Compartilhar via

Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos

O construtor de condições fornece uma experiência de pesquisa fácil de utilizar quando cria consultas de pesquisa na Deteção de Dados Eletrónicos. Utilize o construtor de condições em conjuntos de pesquisa e revisão para construir consultas de palavra-chave simples e complexas, consultas com operadores (AND, OR) ou ambos para ajudar a identificar itens na sua organização.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Utilizar o construtor de condições

Para criar uma consulta e filtragem condicional personalizada para a sua pesquisa, utilize os seguintes controlos:

  • A condição Palavras-chave está sempre disponível como primeira condição na sua consulta, facilitando a introdução às tarefas de pesquisa. Esta condição só suporta o operador Igual e é removida da consulta com a opção Eliminar. No campo Valor da condição Palavras-chave, aplique operadores lógicos como AND, OR e NEAR. Por exemplo, introduzir red AND blue trata E como um operador lógico em vez de um palavra-chave literal. Para procurar uma expressão exata como "red and blue", coloque o texto entre aspas. Isto indica ao motor de busca para tratar o texto como uma única cadeia. Também pode selecionar Enter no teclado para criar uma nova grelha para a próxima palavra-chave. Se colar uma lista de palavras-chave separadas por quebras de linha (símbolo de retorno), o sistema gera automaticamente uma grelha separada para cada palavra-chave.

    Quando são introduzidos vários segmentos de palavra-chave com o construtor de condições, a consulta pode ser convertida em KeyQL e cada segmento de palavra-chave é separado por c:s. Se a consulta incluir várias condições de palavra-chave, a KeyQL resultante inclui c:s para garantir palavra-chave segmentação para ver os resultados por segmento. Este comportamento é automático e não requer uma entrada manual de c:s no construtor de KeyQL.

    Observação

    Para gerar um relatório de palavra-chave na vista de estatísticas, tem de preencher pelo menos duas ou mais grelhas palavra-chave. Se introduzir apenas um único palavra-chave, a contagem total de resultados apresentada reflete os resultados desse palavra-chave e não é gerado um relatório de palavra-chave.

  • Adicionar condições: adicione uma condição para as origens de dados específicas para a pesquisa. Para adicionar condições adicionais à consulta, selecione Adicionar condições para apresentar a lista de condições disponíveis. Cada seleção de valor de condição adiciona uma nova condição à consulta. Escolha o operador E/OU conforme adequado.

  • E/OU: estes operadores lógicos condicionais permitem-lhe selecionar a operação de consulta que se aplica a uma condição específica. Estes operadores permitem-lhe utilizar várias condições ligadas à consulta. O operador que segue a condição palavra-chave tem de ser E.

  • Selecionar um operador: consoante a condição selecionada, os operadores compatíveis com a condição estão disponíveis para selecionar. Por exemplo, se selecionar a condição Data , os operadores disponíveis são Antes, Depois e Entre. Se selecionar a condição Tamanho (em bytes), os operadores disponíveis são Maior que, Maior ou igual, Menor ouigual, Entre e Igual.

  • Valor: dependendo da condição selecionada, os valores compatíveis com a condição são apresentados no painel de detalhes do valor ou pode adicionar inline. Consoante o tipo de condição associado ao valor, verá opções para definir, filtrar ou procurar valores associados à condição selecionada. Por exemplo, se selecionar Remetente como a condição, pode procurar e adicionar utilizadores específicos na sua organização ou utilizadores externos. Se selecionar Tamanho (em bytes) como a condição, verá a opção de introduzir um número para o tamanho como o valor. Se o valor estiver em branco, o limite do campo de valor aparece a vermelho para ajudar a notificá-lo de que é necessário um valor.

  • Eliminar uma condição de filtro: para remover uma condição individual, selecione o ícone eliminar à direita de cada linha de filtro.

  • Limpar um valor de filtro: Para limpar o valor de uma condição específica, selecione o ícone remover à direita de cada linha de filtro.

  • Guardar como rascunho: para guardar o conjunto atual de condições como um rascunho, selecione Guardar como rascunho acima da área do construtor de condições.

  • Eliminar: para eliminar quaisquer alterações efetuadas à pesquisa, incluindo condições e origem de dados, selecione Eliminar acima da área do construtor de condições.

