Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Suche in Untersuchungen zur Datensicherheit (Vorschau) verwenden, um in Ihrem organization nach Microsoft 365-Inhalten wie E-Mails, Dokumenten und Chatunterhaltungen zu suchen, die für einen Sicherheitsvorfall relevant sind. Verwenden Sie die Suche, um Inhalte in diesen cloudbasierten Microsoft 365-Datenquellen zu finden:
| Datenquelle | Durchsuchter Inhaltstyp | Beispiele für riskante Inhalte |
|---|---|---|
| Exchange Online: | E-Mails und Anlagen in Benutzerpostfächern | Anmeldeinformationen oder Geheimnisse, die per E-Mail gesendet werden, vertrauliche Dateien, die extern freigegeben werden. |
| Microsoft Copilot | KI-Eingabeaufforderungen und -antworten | Vertrauliche Daten in Copilot- oder KI-Eingabeaufforderungen. |
| Microsoft Teams | Chatnachrichten (1:1 und Gruppenchats) und Kanalbeiträge | Geheimnisse, die in Chats enthalten sind, vertrauliche Informationen in Teams-Unterhaltungen. |
| Microsoft OneDrive-App | Benutzerdateien | Benutzerdateien mit sicheren Zugriffsschlüsseln, Exportieren von Datenbanken und vieles mehr. |
| SharePoint | Dokumente und Dateien auf Websites | Dokumente, die Kennwörter, Kundendaten oder vertrauliche Pläne enthalten. |
Sie können verschiedene Suchvorgänge erstellen und ausführen, die einer Untersuchung zugeordnet sind. Verwenden Sie Bedingungen wie Schlüsselwörter, Dateitypen, Incidents und mehr, um Suchabfragen zu erstellen, die Suchergebnisse mit den daten zurückgeben, die für die Untersuchung am relevantesten sind. Sie können auch folgende Aktionen ausführen:
- Zeigen Sie Suchstatistiken an, die Ihnen helfen, eine Suchabfrage zu verfeinern, um Ergebnisse einzugrenzen.
- Zeigen Sie eine Vorschau der Suchergebnisse an, um schnell zu überprüfen, ob Sie die relevanten Daten finden.
- Überarbeiten einer Abfrage, und die Suche erneut ausführen.
Betrachten Sie die Aktivitäten, die die Untersuchung ausgelöst haben. Beispielsweise gemeldete Kennwortfreigaben oder -leaks, eine verdächtige Datei, die Zusammenarbeit mit einem externen Entwicklungsteam oder eine Warnung über Datenexfiltration oder bestimmte Personen oder Teams, die möglicherweise beteiligt sind. Verwenden Sie diese Informationen, um Ihre anfängliche Suchabfrage zu entwickeln. Wenn ein Administrator beispielsweise gemeldet hat, dass Kennwörter in SharePoint als Nur-Text gespeichert werden könnten, suchen Sie zunächst nach bekannten Kennwortschlüsselwörtern oder Dateinamen in SharePoint und OneDrive oder bestimmten SharePoint-Websites, die von Entwicklungsteams verwaltet werden.
Wenn Sie mit den Ergebnissen einer Suche zufrieden sind und bereit sind, die Ergebnisse zu überprüfen und zu analysieren, fügen Sie sie einem Untersuchungsbereich in der Untersuchung hinzu. Das Hinzufügen von Kopien der ursprünglichen Daten zu einem Untersuchungsbereich erleichtert auch den KI-Analyse - und Überprüfungsprozess, indem Sie erweiterte Kategorisierungs-, Untersuchungs- und Vektorsuchtools bereitstellen.
Zugreifen auf Suchtools
Wählen Sie in den Navigationsoptionen oben auf einer beliebigen Seite innerhalb einer bestimmten Untersuchung Zusammenfassung aus, um auf Suchtools zuzugreifen.
