Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’évaluation et l’affinement de vos résultats de recherche sont une étape importante dans votre investigation eDiscovery. La requête de recherche que vous configurez et les résultats qui retournent vous aident à déterminer si vous découvrez des éléments et des informations applicables à votre investigation ou si vous devez modifier votre recherche pour essayer de découvrir d’autres éléments pertinents. Cette recherche initiale d’éléments et cet examen initial des informations vous aident à déterminer les actions requises une fois que vous avez finalisé vos paramètres de recherche.
Conseil
Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.
Évaluer les résultats de la recherche
Après avoir créé et exécuté une recherche, affichez les statistiques de recherche pour vous aider à vérifier si le contenu pertinent est trouvé et les emplacements de contenu ayant le plus d’accès. Vous pouvez également consulter un exemple des résultats de la recherche pour vous aider à déterminer si le contenu est dans l’étendue de votre investigation.
Tableau de bord statistiques
Si vous sélectionnez Statistiques comme type de résultat initial pour votre recherche, la recherche vous redirige automatiquement vers ce tableau de bord une fois les résultats de la recherche terminés. Si vous êtes déjà familiarisé avec les versions précédentes d’eDiscovery, les informations de l’onglet Statistiques sont similaires aux estimations de collection. Les résultats de la recherche pour le tableau de bord Statistiques sont inclus dans les sections suivantes :
Résumé : cette section indique le nombre d’accès à la recherche, les emplacements, les sources de données et la taille de fichier totale des éléments partiellement indexés.
- Résultats de recherche : affiche le nombre total d’accès à la recherche et le volume de tous les éléments correspondant aux critères de requête à partir des emplacements recherchés.
- Emplacements : affiche la fraction d’emplacements avec des accès hors de tous les emplacements recherchés. Le numérateur affiche les emplacements avec des accès et le dénominateur indique le nombre d’emplacements recherchés. Les emplacements avec des erreurs sont affichés en rouge. Pour afficher des détails complets sur tous les emplacements et les correspondances et erreurs associées, sélectionnez Télécharger le rapport pour télécharger le rapport de .csv complet.
- Sources de données : affiche la fraction des sources de données avec des correspondances de toutes les sources de données recherchées. Le numérateur affiche les sources de données avec des correspondances et le dénominateur indique le nombre de sources de données incluses dans la recherche. Cette source de données est cohérente avec la source de données dans le flux de conception de recherche et doit correspondre au nombre de personnes ou de groupes inclus dans la recherche. Une source de données à l’échelle du locataire de Toutes les personnes et tous les groupes est une source de données unique.
- Éléments partiellement indexés ou « Accès avancés aux éléments indexés » : affiche le nombre et le volume d’éléments partiellement et non indexés retournés dans le cadre de la recherche. Cette carte affiche des informations sur les éléments partiellement indexés si vous choisissez d’inclure des éléments partiellement ou non indexés dans le cadre de la configuration de la recherche. Si vous choisissez d’inclure des éléments partiellement et non indexés et d’activer des options d’indexation avancées, cette carte affiche les accès supplémentaires que vous obtenez à partir d’éléments indexés avancés. Le nombre d’accès indexé avancé provient d’un échantillon statistique sur les éléments partiellement indexés. Les résultats réels peuvent être plus nombreux et doivent être confirmés à l’aide des actions Ajouter à un jeu de révision et exporter les résultats de recherche.
Tendances d’accès à la recherche : cette section présente les cartes de résultats de recherche suivantes. Les graphiques sont interactifs et pointent pour afficher les noms de section, les pourcentages et les numéros d’élément. Sélectionnez Afficher les 100 premiers pour plus d’informations sur les éléments inclus dans chaque tendance et pour télécharger les résultats dans un fichier .csv :
Principales sources de données : affiche les cinq principales sources de données qui composent le plus d’accès à la recherche correspondant à votre requête. Le nom de ces sources de données (noms d’utilisateurs, de groupes ou d’emplacements à l’échelle de organization) est répertorié avec le nombre d’accès. Ces sources de données doivent correspondre à ce que vous avez sélectionné dans le flux de travail des sources de données lors de la création de la requête de recherche.