Diretrizes para o uso de condições

Tenha em atenção as seguintes diretrizes ao utilizar as condições de pesquisa:

  • Uma condição liga-se logicamente à consulta palavra-chave (especificada na condição palavra-chave) pelo operador AND. Essa ligação significa que os itens têm de satisfazer a consulta palavra-chave e a condição a incluir nos resultados.
  • Todas as condições que se seguem à condição palavra-chave são agrupadas em conjunto.
  • Se adicionar duas ou mais condições exclusivas a uma consulta de pesquisa (condições que especificam propriedades diferentes), essas condições ligam-se logicamente pelos operadores E e OU . Essa ligação significa que a pesquisa devolve apenas itens que satisfazem todas as condições (além de qualquer consulta palavra-chave).
  • Se adicionar múltiplos valores (separados por vírgulas ou pontos e vírgulas) a uma única condição, esses valores ligam-se pelo operador OR . Essa ligação significa que a pesquisa devolve itens se contiverem algum dos valores especificados para a propriedade na condição.
  • Qualquer condição que utilize um operador com lógica Contém e É Igual a devolve resultados de pesquisa semelhantes para pesquisas de cadeias simples. Uma pesquisa de cadeia simples é uma cadeia na condição que não inclui um caráter universal. Por exemplo, uma condição que utiliza Igual a qualquer um dos devolve os mesmos itens que uma condição que utiliza Contém qualquer um dos.
  • A consulta de pesquisa que criar com a caixa palavras-chave e as condições são apresentadas na página Procurar , no painel de detalhes da pesquisa selecionada. Numa consulta, tudo à direita da notação (c:c) indica as condições que adiciona à consulta. Não utilize (c:c) em consultas introduzidas manualmente. (c:c) não é igual a E ou OU.

Localizar e selecionar condições

Quando seleciona Adicionar condições no construtor de condições, obtém acesso rápido a algumas condições frequentemente utilizadas, como Data, Assunto/Título e Participantes , juntamente com as condições que utilizou mais recentemente. Selecione Mostrar mais e o painel Escolher as condições a adicionar é apresentado para o ajudar a refinar a consulta de pesquisa com condições específicas. Utilize as opções nas secções seguintes para o ajudar a escolher as condições aplicáveis.

Condições de filtro por área

Filtre rapidamente a vista de condição para caixas de correio e propriedades do site para ajudar a localizar uma condição específica para a consulta de pesquisa. Filtre as condições disponíveis nos seguintes grupos globais:

  • Tudo: mostra todas as condições e grupos de condição.
  • Comum: filtra e apresenta apenas as condições que se aplicam a caixas de correio e sites.
  • Caixas de correio do Exchange: filtra e apresenta apenas as condições que se aplicam às caixas de correio.
  • Sites do SharePoint e do OneDrive: filtra e apresenta apenas as condições que se aplicam aos sites do SharePoint e do OneDrive.

Seletor de condições

Para procurar rapidamente uma condição específica, utilize o campo Diga-nos o que procura para introduzir o nome da condição. Os resultados filtram automaticamente o filtro para grupos globais. Por exemplo, para procurar qualquer condição denominada Tipo (ou uma que contenha o tipo de termo no nome da condição), selecione Tudo como o filtro global e, em seguida, introduza o tipo no campo Diga-nos o que procura . A vista de condição devolve todas as condições em todos os grupos de condição que contêm o tipo de termo. Selecione a condição aplicável a adicionar à consulta de pesquisa.

A página para escolher que condição adicionar a uma pesquisa.

Importante

Só pode utilizar a Palavra-chave e KeyQL condições uma vez cada uma no construtor de condições.

Exemplo de cenário

O administrador da Deteção de Dados Eletrónicos tem de criar uma consulta para localizar e-mails enviados de User1 para User2 que foram enviados entre 15 de setembro de 2024 e 15 de outubro de 2024 que contém a conformidadee auditoria de palavras-chave. Neste exemplo, o administrador cria a seguinte consulta com o novo construtor de consultas:

  1. Para o primeiro filtro, o administrador utiliza a condição Palavras-chave, o operador Igual e a conformidade, auditar como o Valor palavra-chave.
  2. Em seguida, o administrador seleciona Adicionar condições, seleciona Remetente, seleciona o operador Contém qualquer um dos operadores e, em seguida, introduz User1@contoso.com no campo Valor . Isto pode incluir utilizadores externos.
  3. Em seguida, o administrador seleciona Adicionar condições, seleciona o filtro Para e, em seguida, seleciona o operador Contém qualquer um dos operadores User2@contoso.com e, em seguida, seleciona no campo Valor . Isto pode incluir utilizadores externos.
  4. Para definir o intervalo de datas, o administrador seleciona Adicionar condições, seleciona Data, seleciona o operador Entre e, em seguida, seleciona as datas de início e de fim para o Valor.
  5. Por fim, o administrador seleciona Executar consulta para devolver resultados que correspondam às condições e aos respetivos valores.

Um exemplo de uma pesquisa do construtor de condições.

Utilizar condições de pesquisa

Você pode adicionar condições a uma consulta de pesquisa para restringir uma pesquisa e retornar um conjunto mais refinado de resultados. Cada condição adiciona uma cláusula ao KeyQL consulta de pesquisa que é criada e executada quando inicia a pesquisa.