Zu den Suchtools gehören die Datenquellenauswahl, der Abfrage-Generator und die Optionen für die Dateisuche. Sie können Datenquellen und Bedingungen für Suchabfragen jederzeit während der Untersuchung verfeinern und die Ergebnisse einem Untersuchungsbereich hinzufügen.
Datenquellen
In Microsoft 365 werden Daten auf drei Plattformen gespeichert: Exchange, Teams und SharePoint. Diese Plattformen dienen als Backbone für die Organisation und Verwaltung von Daten in Microsoft 365-Anwendungen.
Wichtig
Wenn Sie eine Website status auf Gesperrt und die Website auf NoAccess festlegen, gibt Untersuchungen zur Datensicherheit (Vorschau) keine Suchergebnisse zurück. Weitere Informationen zum Verwalten von Sitesperrstatus finden Sie unter Sperren und Entsperren von Websites. Wenn Sie außerdem ein Dokument im Inhaltsspeicher einschränken, muss der Untersuchungen zur Datensicherheit Ermittler ein Websiteadministrator, Websitebesitzer oder Besitzer oder letzter Modifizierer des eingeschränkten Dokuments sein, um in Untersuchungen zur Datensicherheit (Vorschau) darauf zugreifen zu können. Weitere Informationen zu eingeschränkten Inhalten finden Sie unter Richtlinienreferenz zur Verhinderung von Datenverlust.
Die meisten Microsoft 365-Apps speichern Daten in einem oder mehreren der folgenden Container:
- Benutzer: Daten, die einzelnen Benutzern zugeordnet sind, z. B. deren E-Mails, 1:1 Teams-Nachrichten und OneDrive-Dateien.
- Gruppen: Daten, die dem organization oder einer Gruppe von Benutzern innerhalb eines organization gehören. Diese Gruppen werden häufig als einheitliche Gruppen oder Teams bezeichnet.
In Untersuchungen zur Datensicherheit (Vorschau) optimiert das Konzept der Datenquellen den Prozess der Identifizierung und Verwaltung von Daten auf Microsoft 365-Plattformen. Analysten wählen einen Benutzer oder eine Gruppe aus und durchsuchen diese Datenquellen. Analysten können den Bereich verfeinern, indem sie bestimmte Standorte auswählen oder ausschließen.
Analysten können auch organization-weite Quellen verwenden, um die Suche in Ihren organization durchzuführen. Zu den organisationsweiten Quellen gehören:
- Alle Personen und Gruppen: Schließt alle Benutzer und alle Gruppen in Ihre organization ein.
- Alle öffentlichen Ordner: Schließt alle Inhalte in Postfächern öffentlicher Exchange-Ordner ein.
Abfrage-Generator
Die Option Abfrage-Generator in der Suche bietet eine visuelle Filterfunktion, wenn Sie Suchabfragen in Untersuchungen zur Datensicherheit (Vorschau) erstellen. Da Sie KI-Analysetools verwenden, um schnell anwendbare Daten in Elementen zu identifizieren, die von Ihrer Suche zurückgegeben werden, besteht eine Strategie darin, Ihren Suchbereich um weitere Datenquellen zu erweitern. Dies verringert die Wahrscheinlichkeit, dass relevante Inhalte zur Überprüfung ausgeschlossen werden.
Verwenden Sie den Abfrage-Generator, um komplexe Abfragen mit zusätzlichen Funktionen zu erstellen, einschließlich AND, OR und Gruppierung von Bedingungen. Diese Features im Abfrage-Generator helfen Ihnen, Abfragen effektiver zu erstellen, bieten eine visuelle Schnittstelle zum Gruppieren von Unterabfragen und bieten zusätzlichen Platz für komplexe Schlüsselwort (keyword) Abfragen, die erstellt und überprüft werden müssen.
