Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Avaliar e refinar os resultados da pesquisa é um passo importante na investigação de Deteção de Dados Eletrónicos. A consulta de pesquisa que configura e os resultados que devolvem ajudam-no a determinar se deteta itens e informações aplicáveis à sua investigação ou se precisa de modificar a sua pesquisa para tentar detetar itens pertinentes adicionais. Esta pesquisa inicial de itens e a revisão inicial das informações ajudam-no a determinar que ações são necessárias depois de finalizar os parâmetros de pesquisa.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Avaliar os resultados da pesquisa
Depois de criar e executar uma pesquisa, veja as estatísticas de pesquisa para o ajudar a verificar se o conteúdo relevante foi encontrado e as localizações de conteúdo com mais acessos. Também pode rever um exemplo dos resultados da pesquisa para o ajudar a determinar se o conteúdo está dentro do âmbito da sua investigação.
Estatísticas dashboard
Se selecionar Estatísticas como o tipo de resultado inicial da pesquisa, a pesquisa redireciona-o automaticamente para este dashboard quando os resultados da pesquisa estiverem concluídos. Se já estiver familiarizado com as versões anteriores da Deteção de Dados Eletrónicos, as informações no separador Estatísticas são semelhantes às estimativas da coleção. Os resultados da pesquisa das dashboard estatísticas estão incluídos nas secções seguintes:
Resumo: esta secção mostra o número de acessos de pesquisa, localizações, origens de dados e o tamanho total do ficheiro de itens parcialmente indexados.
- Resultados da pesquisa: apresenta a contagem total de resultados da pesquisa e o volume de todos os itens que correspondem aos critérios de consulta das localizações pesquisadas.
- Localizações: apresenta a fração de localizações com resultados de todas as localizações pesquisadas. O numerador mostra as localizações com resultados e o denominador mostra o número de localizações pesquisadas. As localizações com erros são apresentadas a vermelho. Para ver todos os detalhes sobre todas as localizações e resultados e erros associados, selecione Transferir relatório para transferir o relatório de .csv completo.
- Origens de dados: apresenta a fração de origens de dados com resultados de todas as origens de dados pesquisadas. O numerador mostra as origens de dados com resultados e o denominador mostra o número de origens de dados incluídas na pesquisa. Esta origem de dados é consistente com a origem de dados no fluxo de estrutura da pesquisa e deve corresponder ao número de pessoas ou grupos incluídos na pesquisa. Uma origem de dados ao nível do inquilino de Todas as pessoas e todos os grupos conta como uma única origem de dados.
- Itens parcialmente indexados ou "Resultados de itens indexados avançados": apresenta a contagem e o volume de itens parcialmente e não indexados devolvidos como parte da pesquisa. Este card apresenta informações de itens parcialmente indexados se optar por incluir itens parcialmente ou não identificados como parte da configuração de pesquisa. Se optar por incluir itens parcialmente e desindexados e ativar opções de indexação avançadas, este card apresenta resultados adicionais que obtém a partir de itens indexados avançados. A contagem de resultados indexada avançada provém de um exemplo de estatística nos itens parcialmente indexados, os resultados reais podem ser mais e devem ser confirmados com o suplemento para um conjunto de revisões e exportar ações de resultados da pesquisa.
Tendências de acesso à pesquisa: esta secção mostra os seguintes cartões de resultados de pesquisa. Os gráficos são interativos, pairam o cursor do rato para apresentar nomes de secções, percentagens e números de itens. Selecione Ver os 100 primeiros para obter mais informações sobre os itens incluídos em cada tendência e para transferir os resultados para um ficheiro de .csv:
Principais origens de dados: apresenta as cinco principais origens de dados que compõem mais resultados de pesquisa correspondentes à sua consulta. O nome destas origens de dados (nomes de utilizadores, grupos ou localizações em toda a organização) está listado com a contagem de resultados. Estas origens de dados devem corresponder ao que selecionou no fluxo de trabalho das origens de dados ao criar a consulta de pesquisa.
