Описание обнаружения электронных данных

  • 8 мин

Обнаружение электронных данных — это процесс определения и предоставления электронной информации, которая может использоваться в качестве доказательств в судебных разбирательствах.

eDiscovery (обнаружение электронных данных) — это одно из решений, доступных на портале Microsoft Purview в наборе решений «Риск и соответствие требованиям».

На портале Microsoft Purview представлен единый пользовательский интерфейс для eDiscovery. Если вы ранее работали с обнаружением электронных данных через Портал соответствия требованиям Microsoft Purview, основное различие заключается в том, что вы больше не будете испытывать другой пользовательский интерфейс для обнаружения электронных данных (стандартный) и обнаружения электронных данных (Premium). Вместо этого у вас есть один согласованный пользовательский интерфейс и в зависимости от лицензий и подписок для вашей организации, вы можете дополнительно управлять случаями и анализировать содержимое с помощью функций обнаружения электронных данных уровня "Премиум".

Чтобы получить доступ к любому из средств, связанных с обнаружением электронных данных, пользователю необходимо назначить соответствующие разрешения.

Внимание

Доступ к обнаружению электронных данных можно получить через Портал соответствия требованиям Microsoft Purview, но к концу 2024 года Портал соответствия требованиям Microsoft Purview планируется выйти на пенсию. Если иное не указано, сведения в этом уроке относятся к функциям обнаружения электронных данных, доступным на портале Microsoft Purview.

Вы можете использовать Microsoft Purview eDiscovery для идентификации, просмотра и управления содержимым в службах Microsoft 365 при проведении исследований. Поддерживаемые службы Microsoft 365:

  • Exchange Online
  • Microsoft Teams
  • Группы Microsoft 365
  • OneDrive
  • SharePoint
  • Viva Engage

Рабочий процесс eDiscovery

Рабочий процесс eDiscovery помогает быстрее выявлять, исследовать угрозы и предпринимать действия в отношении электронной хранимой информации (ESI) в вашей организации. Для определения и принятия мер в отношении элементов ESI с помощью eDiscovery (предварительная версия) используется следующий рабочий процесс:

Схема рабочего процесса обнаружения электронных данных.

Шаг 1. Эскалация от события триггера. События триггера — это действия, которые активируются в организации и запрашивают создание нового случая в центре обнаружения электронных данных (предварительная версия).

Шаг 2. Создание случая и управление им: случай в обнаружении электронных данных (предварительная версия) содержит все поисковые запросы, удержания и наборы проверки, связанные с конкретным исследованием.

Шаг 3. Поиск, оценка результатов и уточнение: после создания случая используйте встроенные средства поиска в центре обнаружения электронных данных (предварительная версия) для поиска расположений контента в организации.

Шаг 4a. Действия включают:

  • Экспорт результатов поиска
  • Создание набора для проверки из результатов поиска: набор для проверки расположен в Microsoft cloud — безопасном месте службы хранилища Azure, предоставленном корпорацией Майкрософт. Когда вы добавляете данные в набор для проверки, собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы для проверки предоставляют возможность получить статический известный набор содержимого, в котором можно проводить поиск, фильтровать, помечать тегами и анализировать.
  • Создание удержаний. Вы можете создавать удержания, чтоб сохранить содержимое, которое может иметь отношение к случаю обнаружения электронных данных.

Шаг 5. Анализ и действия на основе наборов для проверки: Существует множество различных действий, которые можно предпринять. Примеры действий:

  • Выполнение аналитики. eDiscovery предоставляет интегрированный инструмент аналитики, который помогает дополнительно отбирать данные из набора проверки, которые, по вашему мнению, не относится к расследованию.
  • Элементы тегов. Когда эксперты, юристы или другие пользователи просматривают содержимое набора для проверки, их мнение по поводу содержимого может быть зафиксировано с помощью тегов.
  • Элементы экспорта. После поиска и нахождения данных, имеющих отношение к вашему исследованию, вы можете экспортировать их из своей организационной структуры Microsoft 365 для просмотра лицами, не входящими в группу по исследованию.

