями, а знаменатель — количество источников данных, включенных в поиск. Этот источник данных согласуется с источником данных в потоке разработки поиска и должен соответствовать количеству людей или групп, включенных в поиск. Источник данных на уровне клиента для всех пользователей и всех групп считается одним источником данных.
  • Частично индексированные элементы или "Расширенные индексированные элементы попадают": отображает количество и объем частично и неиндексированных элементов, возвращенных в ходе поиска. В этом карта отображаются сведения о частично индексированных элементах, если вы решили включить частично или неиндексированные элементы в конфигурацию поиска. Если вы решили включить частично и неиндексированные элементы и включили расширенные параметры индексирования, в этом карта отображаются дополнительные хиты, полученные от расширенных индексированных элементов. Расширенное индексированное число попаданий происходит из статистической выборки по частично индексируемым элементам, фактические попадания могут быть больше и должны быть подтверждены с помощью добавления в набор проверки и экспорта результатов поиска.
• Тенденции попадания в поиск. В этом разделе отображаются следующие карточки результатов поиска. Диаграммы являются интерактивными, наведите указатель мыши на отображение имен разделов, процентных значений и номеров элементов. Выберите Просмотреть первые 100 , чтобы получить дополнительные сведения о элементах, включенных в каждую тенденцию, и скачать результаты в файл .csv:
  • Основные источники данных. Отображает пять основных источников данных, которые составляют наибольшее число попаданий, соответствующих запросу. Имена этих источников данных (имена пользователей, групп или расположений на уровне организации) указываются с числом попаданий. Эти источники данных должны соответствовать тому, что вы выбрали в рабочем процессе источников данных при создании поискового запроса.
  • Основные типы конфиденциальной информации (SIT). Отображает пять основных типов конфиденциальной информации (SIT) в файлах SharePoint, которые чаще всего включаются в поисковые запросы. Добавление каждого счетчика SIT не обязательно равно общему количеству попаданий, так как один элемент или документ может содержать более одного типа SIT. Например, документ содержит пароль и номер социального страхования (SSN). В этом примере он учитывается дважды. Мы рекомендуем выбрать Просмотреть первые 100 , чтобы получить более глубокое представление о расположении этих счетчиков SIT, чтобы проверить, перекрываются ли они.
  • Основные ключевые слова: ключевые слова запроса, которые привели к наибольшему совпадению с запросом.
  • Основные типы элементов: наиболее частые типы элементов в поисках, соответствующих вашему запросу. Это число определяется itemClass для содержимого Exchange и ContentType для содержимого SharePoint.
  • Состояние индексирования: разбивка неиндексированных (включая частично индексированные) и полностью индексированных элементов данных.
  • Основные участники общения: отправители или получатели сообщений электронной почты, чатов Microsoft Teams и приглашений в календарь в расположениях Exchange.
  • Тип верхнего расположения: количество попаданий по типу расположения (почтовый ящик и сайт).

Выберите Повторное представление , чтобы повторно выполнить запрос и просмотреть последние результаты. Выберите Скачать отчет , чтобы объединить все результаты статистики в один файл .csv. При просмотре первых 100 результатов для любой области тренда выберите Скачать отчет для .csv файла 100 лучших результатов выбранной тенденции попадания.

Общие сведения о статистике и результатах поиска

В зависимости от того, когда выполняется поиск в eDiscovery, статистика для поиска может содержать разные результаты. Например, если выполнить два поиска с одинаковыми условиями, но в разное время, скорее всего, будут разные статистические результаты. Эти различия могут быть вызваны следующими причинами:

• Ваша организация активна. Так как у вас есть активные пользователи в рабочей среде, данные в организации постоянно перемещаются, добавляются, удаляются и удаляются из эксплуатации. Одни и те же условия поиска, выполняемые в одних и тех же расположениях, скорее всего, будут иметь разные результаты поиска, так как данные в этих расположениях изменились с момента выполнения поиска.
• Временные ошибки. При выполнении поиска (экспорте или добавлении в набор проверки) могут возникать временные ошибки обработки, особенно для больших наборов данных. Эти ошибки часто возникают из-за времени ожидания обработки и могут быть устранены путем разбиения поиска на меньшие диапазоны дат и параллельного экспорта данных. Всегда старайтесь разбить поисковые запросы на небольшие размеры с более конкретными условиями поиска и более целевыми с выбранными расположениями. Это помогает более эффективно выполнять процесс с меньшей вероятностью возникновения ошибок.
• Доступ к расположению. Существуют сценарии, в которых расположения, включенные в поиск, являются недопустимыми, недоступными или истекают во время обработки. При сравнении результатов между двумя поисковыми запросами с одинаковыми условиями убедитесь, что расположения, в которых выполнен поиск, совпадают. Например, при поиске в 1000 расположениях может быть одно расположение с ошибкой в первом запуске и без неудачных расположений во втором. Это означает, что первый запуск успешно выполнил поиск только в 999 расположениях, а второй — в 1000 расположениях. Разница в одном расположении заключается в том, что результаты поиска между двумя запусками отличаются. Используйте отчетlocations.csv для поиска, экспорта и добавления в процессы набора для проверки, чтобы просмотреть полный отчет о том, какие расположения были успешными, а какие — сбоем. Повторный запуск выполняет поиск всех неудачных расположений, в которых произошел сбой.
• Пользователь, выполняющий поиск. В зависимости от того, как пользователь начинает процесс поиска, у пользователя может быть применена граница соответствия или фильтр поиска соответствия. Этот фильтр фильтрует расположения по свойствам почтового ящика или фильтрует содержимое по пути к содержимому (сайты SharePoint). Результаты для пользователя могут быть ограничены, если применяется граница соответствия или фильтр разрешений поиска. Например, для одного пользователя не применяется граница соответствия, а для второго пользователя применяется граница соответствия, которая ограничивает этого пользователя почтовыми ящиками пользователей, а сайты OneDrive — определенным регионом. Поиск по первому пользователю возвращает все почтовые ящики, а OneDrive соответствует условиям поиска для всех регионов, а поиск второго пользователя возвращает совпадения только для почтовых ящиков и сайтов OneDrive только для разрешенного региона.

Пример панели мониторинга

Если вы выбрали Пример в качестве исходного типа результата для поиска, вы автоматически перенаправляетесь на эту панель мониторинга по завершении поиска. Результаты поиска для столбцов примеров панели мониторинга содержат следующие сведения для каждого элемента:

• Тема и заголовок: тема или название элементов, включенных в пример.
• Дата: дата создания или отправки элемента.
• Sender/Author: отправитель или автор элемента.

Примеры позволяют проверить репрезентативное подмножество отдельных элементов и сведения для каждого элемента, возвращенного для поиска. Количество выборок для каждого расположения и количество расположений выборок, определенных в поиске, определяют количество образцов элементов и представление расположения в образце элементов.

Выберите пример элемента, чтобы просмотреть сведения об источнике элемента. Если он доступен для элемента, в этом представлении отображается расширенное представление выбранного элемента, чтобы можно было оценить релевантность элемента в том виде, в котором он связан с определенным источником данных поиска и условиями.

Выберите Повторное представление , чтобы повторно выполнить запрос и просмотреть последние результаты. Выберите Скачать отчеты , чтобы объединить все примеры результатов в один .csv файл. Выберите Просмотр параметров , чтобы просмотреть параметры, примененные к образцу создания представления.

Уточнение результатов поиска

На основе оценок и статистики, возвращаемых поиском, можно изменить и уточнить поиск, изменив источники данных, в которых выполняется поиск, и поисковый запрос, чтобы расширить или сузить поиск. Вы можете обновить и повторно запустить поиск, пока не будете уверены, что результаты поиска содержат содержимое, наиболее подходящее для вашего дела.

После того как вы будете удовлетворены результатами поиска, вы можете выполнить следующие действия:

• Добавление результатов поиска в набор для проверки
• Экспорт результатов поиска
• Создание удержания