Caracteres especiais

Alguns carateres especiais não são incluídos no índice de pesquisa e, portanto, não são pesquisáveis. Esta limitação também se aplica aos carateres especiais que representam operadores de pesquisa na consulta de pesquisa. Aqui está uma lista de caracteres especiais que são substituídos por um espaço em branco na consulta de pesquisa real ou causam um erro de pesquisa.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Condições para propriedades comuns

Crie uma condição usando propriedades comuns ao pesquisar caixas de correio e sites na mesma pesquisa. A tabela a seguir lista as propriedades disponíveis a serem usadas ao adicionar uma condição.

Condition Descrição
Tipode conteúdo 1 Aplicado aos itens do Exchange e do SharePoint, refere-se ao tipo ou categoria do conteúdo.

Por exemplo, ContentKind:SharePointDocument, ContentKind:Copilot, etc.
Aplicação deorigem de conteúdo 1 Identifica a aplicação ou o serviço de origem do conteúdo.

Por exemplo, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint, etc.
Date Para o e-mail, a data em que uma mensagem foi criada ou importada a partir de um ficheiro PST. Para documentos, a data em que um documento foi modificado pela última vez.

Se estiver à procura de mensagens de e-mail para um período de tempo específico, utilize a mensagem Condições recebidas e enviadas se não tiver a certeza se as mensagens de e-mail podem ser importadas em vez de serem criadas nativamente no Exchange.
Identificador1 Para o e-mail, o ID de uma mensagem específica. Os IDs de mensagens estão incluídos no registo de auditoria, alertas de prevenção de perda de dados (DLP) ou analisam metadados definidos e permitem-lhe criar uma pesquisa específica para uma mensagem individual.

Para mensagens do Microsoft Teams, o ID da conversa ou reação. O ChatThreadID está incluído no registo de auditoria, alertas de prevenção de perda de dados (DLP) ou rever metadados definidos e permitir-lhe criar uma pesquisa específica para uma conversa ou reação individual.
Sender/Author Para email, a pessoa que enviou uma mensagem. Para documentos, a pessoa citada no campo autor de documentos do Office. Você pode digitar mais de um nome, separado por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.
(Consulte Expansão do Destinatário)
Tamanho (em bytes) Para emails e documentos, o tamanho do item (em bytes).
Subject/Title Para email, o texto na linha de assunto de uma mensagem. Para documentos, o título do documento. A propriedade Título é metadados especificados em documentos do Microsoft Office. Pode escrever o nome de mais do que um valor de assunto/título, separados por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.

Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se adicionar aspas ao valor, são adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolve um erro.
Rótulo de retenção Tanto para e-mail como para documentos, etiquetas de retenção aplicadas a mensagens e documentos. As etiquetas de retenção podem ser utilizadas para declarar registos e ajudá-lo a gerir o ciclo de vida dos dados do conteúdo ao impor regras de retenção e eliminação especificadas pela etiqueta. Para obter mais informações sobre rótulos de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção.

Condições para propriedades de email

Crie uma condição com propriedades de correio ao procurar caixas de correio ou pastas públicas no Exchange Online. A tabela a seguir lista as propriedades de email que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades de email que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Tipo de mensagem Tipo de mensagem para pesquisar. Esta propriedade é igual à propriedade Kind email. Valores possíveis:
  • contacts
  • documentos
  • email
  • externaldata
  • fax
  • mensagem instantânea
  • diários
  • reuniões
  • microsoftteams
  • notes
  • postagens
  • rssfeeds
  • tarefas
  • caixa postal
Participantes Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco. (Consulte Expansão do Destinatário)
Received A data em que uma mensagem de email foi recebida pelo destinatário. Esta propriedade é a mesma que a propriedade E-mail recebido.
Destinatários Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco. (Consulte Expansão do Destinatário)
Remetente O remetente de uma mensagem de email.
Enviado A data em que uma mensagem de email foi enviada pelo remetente. Esta propriedade é igual à propriedade E-mail enviado.
Assunto O texto na linha de assunto de uma mensagem de email.

Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se adicionar aspas ao valor, são adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolve um erro.
Para O destinatário de uma mensagem de email no campo Para.
Tópico1 Resumo do tema ou assunto principal abordado num tópico de e-mail ou conversação.
Classe item A propriedade de classe de mensagem para um item de email. É uma condição de valores múltiplos. Para selecionar várias classes de mensagens, mantenha premida a tecla CTRL e selecione duas ou mais classes de mensagens na lista pendente que pretende adicionar à condição. Cada classe de mensagem selecionada na lista está logicamente ligada pelo operador OR na consulta de pesquisa correspondente.