Principais tipos de informações confidenciais (SITs): apresenta os cinco principais tipos de informações confidenciais (SITs) nos ficheiros do SharePoint que são mais frequentemente incluídos nos resultados da pesquisa que correspondem à consulta. Adicionar a contagem de cada SIT não equivale necessariamente à contagem total de resultados porque um único item ou documento pode conter mais do que um tipo SIT. Por exemplo, um documento contém uma palavra-passe e um número de segurança social (SSN). Neste exemplo, é contado duas vezes. Recomendamos que selecione Ver os 100 primeiros para compreender melhor as localizações destas contagens SIT para verificar se se sobrepõem ou não.
Principais palavras-chave: consultar palavras-chave, o que resultou na maioria dos resultados de pesquisa correspondentes à sua consulta.
Observação
Para gerar um relatório de palavra-chave na vista de estatísticas, tem de preencher, pelo menos, duas ou mais grelhas palavra-chave. Se introduzir apenas um único palavra-chave, a contagem total de resultados apresentada reflete os resultados desse palavra-chave e não é gerado um relatório de palavra-chave.
Tipos de itens principais: os tipos de itens mais frequentes na pesquisa correspondem à consulta. Esta contagem é determinada por itemClass para conteúdo do Exchange e ContentType para conteúdo do SharePoint.
Indexação status: discriminação de itens de dados não indexados (incluindo parcialmente indexados) e de dados totalmente indexados.
Principais participantes de comunicação: remetentes ou destinatários para e-mails, conversas do Microsoft Teams e convites de calendário em localizações do Exchange.
Tipo de localização superior: contagem de resultados por tipo de localização (caixa de correio versus site).
Selecione Regenerar vista para voltar a executar a consulta e para rever os resultados mais atuais. Selecione Transferir relatório para combinar todos os resultados de Estatísticas num único ficheiro de .csv. Ao ver os 100 melhores resultados de qualquer área de tendência, selecione Transferir relatório para um ficheiro .csv dos 100 melhores resultados da tendência de êxito selecionada.
Observação
As estatísticas de pesquisa expiram após 14 dias. Execute novamente as estatísticas de pesquisa de quaisquer pesquisas com mais de 14 dias para ver as estatísticas atuais.
Compreender as estatísticas e os resultados da pesquisa
Dependendo de quando executa uma pesquisa na Deteção de Dados Eletrónicos, as estatísticas da pesquisa podem mostrar resultados diferentes. Por exemplo, se executar duas pesquisas com exatamente as mesmas condições, mas em momentos diferentes, provavelmente verá resultados de estatísticas diferentes. Estas diferenças podem ocorrer pelos seguintes motivos:
- A sua organização está ativa: uma vez que tem utilizadores ativos num ambiente de produção, os dados na sua organização são constantemente movidos, adicionados, eliminados e descontinuados. As mesmas condições de pesquisa são executadas nas mesmas localizações, provavelmente devolvem resultados de pesquisa diferentes porque os dados nessas localizações foram alterados entre o momento em que executou as pesquisas.
- Erros transitórios: ao executar uma pesquisa (ou exportar ou adicionar a um conjunto de revisões), podem ocorrer erros de processamento transitórios, especialmente para grandes conjuntos de dados. Estes erros ocorrem frequentemente devido ao processamento de tempos limite e podem ser mitigados ao dividir as pesquisas em intervalos de datas mais pequenos e exportar os dados em paralelo. Tente sempre dividir as pesquisas em tamanhos mais pequenos com condições de pesquisa mais específicas e mais direcionadas com localizações selecionadas. Esta abordagem ajuda o processo a ser executado de forma mais eficiente com menos hipóteses de erros.