Verwenden des Abfrage-Generators
Verwenden Sie die folgenden Steuerelemente, um eine Abfrage und benutzerdefinierte Filterung für Ihre Suche zu erstellen:
- AND/OR: Diese bedingten logischen Operatoren helfen Ihnen bei der Auswahl der Abfragebedingung, die für bestimmte Filter und Filteruntergruppen gilt. Verwenden Sie diese Operatoren, um mehrere Filter oder Untergruppen, die mit einem einzelnen Filter verbunden sind, in Ihre Abfrage einzuschließen.
- Filter auswählen: Wählen Sie Filter für die spezifischen Datenquellen und Speicherortinhalte aus, die Sie für die Sammlung auswählen.
- Filter hinzufügen: Fügen Sie Ihrer Abfrage mehrere Filter hinzu. Diese Option ist verfügbar, nachdem Sie mindestens einen Abfragefilter definiert haben.
- Operator auswählen: Abhängig vom ausgewählten Filter können Sie aus kompatiblen Operatoren wählen. Wenn Sie z. B. den Filter Datum auswählen, können Sie zwischen Vorher, Nachher und Zwischen wählen. Wenn Sie den Filter Größe (in Bytes) auswählen, können Sie zwischen Größer als, Größer oder gleich, Kleiner als, Kleiner oder gleich, Zwischen und Gleich wählen.
- Wert: Geben Sie abhängig vom ausgewählten Filter kompatible Werte ein. Einige Filter unterstützen mehrere Werte, während andere einen einzelnen bestimmten Wert unterstützen. Wenn Sie beispielsweise den Filter Datum auswählen, geben Sie Datumswerte ein. Wenn Sie den Filter Größe (in Bytes) auswählen, geben Sie einen Wert für Bytes ein.
- Untergruppe hinzufügen: Nachdem Sie einen Filter definiert haben, fügen Sie eine Untergruppe hinzu, um die vom Filter zurückgegebenen Ergebnisse zu verfeinern. Sie können einer Untergruppe auch eine Untergruppe für mehrschichtige Abfrageeinschränkungen hinzufügen.
- Entfernen einer Filterbedingung: Um einen einzelnen Filter oder eine einzelne Untergruppe zu entfernen, wählen Sie das Symbol zum Entfernen rechts neben jeder Filterzeile oder Untergruppe aus.
- Alle löschen: Um die gesamte Abfrage aller Filter und Untergruppen zu löschen, wählen Sie Alle löschen aus.
Szenariobeispiel
Ein Untersuchungen zur Datensicherheit Analyst (Vorschauversion) muss eine Abfrage für jedes Element erstellen, das die Schlüsselwort (keyword) vertraulich enthält, die zwischen dem 1. Januar 2025 und dem 16. März 2025* verwendet wurde. In diesem Beispiel erstellt der Analyst die folgende Abfrage mithilfe des Abfrage-Generators:
- Für den ersten Filter wählt der Analyst Schlüsselwort aus, wählt dann den Gleichheitsoperator aus und gibt dann vertraulich in das Steuerelement Wert ein.
- Als Nächstes wählt der Analyst Untergruppe hinzufügen und den Operator AND und dann filter hinzufügen aus.
- Der Analyst wählt den Filter Datum , den Operator Zwischen sowie Start- und Enddaten für den Wert aus.
- Der Analyst wählt Speichern aus, um die Abfrage zu speichern, und dann Bereich überprüfen , um die Suchabfrage auszuführen.
Erstellen einer Suchabfrage mit Microsoft Security Copilot
Mit der Option Abfrage mit Copilot in der Suche können Sie natürliche Sprache und Microsoft Security Copilot verwenden, um schnell eine benutzerdefinierte Abfrage im Abfrage-Generator zu generieren. Verwenden Sie diese Option, um komplexe Abfragen mit zusätzlichen Funktionen wie AND, OR und Gruppierung von Bedingungen zu erstellen, während Sie Eingabeaufforderungen in natürlicher Sprache verwenden.