Para obter uma lista das classes de mensagens (e o respetivo ID de classe de mensagem correspondente) utilizadas pelo Exchange e que pode selecionar na lista Classes de mensagens, consulte Tipos de Itens e Classes de Mensagens.

Condições para propriedades de documentos

Crie uma condição com as propriedades do documento ao procurar documentos em sites do SharePoint e do OneDrive. A tabela a seguir lista as propriedades de documentos que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades do site que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Autor O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um utilizador criar um documento e enviar um e-mail para outra pessoa que o carregue para o SharePoint, o documento ainda mantém o autor original.
Criado em A data em que um documento foi criado.
Tipo de arquivo A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. Essa propriedade é igual à propriedade de site FileExtension.

Nota: Se incluir uma condição Tipo de ficheiro utilizando o operador É Igual ou Igual a qualquer um dos operadores numa consulta de pesquisa, não pode utilizar uma pesquisa de prefixo (ao incluir o caráter universal ( * ) no final do tipo de ficheiro) para devolver todas as versões de um tipo de ficheiro. Se o fizer, o caráter universal é ignorado. Por exemplo, se incluir a condição Equals any of doc*, apenas os ficheiros com uma extensão de .doc são devolvidos. Os ficheiros com uma extensão de .docx não são devolvidos. Para devolver todas as versões de um tipo de ficheiro, utilize o par property:value numa consulta palavra-chave; por exemplo, filetype:doc*.
Última modificação A data em que um documento foi alterado pela última vez.
Caminho1 O URL ou a localização de um ficheiro ou pasta num site do SharePoint.
Tipo de informações confidenciais (SIT)1 Tipos de informações confidenciais incluídos em documentos. Os SITs são classificadores baseados em padrões e detetam informações confidenciais como segurança social, card de crédito ou números de contas bancárias para identificar itens confidenciais. Para obter mais informações sobre SITs, veja Saiba mais sobre tipos de informações confidenciais.
Etiqueta deconfidencialidade 1 Etiquetas de confidencialidade aplicadas a documentos. As etiquetas de confidencialidade permitem-lhe classificar e proteger os dados da sua organização, ao mesmo tempo que garante que a produtividade do utilizador e a capacidade de colaboração não são dificultadas. Para obter mais informações sobre etiquetas de confidencialidade, consulte Saiba mais sobre etiquetas de confidencialidade.
Título O título do documento. A propriedade Title consiste em metadados que são especificados em documentos do Office. É diferente do nome do arquivo do documento.

Operadores usados com condições

Quando adicionar uma condição, selecione um operador que corresponda ao tipo de propriedade da condição. A tabela seguinte descreve os operadores que trabalham com condições e lista o operador equivalente utilizado na consulta de pesquisa.

Operador Equivalente de consulta Descrição
After property>date Utilize com condições de data. Retorna itens que foram enviados, recebidos ou modificados após a data especificada.
Before property<date Utilize com condições de data. Retorna itens que foram enviados, recebidos ou modificados antes da data especificada.
Between date..date Use com condições de data e tamanho. Quando utilizado com uma condição de data, devolve itens que foram enviados, recebidos ou modificados dentro do intervalo de datas especificado. Quando usado com uma condição de tamanho, retorna itens cujo tamanho está dentro do intervalo especificado.
Contains any of (property:value) OR (property:value) Utilize com condições para propriedades que especifiquem um valor de cadeia. Retorna itens que contêm qualquer parte de um ou mais valores da cadeia de caracteres especificada.
Doesn't contain any of -property:value

NOT property:value

 Utilize com condições para propriedades que especifiquem um valor de cadeia. Retorna itens que não contêm qualquer parte do valor da cadeia de caracteres especificada.
Doesn't equal any of -property=value

NOT property=value

 Utilize com condições para propriedades que especifiquem um valor de cadeia. Retorna itens que não contêm a cadeia de caracteres específica.
É igual a2 size=value Retorna itens que são iguais ao tamanho especificado.
Igual a qualquer (property=value) OR (property=value) Utilize com condições para propriedades que especifiquem um valor de cadeia. Devolve itens que correspondem a um ou mais valores de cadeia especificados.
Maior2 size>value Retorna itens em que a propriedade especificada é maior do que o valor especificado.
Maior ou iguala 2 size>=value Retorna itens em que a propriedade especificada é maior ou igual ao valor especificado.
Menos2 size<value Devolve itens inferiores ao valor especificado.
Menor ou iguala 2 size<=value Devolve itens menores ou iguais ao valor especificado.
Não iguala 2 size<>value Retorna itens que não são iguais ao tamanho especificado.

Observação

1 Este operador é uma condição de funcionalidade premium de Deteção de Dados Eletrónicos.

2 Este operador está disponível apenas para condições que utilizam a propriedade Tamanho .

  • Last updated on