Principaux types d’informations sensibles (SIT) : affiche les cinq principaux types d’informations sensibles (SIT) dans les fichiers SharePoint qui sont le plus souvent inclus dans les résultats de recherche correspondant à votre requête. L’ajout du nombre de chaque SIT n’équivaut pas nécessairement au nombre total d’accès, car un seul élément ou document peut contenir plusieurs types SIT. Par exemple, un document contient à la fois un mot de passe et un numéro de sécurité sociale (SSN). Dans cet exemple, il est compté deux fois. Nous vous recommandons de sélectionner Afficher les 100 premiers pour mieux comprendre les emplacements de ces décomptes SIT afin de vérifier s’ils se chevauchent ou non.
Mots clés principaux : mots clés de requête, ce qui a permis d’obtenir le plus de résultats de recherche correspondant à votre requête.
Remarque
Pour générer un rapport mot clé dans la vue des statistiques, vous devez remplir au moins deux grilles mot clé. Si vous entrez une seule mot clé, le nombre total d’accès affiché reflète les résultats de cette mot clé, et aucun rapport mot clé n’est généré.
Principaux types d’éléments : types d’éléments les plus fréquents dans les résultats de recherche correspondant à votre requête. Ce nombre est déterminé par itemClass pour le contenu Exchange et ContentType pour le contenu SharePoint.
Indexation status : répartition des éléments de données non indexés (y compris partiellement indexés) et entièrement indexés.
Principaux participants à la communication : expéditeurs ou destinataires pour les e-mails, les conversations Microsoft Teams et les invitations de calendrier dans les emplacements Exchange.
Type d’emplacement supérieur : nombre d’accès par type d’emplacement (boîte aux lettres ou site).
Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger le rapport pour combiner tous les résultats statistiques dans un seul fichier .csv. Lorsque vous affichez les 100 premiers résultats d’une zone de tendance, sélectionnez Télécharger le rapport pour un fichier .csv des 100 premiers résultats de la tendance sélectionnée.
Remarque
Les statistiques de recherche expirent au bout de 14 jours. Réexécutez les statistiques de recherche pour toutes les recherches de plus de 14 jours pour afficher les statistiques actuelles.
Présentation des statistiques et des résultats de recherche
Selon le moment où vous exécutez une recherche dans eDiscovery, les statistiques de la recherche peuvent afficher des résultats différents. Par exemple, si vous exécutez deux recherches avec exactement les mêmes conditions, mais à des moments différents, vous verrez probablement des résultats statistiques différents. Ces différences peuvent se produire pour les raisons suivantes :
- Votre organization est actif : étant donné que vous avez des utilisateurs actifs dans un environnement de production, les données de votre organization sont constamment déplacées, ajoutées, supprimées et mises hors service. Les mêmes conditions de recherche s’exécutent sur les mêmes emplacements renvoient probablement des résultats de recherche différents, car les données de ces emplacements ont changé entre le moment où vous avez effectué les recherches.
- Erreurs temporaires : lorsque vous exécutez une recherche (ou exportez ou ajoutez à un jeu de révision), des erreurs de traitement temporaires peuvent se produire, en particulier pour des jeux de données volumineux. Ces erreurs se produisent souvent en raison des délais d’expiration de traitement et peuvent être atténuées en fractionnant les recherches en plages de dates plus petites et en exportant les données en parallèle. Essayez toujours de diviser les recherches en petites tailles avec des conditions de recherche plus spécifiques et plus ciblées avec des emplacements sélectionnés. Cette approche permet au processus de s’exécuter plus efficacement avec moins de risques d’erreurs.