Dieses Feature hilft Ihnen auch, Abfragen einfacher zu erstellen, indem sie vordefinierte Eingabeaufforderungen für häufige Szenarien verwendet. Es hilft Ihnen auch, benutzerdefinierte Eingabeaufforderungen für genauere Suchabfragen zu verfeinern und zu verbessern. Sie können auch Eingabeaufforderungsvorschläge als Ausgangspunkt verwenden, um Keyword Query Language -Abfragen (KeyQL) für gängige oder benutzerdefinierte Suchszenarien zu erstellen und zu verfeinern.
Führen Sie die folgenden Schritte aus, um eine Suchabfrage mit Copilot zu erstellen:
- Wählen Sie Datenquellen für Ihre Abfrage und dann Abfrage mit Copilot aus.
- Geben Sie ihre Suchabfragefrage in das Feld Beschreiben, was Sie finden möchten ein . Sie können ggf. Benutzer-, Datenquellen- und andere Inhaltsdetails einschließen.
- Wählen Sie Eingabeaufforderungen anzeigen aus, um einen der folgenden Eingabeaufforderungsvorschläge auszuwählen:
- Suchen aller E-Mails mit den Wörtern "Budget" und "Finanzen" und "Anlagen"
- Suchen Sie nach Dateien vom Typ .docx, die die Wörter vertraulich und budget enthalten.
- Wählen Sie Bereich überprüfen aus, um Schätzungen und Statistiken für die Suche anzuzeigen, oder fügen Sie die Ergebnisse direkt ihrem Untersuchungsbereich hinzu. Wenn Sie die von Ihnen definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Speichern aus.
Aus Datei suchen
Mit der Option Aus Datei können Sie eine oder mehrere Dateien hochladen, um verwandte Inhalte für eine bestimmte Untersuchung zu finden. Verwenden Sie eine Überwachungsaktivität .csv Datei, um verwandte Nachrichten und Dateien für einen bestimmten Benutzer innerhalb eines bestimmten Zeitrahmens zu finden. Jede Datei ist auf eine maximale Dateigröße von 10 MB beschränkt, und Dateien können .csv werden. Der Abfrage-Generator ist bei der Suche nach Datei deaktiviert.
Untersuchungen zur Datensicherheit (Vorschau) unterstützt nur bestimmte Überwachungsaktivitätsvorgangstypen bei der Suche nach Datei. Wenn eine hochgeladene Überwachungsprotokolldatei keinen der folgenden unterstützten Vorgangstypen enthält, verwendet die Suche eine leere Abfrage und gibt keine übereinstimmenen Elemente zurück.
- FileAccessed
- FileDownloaded
- FileUploaded
- MessageRead
- MessageSent
- SearchQueryInitiatedExchange
- Senden
- SubscribedToMessages
- ThreadViewed
- TranscriptsExported
Bereichs-Dashboard
Auf der Registerkarte Suchen werden Statistiken und Metriken für die in der Suchabfrage enthaltenen Datenergebnisse angezeigt. Mit dieser Ansicht können Sie ermitteln, ob die Suchergebnisse zum Hinzufügen zum Untersuchungsbereich bereit sind oder ob Sie Ihre Abfrage für breitere oder engere Ergebnisse verfeinern müssen.
Die Suchergebnisse für die Bereichs-Dashboard sind in den folgenden Abschnitten enthalten:
Zusammenfassung: Zeigt die Anzahl der Suchtreffer, Speicherorte, Datenquellen und die Gesamtgröße der teilweise indizierten Elemente an.
- Übereinstimmungen insgesamt: Zeigt die Gesamtzahl der Suchtreffer und das Volumen aller Elemente an, die den Abfragekriterien der durchsuchten Speicherorte entsprechen.
- Standorte: Zeigt den Anteil der Standorte mit Treffern aus allen durchsuchten Standorten an. Der Zähler zeigt die Standorte mit Treffern und nenner die Anzahl der durchsuchten Standorte an. Standorte mit Fehlern werden rot angezeigt. Um vollständige Details zu allen Speicherorten und den zugehörigen Treffern und Fehlern anzuzeigen, wählen Sie Bericht herunterladen aus, um den vollständigen .csv Bericht herunterzuladen.