- Acesso à localização: alguns cenários fazem com que as localizações incluídas numa pesquisa sejam inválidas, não acessíveis ou excedam o tempo limite durante o processamento. Quando comparar os resultados entre duas pesquisas com as mesmas condições, certifique-se de que as localizações que procurou correspondem com êxito. Por exemplo, uma pesquisa em 1000 localizações pode ter uma localização falhada na primeira execução e nenhuma localização falhada na segunda execução. Este exemplo significa que a primeira execução procurou apenas 999 localizações com êxito e a segunda execução procurou 1000 localizações. A diferença de uma localização é a razão pela qual os resultados da pesquisa entre duas execuções são diferentes. Utilize o relatório delocations.csv para procurar, exportar e adicionar para rever processos definidos para ver um relatório abrangente sobre que localizações foram bem-sucedidas e que localizações falharam. A nova execução procura quaisquer localizações falhadas.
- Utilizador a executar a pesquisa: consoante o utilizador que está a iniciar o processo de pesquisa, o utilizador pode ou não ter o limite de conformidade ou o filtro de pesquisa de conformidade aplicado. Este filtro filtra as localizações com base nas propriedades da caixa de correio ou filtra o conteúdo com base no caminho do conteúdo (sites do SharePoint). Os resultados do utilizador podem ser limitados se for aplicado um limite de conformidade ou um filtro de permissão de pesquisa. Por exemplo, um utilizador não tem um limite de conformidade aplicado, mas um segundo utilizador tem um limite de conformidade aplicado que restringe este utilizador a caixas de correio de utilizador e sites do OneDrive a uma região específica. Uma pesquisa do primeiro utilizador devolve todas as correspondências de caixa de correio e do OneDrive para as condições de pesquisa de todas as regiões e uma pesquisa para o segundo utilizador devolve apenas correspondências para caixas de correio e sites do OneDrive apenas para a região permitida.
- As contagens de resultados da pesquisa podem variar entre pesquisas devido a retenções legais: se executar a mesma consulta de pesquisa em alturas diferentes, o número de itens na pesquisa ou exportação poderá ser diferente. Esta diferença pode ocorrer quando os itens são editados ou eliminados entre pesquisas. Por exemplo, os itens sob retenção legal mantêm versões anteriores e podem aparecer em exportações posteriores, enquanto os itens que não estão em suspensão podem ser alterados ou removidos se já não cumprirem os critérios de retenção.
- As estatísticas de pesquisa são estimativas: estas estimativas não devem ser utilizadas para comparar com o Armazenamento de sites do OneDrive e do SharePoint. As estimativas utilizam aproximações baseadas em índices, pelo que o tamanho estimado do conteúdo da Deteção de Dados Eletrónicos pode ser diferente. Muitas vezes, o armazenamento de sites inclui dados não refletidos nas estimativas de Deteção de Dados Eletrónicos, como versões de ficheiros e itens na Reciclagem. Para obter uma vista do conteúdo do site, utilize o processo de exportação em vez das estatísticas dashboard estimativa de tamanho.
Dashboard de exemplo
Se selecionar Exemplo como o tipo de resultado inicial para a sua pesquisa, será automaticamente redirecionado para este dashboard quando os resultados da pesquisa estiverem concluídos. Os resultados da pesquisa para as colunas sample dashboard contêm as seguintes informações para cada item:
- Assunto/Título: o assunto ou título dos itens incluídos no exemplo.
- Data: a data em que o item foi criado ou enviado.
- Remetente/Autor: o remetente ou autor do item.
Os exemplos permitem-lhe inspecionar um subconjunto representativo de itens individuais e detalhes de cada item devolvido para a pesquisa. O número de amostras por localização e o número de localizações de exemplo definidas na pesquisa determinam o número de itens de exemplo e a representação da localização nos itens de exemplo.
Selecione um item de exemplo para ver as Informações de origem do item. Se disponível para o item, esta vista apresenta uma vista avançada de um item selecionado para que possa avaliar a relevância do item, uma vez que está relacionado com a origem e condições de dados de pesquisa definidas.
