Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Pode utilizar a pesquisa no Investigações de Segurança de Dados para procurar conteúdos do Microsoft 365, como e-mail, documentos e conversações de mensagens instantâneas na sua organização que sejam relevantes para um incidente de segurança. Utilize a pesquisa para localizar conteúdos nestas origens de dados do Microsoft 365 baseadas na cloud:
| Fonte de dados | Tipo de conteúdo pesquisado | Exemplos de conteúdo de risco |
|---|---|---|
| Exchange Online | E-mails e anexos em caixas de correio de utilizador | Credenciais ou segredos enviados por e-mail, ficheiros confidenciais partilhados externamente. |
| Microsoft Copilot | Pedidos e respostas de IA | Dados confidenciais em pedidos de Copilot ou IA. |
| Microsoft Teams | Mensagens de chat (1:1 e conversas de grupo) e mensagens de canal | Segredos incluídos em conversas, informações confidenciais em conversações do Teams. |
| OneDrive | Arquivos do usuário | Ficheiros de utilizador com chaves de acesso seguro, exportação de bases de dados e muito mais. |
| SharePoint | Documentos e ficheiros em sites | Documentos que contêm palavras-passe, dados do cliente ou planos confidenciais. |
Pode criar e executar diferentes pesquisas associadas a uma investigação. Utilize condições como palavras-chave, tipos de ficheiro, incidentes e muito mais para criar consultas de pesquisa que devolvem resultados de pesquisa com os dados mais relevantes para a investigação. Você também pode:
- Veja as estatísticas de pesquisa que o ajudam a refinar uma consulta de pesquisa para restringir os resultados.
- Pré-visualize os resultados da pesquisa para verificar rapidamente se está a encontrar os dados relevantes.
- Revise uma consulta e execute novamente a pesquisa.
Considere as atividades que desencadearam a investigação. Por exemplo, partilha ou fuga de palavras-passe comunicadas, um ficheiro suspeito, trabalho com uma equipa de desenvolvimento externo ou um alerta sobre a transferência de dados ou pessoas ou equipas específicas que possam estar envolvidas. Utilize estas informações para ajudar a desenvolver a sua consulta de pesquisa inicial. Por exemplo, se um administrador tiver comunicado que as palavras-passe podem ser armazenadas em texto simples no SharePoint, comece por procurar palavras-chave ou nomes de ficheiros conhecidos no SharePoint e no OneDrive, ou sites específicos do SharePoint geridos por equipas de engenharia.
Quando estiver satisfeito com os resultados de uma pesquisa e estiver pronto para rever e analisar os resultados, adicione-os a um âmbito de investigação na investigação. Adicionar cópias dos dados originais a um âmbito de investigação também facilita o processo de análise e análise de IA ao fornecer-lhe ferramentas avançadas de categorização, análise e pesquisa de vetores.
Ferramentas de pesquisa do Access
Selecione Resumo nas opções de navegação na parte superior de qualquer página numa investigação específica para aceder às ferramentas de pesquisa.
As ferramentas de pesquisa incluem o seletor de origens de dados, o construtor de consultas e as opções de pesquisa por ficheiro. Pode refinar as origens e condições de dados da consulta de pesquisa em qualquer altura durante a investigação e adicionar os resultados a um âmbito de investigação.
Fontes de dados
No Microsoft 365, os dados são armazenados em três plataformas: Exchange, Teams e SharePoint. Estas plataformas servem de base para organizar e gerir dados em aplicações do Microsoft 365.
Importante
Se definir um site status como Bloqueado e definir o site como NoAccess, Investigações de Segurança de Dados não devolve os resultados da pesquisa. Para obter mais informações sobre a gestão dos estados de bloqueio do site, veja Bloquear e desbloquear sites. Além disso, se restringir um documento no arquivo de conteúdos, o investigador Investigações de Segurança de Dados tem de ser um administrador do site, proprietário do site ou o proprietário ou último modificador do documento restrito para aceder ao mesmo no Investigações de Segurança de Dados. Para obter mais informações sobre conteúdo restrito, veja Referência da política de Prevenção de Perda de Dados.
A maioria das aplicações do Microsoft 365 armazena dados num ou mais dos seguintes contentores:
- Utilizadores: dados associados a utilizadores individuais, como o correio, mensagens do Teams 1:1 e ficheiros do OneDrive.