- Datenquellen: Zeigt den Anteil der Datenquellen mit Treffern aus allen durchsuchten Datenquellen an. Der Zähler zeigt die Datenquellen mit Treffern an, und der Nenner zeigt die Anzahl der in der Suche enthaltenen Datenquellen an. Diese Datenquelle ist konsistent mit der Datenquelle im Suchentwurfsflow und sollte der Anzahl der Personen oder Gruppen entsprechen, die in der Suche enthalten sind. Eine mandantenweite Datenquelle von Alle Personen und alle Gruppen zählt als einzelne Datenquelle.
- Teilweise indizierte Elemente oder "Treffer für erweiterte indizierte Elemente": Zeigt die Anzahl und das Volumen der teilweisen und nicht indizierten Elemente an, die im Rahmen der Suche zurückgegeben werden. Die erweiterte indizierte Trefferanzahl stammt aus einer Statistikstichprobe für die teilweise indizierten Elemente. Die tatsächlichen Treffer sind möglicherweise höher, und Sie können bestätigen, indem Sie die Aktionen zum Hinzufügen zu einem Überprüfungssatz und Exportieren von Suchergebnissen verwenden.
- Top-Datenquellen: Zeigt die fünf wichtigsten Datenquellen an, die die meisten Suchtreffer für Ihre Abfrage bilden. Die Namen dieser Datenquellen (Namen von Benutzern, Gruppen oder organization breiten Speicherorten) werden mit der Trefferanzahl aufgelistet. Diese Datenquellen sollten mit dem übereinstimmen, was Sie beim Erstellen der Suchabfrage im Datenquellenworkflow ausgewählt haben.
- Indizierung status: Aufschlüsselung der nicht indizierten (einschließlich teilweise indizierten) und vollständig indizierten Datenelementen.
- Top-Standorttyp: Trefferanzahl nach Standorttyp (Postfach im Vergleich zu Website).
Wählen Sie Ansicht erneut generieren aus, um die Abfrage erneut auszuführen und die aktuellsten Ergebnisse zu überprüfen. Wählen Sie Bericht herunterladen aus, um alle Bereichsergebnisse in einer einzelnen .csv-Datei zu kombinieren. Wenn Sie die top 100 Ergebnisse für einen beliebigen Trendbereich anzeigen, wählen Sie Bericht herunterladen aus, um eine .csv Datei der 100 wichtigsten Ergebnisse des ausgewählten Treffertrends zu sehen.
Beispiele Dashboard
Mit Beispielen können Sie eine repräsentative Teilmenge einzelner Elemente und Details für jedes Element überprüfen, das für die Suche zurückgegeben wird. Die Anzahl der Stichproben pro Standort und die Anzahl der in der Suche definierten Stichprobenstandorte bestimmen die Anzahl der Stichprobenelemente und die Positionsdarstellung in den Stichprobenelementen.
Die Suchergebnisse für die Spalten Samples Dashboard enthalten die folgenden Informationen für jedes Element:
- Betreff/Titel: Der Betreff oder Titel der elemente, die im Beispiel enthalten sind.
- Datum: Das Datum, an dem das Element erstellt oder gesendet wurde.
- Absender/Autor: Der Absender oder Autor des Elements.
Wählen Sie ein Beispielelement aus, um die Quellinformationen für das Element anzuzeigen. Falls für das Element verfügbar, zeigt diese Ansicht eine umfangreiche Ansicht eines ausgewählten Elements an, sodass Sie die Relevanz des Elements im Zusammenhang mit der definierten Suchdatenquelle und den bedingungen auswerten können.
Wählen Sie Berichte herunterladen aus, um alle Beispielergebnisse in einer einzelnen .csv-Datei zu kombinieren. Wählen Sie Einstellungen anzeigen aus, um die Einstellungen anzuzeigen, die auf die Generierung der Beispielansicht angewendet werden.