Observação
Os itens de exemplo gerados são válidos durante 24 horas. Se tiver gerado a vista há mais de 24 horas, volte a gerar a vista para obter os exemplos mais recentes correspondentes à consulta de pesquisa.
Selecione Regenerar vista para voltar a executar a consulta e rever os resultados mais atuais. Selecione Transferir relatórios para combinar todos os Resultados de exemplo num único ficheiro de .csv. Selecione Ver definições para ver as definições aplicadas à geração da vista de exemplo.
Refinar resultados de pesquisa
Com base nas estimativas e estatísticas que a pesquisa devolve, pode editar e refinar a pesquisa. Altere as origens de dados que a pesquisa inclui e altere a consulta de pesquisa para expandir ou restringir a pesquisa. Pode atualizar e executar a pesquisa novamente até ter a certeza de que os resultados da pesquisa contêm o conteúdo mais relevante para o seu caso.
Depois de estar satisfeito com os resultados da pesquisa, pode efetuar as seguintes ações:
- Adicionar os resultados da pesquisa a um conjunto de revisão
- Exportar os resultados da pesquisa
- Criar uma retenção
Diferenças entre estatísticas e resultados de exportação
Quando executa uma pesquisa de Deteção de Dados Eletrónicos, as estatísticas devolvem uma estimativa do número de itens (e do respetivo tamanho total) que correspondem aos critérios de pesquisa. No entanto, o tamanho e o número de resultados de pesquisa exportados reais que transfere diferem do tamanho estimado e do número de resultados da pesquisa.
Várias razões potenciais explicam estas diferenças:
A forma como os resultados são estimados: a estimativa fornece uma estimativa (e não uma contagem real) dos itens que cumprem os critérios da consulta de pesquisa. Para compilar a estimativa de itens do Exchange, a Deteção de Dados Eletrónicos pede à base de dados do Exchange uma lista dos IDs de mensagens que cumprem os critérios de pesquisa. No entanto, quando exporta os resultados da pesquisa, a pesquisa é executada novamente e as mensagens reais são obtidas a partir da base de dados do Exchange. As diferenças podem resultar devido à forma como o número estimado de itens e o número real de itens são determinados.
A forma como o tamanho dos resultados é estimado: durante a estimativa, o tamanho é aproximado. O sistema recolhe um grande número de itens e soma os tamanhos através de aproximações. Deve considerar a estimativa de tamanho como uma ordem de magnitude e não uma medida de tamanho específica. Por exemplo, uma estimativa de tamanho de 10 MB indica que os dados devem estar entre 1 MB e 100 MB. Quanto maior for o número, mais variância existe na estimativa.
- Para conteúdos baseados no Exchange, o tamanho do ficheiro é o tamanho do texto na mensagem e bytes de anexo. Quando exportado, o formato é convertido em .msg e adicionado a ficheiros .pst ou .zip. Ambas as operações podem afetar significativamente o tamanho.
- Para conteúdos baseados no SharePoint, o tamanho do ficheiro é aproximado de bytes do ficheiro. Em muitos casos, para dados baseados no SharePoint, o tamanho do ficheiro não pode ser estimado durante a pesquisa.
Alterações que ocorrem entre o momento em que estima e exporta os resultados da pesquisa: ao exportar os resultados da pesquisa, a pesquisa é reiniciada para recolher os itens mais recentes no índice de pesquisa que cumprem os critérios de pesquisa. É possível que tenham sido criados, enviados ou recebidos itens adicionais que correspondam aos critérios de pesquisa no tempo entre o momento em que os resultados estimados da pesquisa foram recolhidos e quando os resultados da pesquisa foram exportados. Também é possível que os itens que estavam no índice de pesquisa quando os resultados da pesquisa foram estimados já não estejam lá porque são removidos da localização do conteúdo antes de os resultados da pesquisa serem exportados. Para mitigar este problema, especifique um intervalo de datas para uma pesquisa de Deteção de Dados Eletrónicos ou coloque uma suspensão nas localizações de conteúdo para que os itens sejam preservados e não possam ser removidos.