- Grupos: dados pertencentes à organização ou a um grupo de utilizadores numa organização. Estes grupos são frequentemente referidos como Grupos Unificados ou Equipas.
No Investigações de Segurança de Dados, o conceito de origens de dados simplifica o processo de identificação e gestão de dados em todas as plataformas do Microsoft 365. Os analistas selecionam um utilizador ou grupo e as pesquisas de âmbito para essas origens de dados. Os analistas podem refinar o âmbito ao selecionar ou excluir localizações específicas.
Os analistas também podem utilizar origens de toda a organização para efetuar pesquisas na sua organização. As origens ao nível da organização incluem:
- Todas as pessoas e grupos: inclui todos os utilizadores e todos os grupos na sua organização.
- Todas as pastas públicas: inclui todo o conteúdo em caixas de correio de pastas públicas do Exchange.
Construtor de consultas
A opção Construtor de consultas na pesquisa fornece uma experiência de filtragem visual quando cria consultas de pesquisa no Investigações de Segurança de Dados. Uma vez que irá utilizar as ferramentas de análise de IA para identificar rapidamente dados aplicáveis em itens devolvidos pela sua pesquisa, uma estratégia é alargar o âmbito de pesquisa para incluir mais origens de dados. Isto ajuda a reduzir a possibilidade de excluir qualquer conteúdo relevante para revisão.
Utilize o construtor de consultas para construir consultas complexas com funcionalidades adicionais, incluindo AND, OR e agrupamento de condições. Estas funcionalidades no construtor de consultas ajudam-no a criar consultas de forma mais eficaz, a fornecer uma interface visual para agrupar subconsultas e a fornecer espaço adicional para consultas complexas palavra-chave a serem construídas e revistas.
Utilizar o construtor de consultas
Para criar uma consulta e filtragem personalizada para a sua pesquisa, utilize os seguintes controlos:
- E/OU: estes operadores lógicos condicionais ajudam-no a escolher a condição de consulta que se aplica a filtros específicos e subgrupos de filtro. Utilize estes operadores para incluir vários filtros ou subgrupos ligados a um único filtro na consulta.
- Selecione um filtro: selecione filtros para as origens de dados específicas e o conteúdo de localização que selecionar para a coleção.
- Adicionar filtro: adicione vários filtros à consulta. Esta opção fica disponível depois de definir, pelo menos, um filtro de consulta.
- Selecionar um operador: consoante o filtro selecionado, pode escolher entre operadores compatíveis. Por exemplo, se selecionar o filtro Data , pode escolher entre Antes, Depois e Entre. Se selecionar o filtro Tamanho (em bytes), pode escolher entre Maior que, Maior ou igual, Menor ouigual, Entre e Igual.
- Valor: dependendo do filtro selecionado, introduza valores compatíveis. Alguns filtros suportam vários valores, enquanto outros suportam um único valor específico. Por exemplo, se selecionar o filtro Data , introduza os valores de data. Se selecionar o filtro Tamanho (em bytes), introduza um valor para bytes.
- Adicionar subgrupo: depois de definir um filtro, adicione um subgrupo para refinar os resultados devolvidos pelo filtro. Também pode adicionar um subgrupo a um subgrupo para refinamento de consultas multicamadas.
- Remover uma condição de filtro: para remover um filtro ou subgrupo individual, selecione o ícone remover à direita de cada linha de filtro ou subgrupo.
- Limpar tudo: para limpar toda a consulta de todos os filtros e subgrupos, selecione Limpar tudo.
Exemplo de cenário
Um analista de Investigações de Segurança de Dados precisa de criar uma consulta para qualquer item que inclua o palavra-chave confidencial utilizado entre 1 de janeiro de 2025 e 16 de março de 2025*. Neste exemplo, o analista cria a seguinte consulta com o construtor de consultas:
- Para o primeiro filtro, o analista seleciona Palavra-chave, seleciona o operador Igual e, em seguida, introduz confidencial no controlo Valor .
- Em seguida, o analista seleciona Adicionar subgrupo e o operador E e , em seguida, o filtro Adicionar.
- O analista seleciona o filtro Data , o operador Entre e as datas de início e de fim do Valor.
- O analista seleciona Guardar para guardar a consulta e, em seguida, Rever âmbito para executar a consulta de pesquisa.