Функции и возможности обнаружения электронных данных

Следующий список — это небольшое подмножество возможностей, доступных с помощью обнаружения электронных данных. Полный список приведен в разделе функций и возможностей в статье «Подробнее об eDiscovery (предварительная версия)», ссылка на которую приведена в разделе «Краткая сводка и ресурсы» этого модуля.

  • Поиск контента: поиск содержимого, хранящегося в почтовых ящиках Exchange, учетных записях OneDrive, сайтах SharePoint, Microsoft Teams, Группы Microsoft 365 и Viva Engage Teams.
  • Экспорт результатов поиска: экспорт результатов поиска на локальный компьютер в организации. При экспорте результатов поиска элементы копируются из исходного расположения содержимого и упаковываются. Затем эти элементы можно скачать в пакете экспорта на локальный компьютер.
  • Поместите расположения контента на удержание: сохраните содержимое, соответствующее расследованию, поместив удержание в расположениях контента в случае. Удержание позволяет защитить электронную хранимую информацию от непреднамеренного (или преднамеренного) удаления во время расследования.
  • Наборы проверки (функция "Премиум") — набор проверки — это безопасное, предоставленное корпорацией Майкрософт служба хранилища Azure расположение в облаке Майкрософт. Когда вы добавляете данные в набор для проверки, собранные элементы копируются из исходного расположения содержимого в набор для проверки. Наборы проверки предоставляют статический известный набор содержимого, который можно искать, фильтровать, тег, анализировать и прогнозировать релевантность с помощью прогнозных моделей программирования.
  • Оптическое распознавание символов (OCR) (функция "Премиум") — когда содержимое добавляется в набор проверки, функция OCR извлекает текст из изображений и включает текст изображения с содержимым, добавленным в набор проверки. Это позволяет искать текст изображения при запросе содержимого в наборе проверки.
  • Потоки бесед (функция "Премиум") — когда сообщения чата из Teams и Viva Engage добавляются в набор проверки, вы можете собрать весь поток беседы. Это позволяет просматривать элементы чата в контексте обратного и вперед диалога.

Интеграция с Microsoft Security Copilot

Microsoft Purview eDiscovery поддерживает интеграцию с Microsoft Security Copilot посредством внедренного интерфейса. Пользователи, чьи организации подключены к Copilot, разрешили Copilot получать доступ к данным из служб Microsoft 365 и имеют соответствующие разрешения ролей, могут воспользоваться интеграцией Copilot с помощью следующих поддерживаемых возможностей:

  • Получение контекстной сводки свидетельств, собранных в наборах проверки eDiscovery (предварительная версия).
  • Преобразование запросов на естественном языке на язык запросов по ключевым словам (keyQL).

Получение контекстной сводки доказательств, собранных в наборах проверки обнаружения электронных данных (предварительная версия)

Администраторы или менеджеры по обнаружению электронных данных тратят значительное время на проверку доказательств, собранных в наборах проверки. Вы можете использовать Безопасность Copilot в Microsoft Purview для предоставления контекстной сводки по большинству элементов в наборе проверки.

Сводка представлена в контексте текста, включенного в выбранный элемент. Эта сводка позволяет сэкономить время для рецензентов, быстро определяя полезные сведения при добавлении тегов или экспорте элементов.

Безопасность Copilot суммирует весь элемент, включая документы, расшифровки собраний или вложения. Вы также можете задать ответы по контекстным вопросам о сводке.

Снимок экрана контекста, созданного Copilot для элемента в наборе проверки Microsoft Purview eDiscovery (Premium).

Естественный язык к запросам KeyQL

Интеграция Copilot в eDiscovery позволяет диспетчерам обнаружения электронных данных использовать запросы естественного языка для создания запросов keyQL. С помощью созданного запроса его можно сохранить или запустить запрос. Copilot также предоставляет предложения запроса, которые можно создать в запросе.

Снимок экрана, показывающий пользовательский интерфейс для разработки запроса с помощью Copilot с использованием естественного языка. Также показано, как использовать доступные запросы для создания запроса.