- Accès à l’emplacement : dans certains scénarios, les emplacements inclus dans une recherche ne sont pas valides, ne sont pas accessibles ou expirent pendant le traitement. Lorsque vous comparez les résultats de deux recherches avec les mêmes conditions, assurez-vous que les emplacements recherchés correspondent correctement. Par exemple, une recherche sur 1 000 emplacements peut avoir un emplacement ayant échoué lors de la première exécution et aucun emplacement ayant échoué lors de la deuxième exécution. Cet exemple signifie que la première exécution n’a recherché que 999 emplacements avec succès et que la deuxième exécution a recherché 1 000 emplacements. La différence d’un emplacement est la raison pour laquelle les résultats de recherche entre deux exécutions sont différents. Utilisez le rapportlocations.csv pour la recherche, l’exportation et l’ajout de processus de jeu de révision pour afficher un rapport complet sur les emplacements qui ont réussi et les emplacements ayant échoué. Réexécutez les recherches pour les emplacements ayant échoué.
- Utilisateur exécutant la recherche : selon que l’utilisateur démarre le processus de recherche, la limite de conformité ou le filtre de recherche de conformité peuvent être appliqués à l’utilisateur. Ce filtre filtre les emplacements en fonction des propriétés de boîte aux lettres ou filtre le contenu en fonction du chemin d’accès au contenu (sites SharePoint). Les résultats pour l’utilisateur peuvent être limités si une limite de conformité ou un filtre d’autorisation de recherche est appliqué. Par exemple, un utilisateur n’a pas de limite de conformité appliquée, mais un deuxième utilisateur a une limite de conformité appliquée qui limite cet utilisateur aux boîtes aux lettres utilisateur et aux sites OneDrive à une région spécifique. Une recherche effectuée par le premier utilisateur renvoie toutes les boîtes aux lettres et les correspondances OneDrive pour les conditions de recherche pour toutes les régions, et une recherche pour le deuxième utilisateur renvoie uniquement les correspondances pour les boîtes aux lettres et les sites OneDrive uniquement pour la région autorisée.
- Le nombre de résultats de recherche peut varier d’une recherche à l’autre en raison de conservations légales : si vous exécutez la même requête de recherche à des moments différents, le nombre d’éléments dans la recherche ou l’exportation peut différer. Cette différence peut se produire lorsque des éléments sont modifiés ou supprimés entre les recherches. Par exemple, les éléments en conservation légale conservent les versions précédentes et peuvent apparaître dans les exportations ultérieures, tandis que les éléments qui ne sont pas en attente peuvent changer ou être supprimés s’ils ne répondent plus aux critères de conservation.
- Les statistiques de recherche sont des estimations : ces estimations ne doivent pas être utilisées pour comparer à OneDrive et au stockage de site SharePoint. Les estimations utilisent des approximations basées sur des index, de sorte que la taille de contenu eDiscovery estimée peut différer. Le stockage de site inclut souvent des données non reflétées dans les estimations eDiscovery, telles que les versions de fichiers et les éléments de la Corbeille. Pour afficher le contenu du site, utilisez le processus d’exportation plutôt que l’estimation de la taille du tableau de bord des statistiques.
Exemple de tableau de bord
Si vous sélectionnez Exemple comme type de résultat initial pour votre recherche, vous êtes automatiquement redirigé vers ce tableau de bord une fois les résultats de la recherche terminés. Les résultats de la recherche pour les colonnes Exemple de tableau de bord contiennent les informations suivantes pour chaque élément :
- Objet/Titre : objet ou titre des éléments inclus dans l’exemple.
- Date : date à laquelle l’élément a été créé ou envoyé.
- Expéditeur/auteur : expéditeur ou auteur de l’élément.
Les exemples vous permettent d’inspecter un sous-ensemble représentatif d’éléments individuels et de détails pour chaque élément retourné pour la recherche. Le nombre d’échantillons par emplacement et le nombre d’emplacements définis dans la recherche déterminent le nombre d’exemples d’éléments et la représentation de l’emplacement dans les exemples d’éléments.
Sélectionnez un exemple d’élément pour afficher les informations source de l’élément. S’il est disponible pour l’élément, cet affichage affiche une vue enrichie d’un élément sélectionné afin que vous puissiez évaluer la pertinence de l’élément en ce qui concerne la source de données de recherche et les conditions définies.
Remarque
Les exemples d’éléments que vous générez sont valides pendant 24 heures. Si vous avez généré la vue il y a plus de 24 heures, régénérez la vue pour récupérer les derniers exemples correspondant à votre requête de recherche.