Outros problemas que podem resultar em diferenças entre os resultados de pesquisa estimados e exportados incluem:
Um aumento de itens ao utilizar uma consulta de data. Normalmente, este problema é causado pelas duas coisas seguintes:
- Manter o controlo de versões no SharePoint: se um documento for eliminado de um site em suspensão e o controlo de versões do documento estiver ativado, todas as versões do documento eliminado serão preservadas.
- Itens de calendário: aceite e rejeite mensagens e as reuniões periódicas continuam automaticamente a criar novos itens em segundo plano com datas antigas.
Com suspensões, pode haver casos em que o mesmo item é preservado na caixa de correio principal de um utilizador e na respetiva caixa de correio de arquivo. Esta situação pode ocorrer quando um utilizador move manualmente um item para o respetivo arquivo.
Embora raro, mesmo no caso de uma suspensão ser aplicada, a manutenção de itens de calendário incorporados (que não são editáveis pelo utilizador, mas estão incluídos em muitos resultados de pesquisa) pode ser removida de vez em quando. Esta remoção periódica de itens de calendário resulta em menos itens que são exportados.
Itens não identificados: os itens não identificados para pesquisa podem causar diferenças entre os resultados de pesquisa estimados e reais. Pode incluir itens não identificados ao exportar os resultados da pesquisa. Se incluir itens não identificados ao exportar os resultados da pesquisa, poderão existir mais itens que são exportados. Esta diferença causa uma diferença entre os resultados de pesquisa estimados e exportados.
Ao utilizar a pesquisa, pode incluir itens não identificados ao exportar os resultados da pesquisa. O número de itens não identificados devolvidos pela pesquisa está listado na página de estatísticas. Ao exportar os resultados da pesquisa, pode optar por incluir ou não incluir itens não identificados. A forma como configura estas opções pode resultar em diferenças entre os resultados estimados e os resultados reais exportados.
Versões de documentos no SharePoint e no OneDrive: ao pesquisar sites do SharePoint e contas do OneDrive, várias versões de um documento não são incluídas na contagem de resultados estimados da pesquisa. No entanto, tem a opção de incluir versões de documentos ao exportar os resultados da pesquisa. Se incluir versões de documentos ao exportar os resultados da pesquisa, o número real (e o tamanho total) dos itens exportados aumenta.
Pastas do SharePoint: se as pastas no SharePoint corresponderem a uma consulta de pesquisa, por exemplo, procurar por data, a estimativa de pesquisa inclui uma contagem dessas pastas com o último intervalo de datas modificado (mas não os itens nessas pastas). Ao exportar os resultados da pesquisa, tem a opção de escolher exportar itens dentro de subpastas de uma pasta correspondente ou incluir apenas itens que correspondam à consulta de pesquisa. Esta opção pode afetar o número de itens exportados. Se uma pasta estiver vazia, o número de resultados de pesquisa reais exportados será reduzido por um item, porque a pasta real não é exportada.
Listas do SharePoint: se o nome de uma lista do SharePoint corresponder a uma consulta de pesquisa, a estimativa de pesquisa inclui uma contagem de todos os itens na lista. Ao exportar os resultados da pesquisa, a lista (e os itens de lista) é exportada como um único ficheiro CSV. Pode escolher a definição de exportação que inclui anexos de lista, os anexos são exportados como documentos separados, o que pode aumentar o número de itens exportados.
Formatos de ficheiro não processados versus formatos de ficheiro exportados: para itens do Exchange, o tamanho estimado dos resultados da pesquisa é calculado com os tamanhos de mensagens do Exchange não processados. No entanto, as mensagens de e-mail são exportadas num ficheiro PST ou como mensagens individuais. Ambas as opções de exportação utilizam um formato de ficheiro diferente das mensagens não processadas do Exchange, o que faz com que o tamanho total do ficheiro exportado seja diferente do tamanho estimado do ficheiro.