Sélectionnez Régénérer la vue pour réexécuter la requête et passer en revue les résultats les plus actuels. Sélectionnez Télécharger les rapports pour combiner tous les exemples de résultats dans un seul fichier .csv. Sélectionnez Afficher les paramètres pour afficher les paramètres appliqués à l’exemple de génération d’affichage.
Affiner les résultats de recherche
En fonction des estimations et des statistiques retournées par la recherche, vous pouvez modifier et affiner la recherche. Modifiez les sources de données que la recherche inclut et modifiez la requête de recherche pour développer ou affiner la recherche. Vous pouvez mettre à jour et réexécuter la recherche jusqu’à ce que vous soyez certain que les résultats de la recherche contiennent le contenu le plus pertinent pour votre cas.
Une fois que vous êtes satisfait des résultats de la recherche, vous pouvez effectuer les actions suivantes :
- Ajouter des résultats de recherche à un jeu à réviser
- Exporter les résultats de la recherche
- Créer une attente
Différences entre les statistiques et les résultats d’exportation
Lorsque vous exécutez une recherche eDiscovery, les statistiques renvoient une estimation du nombre d’éléments (et de leur taille totale) qui correspondent aux critères de recherche. Toutefois, la taille et le nombre de résultats de recherche exportés réels que vous téléchargez diffèrent de la taille estimée et du nombre de résultats de recherche.
Plusieurs raisons possibles expliquent ces différences :
La façon dont les résultats sont estimés : l’estimation fournit une estimation (et non un nombre réel) des éléments qui répondent aux critères de la requête de recherche. Pour compiler l’estimation des éléments Exchange, eDiscovery demande à la base de données Exchange une liste des ID de message qui répondent aux critères de recherche. Toutefois, lorsque vous exportez les résultats de la recherche, la recherche s’exécute à nouveau et les messages réels sont récupérés à partir de la base de données Exchange. Des différences peuvent se produire en raison de la façon dont le nombre estimé d’éléments et le nombre réel d’éléments sont déterminés.
La façon dont la taille des résultats est estimée : pendant l’estimation, la taille est approximative. Le système collecte un grand nombre d’éléments et additionne les tailles à l’aide d’approximations. Vous devez considérer l’estimation de la taille comme un ordre de grandeur, et non comme une mesure spécifique de la taille. Par exemple, une estimation de taille de 10 Mo indique que les données devraient être comprises entre 1 Mo et 100 Mo. Plus le nombre est élevé, plus il y a de variance dans l’estimation.
- Pour le contenu Exchange, la taille du fichier correspond à la taille du texte du message et des octets de pièce jointe. Lors de l’exportation, le format est converti en .msg et ajouté aux fichiers .pst ou .zip. Ces deux opérations peuvent avoir un impact significatif sur la taille.
- Pour le contenu sharePoint, la taille du fichier est approximative en octets du fichier. Dans de nombreux cas pour les données SharePoint, la taille du fichier ne peut pas être estimée pendant la recherche.
Modifications qui se produisent entre le moment de l’estimation et de l’exportation des résultats de recherche : lorsque vous exportez les résultats de la recherche, la recherche redémarre pour collecter les éléments les plus récents dans l’index de recherche qui répondent aux critères de recherche. Il est possible que des éléments supplémentaires aient été créés, envoyés ou reçus qui répondent aux critères de recherche entre le moment où les résultats de recherche estimés ont été collectés et le moment où les résultats de la recherche ont été exportés. Il est également possible que les éléments qui se trouvaient dans l’index de recherche lorsque les résultats de la recherche ont été estimés ne soient plus là, car ils sont vidés de l’emplacement du contenu avant l’exportation des résultats de la recherche. Pour atténuer ce problème, spécifiez une plage de dates pour une recherche eDiscovery ou placez une conservation sur les emplacements de contenu afin que les éléments soient conservés et ne puissent pas être vidés.
Voici d’autres problèmes qui peuvent entraîner des différences entre les résultats de recherche estimés et exportés :
Augmentation du nombre d’éléments lors de l’utilisation d’une requête de date. Ce problème est généralement dû aux deux éléments suivants :
- Conservation du contrôle de version dans SharePoint : si un document est supprimé d’un site en attente et que le contrôle de version du document est activé, toutes les versions du document supprimé sont conservées.
- Éléments de calendrier : accepter et rejeter les messages et les réunions périodiques continuent automatiquement à créer de nouveaux éléments en arrière-plan avec d’anciennes dates.
Avec les conservations, il peut y avoir des cas où le même élément est conservé dans la boîte aux lettres principale d’un utilisateur et dans sa boîte aux lettres d’archivage. Cette situation peut se produire lorsqu’un utilisateur déplace manuellement un élément vers son archive.
Bien que rare, même dans le cas où une conservation est appliquée, la maintenance des éléments de calendrier intégrés (qui ne sont pas modifiables par l’utilisateur, mais qui sont inclus dans de nombreux résultats de recherche) peut être supprimée de temps en temps. Cette suppression périodique des éléments de calendrier entraîne une diminution du nombre d’éléments exportés.
Éléments non indexés : les éléments qui ne sont pas indexés pour la recherche peuvent entraîner des différences entre les résultats de recherche estimés et réels. Vous pouvez inclure des éléments non indexés lorsque vous exportez les résultats de la recherche. Si vous incluez des éléments non indexés lors de l’exportation des résultats de recherche, d’autres éléments peuvent être exportés. Cette différence entraîne une différence entre les résultats de recherche estimés et exportés.
Lorsque vous utilisez la recherche, vous pouvez inclure des éléments non indexés lorsque vous exportez les résultats de la recherche. Le nombre d’éléments non indexés retournés par la recherche est répertorié sur la page des statistiques. Lorsque vous exportez des résultats de recherche, vous pouvez choisir d’inclure ou de ne pas inclure des éléments non indexés. La façon dont vous configurez ces options peut entraîner des différences entre les résultats estimés et les résultats réels exportés.
Versions de document dans SharePoint et OneDrive : lors de la recherche de sites SharePoint et de comptes OneDrive, plusieurs versions d’un document ne sont pas incluses dans le nombre de résultats de recherche estimés. Toutefois, vous avez la possibilité d’inclure des versions de document lorsque vous exportez les résultats de la recherche. Si vous incluez des versions de document lors de l’exportation des résultats de recherche, le nombre réel (et la taille totale) des éléments exportés augmentent.
Dossiers SharePoint : si les dossiers dans SharePoint correspondent à une requête de recherche, par exemple une recherche par date, l’estimation de la recherche inclut le nombre de dossiers avec la plage de dates de dernière modification (mais pas les éléments de ces dossiers). Lorsque vous exportez les résultats de la recherche, vous avez la possibilité de choisir d’exporter des éléments dans les sous-dossiers d’un dossier correspondant ou d’inclure uniquement les éléments qui correspondent à la requête de recherche. Cette option peut affecter le nombre d’éléments exportés. Si un dossier est vide, le nombre de résultats de recherche réels exportés est réduit d’un élément, car le dossier réel n’est pas exporté.
Listes SharePoint : si le nom d’une liste SharePoint correspond à une requête de recherche, l’estimation de la recherche inclut le nombre de tous les éléments de la liste. Lorsque vous exportez les résultats de la recherche, la liste (et les éléments de liste) sont exportés sous la forme d’un seul fichier CSV. Vous pouvez choisir un paramètre d’exportation qui inclut des pièces jointes de liste, les pièces jointes sont exportées en tant que documents distincts, ce qui peut augmenter le nombre d’éléments exportés.
Formats de fichiers bruts par rapport aux formats de fichier exportés : pour les éléments Exchange, la taille estimée des résultats de recherche est calculée à l’aide des tailles de message Exchange brutes. Toutefois, les messages électroniques sont exportés dans un fichier PST ou en tant que messages individuels. Ces deux options d’exportation utilisent un format de fichier différent de celui des messages Exchange bruts, ce qui entraîne une taille de fichier totale exportée différente de la taille de fichier estimée.