Criar uma consulta de pesquisa com Microsoft Security Copilot
A opção Consultar com o Copilot na pesquisa permite-lhe utilizar linguagem natural e Microsoft Security Copilot para gerar rapidamente uma consulta personalizada no construtor de consultas. Utilize esta opção para construir consultas complexas com funcionalidades adicionais, incluindo AND, OR e agrupamento de condições, tudo ao utilizar pedidos de linguagem natural.
Esta funcionalidade também ajuda a criar consultas mais facilmente ao utilizar pedidos predefinidos para cenários comuns. Também o ajuda a refinar e melhorar pedidos personalizados para consultas de pesquisa mais precisas. Também pode optar por utilizar sugestões de pedidos como ponto de partida para criar e refinar consultas de QL por palavra-chave (KeyQL) para cenários de pesquisa comuns ou personalizados.
Para criar uma consulta de pesquisa com o Copilot, conclua os seguintes passos:
- Selecione origens de dados para a consulta e, em seguida, selecione Consultar com o Copilot.
- Introduza a sua pergunta de consulta de pesquisa no campo Descrever o que pretende localizar . Pode incluir o utilizador, a origem de dados e outros detalhes de conteúdo, conforme aplicável.
- Selecione Ver pedidos para selecionar uma das seguintes sugestões de pedido:
- Localizar todos os e-mails com as palavras orçamento e finanças e ter anexos
- Procurar ficheiros do tipo .docx que contenham as palavras confidencial e orçamento
- Selecione Rever âmbito para ver estimativas e estatísticas da pesquisa ou adicione os resultados diretamente ao âmbito da investigação. Se quiser guardar os parâmetros de consulta que define e executar a consulta mais tarde, selecione Guardar.
Localizar a partir do ficheiro
A opção De ficheiro permite-lhe carregar um ou mais ficheiros para encontrar conteúdo relacionado para uma investigação específica. Utilize uma atividade de auditoria .csv ficheiro para localizar mensagens e ficheiros relacionados para um utilizador específico num período de tempo específico. Cada ficheiro está limitado a um tamanho de ficheiro máximo de 10 MB e os ficheiros podem ser .csv. O construtor de consultas é desativado ao procurar por ficheiro.
Investigações de Segurança de Dados suporta apenas tipos de operações de atividade de auditoria específicos ao procurar por ficheiro. Se um ficheiro de registo de auditoria carregado não contiver nenhum dos seguintes tipos de operação suportados, a pesquisa utiliza uma consulta vazia e não devolve itens correspondentes.
- FileAccessed
- FileDownloaded
- FileUploaded
- MessageRead
- MessageSent
- SearchQueryInitiatedExchange
- Enviar
- SubscribedToMessages
- ThreadViewed
- TranscriçõesExportadas
Âmbito dashboard
O separador Pesquisa apresenta estatísticas e métricas para os resultados de dados incluídos na consulta de pesquisa. Esta vista ajuda-o a determinar se os resultados da consulta de pesquisa estão prontos para serem adicionados ao âmbito da investigação ou se precisa de refinar a consulta para obter resultados mais amplos ou mais estreitos.
Os resultados da pesquisa do âmbito dashboard estão incluídos nas secções seguintes:
Resumo: mostra o número de acessos de pesquisa, localizações, origens de dados e o tamanho total do ficheiro de itens parcialmente indexados.
- Total de correspondências: apresenta a contagem total de resultados da pesquisa e o volume de todos os itens que correspondem aos critérios de consulta das localizações pesquisadas.
- Localizações: apresenta a fração de localizações com resultados de todas as localizações pesquisadas. O numerador mostra as localizações com resultados e o denominador mostra o número de localizações pesquisadas. As localizações com erros aparecem a vermelho. Para ver todos os detalhes sobre todas as localizações e resultados e erros associados, selecione Transferir relatório para transferir o relatório de .csv completo.
- Origens de dados: apresenta a fração de origens de dados com resultados de todas as origens de dados pesquisadas. O numerador mostra as origens de dados com resultados e o denominador mostra o número de origens de dados incluídas na pesquisa. Esta origem de dados é consistente com a origem de dados no fluxo de estrutura da pesquisa e deve corresponder ao número de pessoas ou grupos incluídos na pesquisa. Uma origem de dados ao nível do inquilino de Todas as pessoas e todos os grupos conta como uma única origem de dados.
- Itens parcialmente indexados ou "Resultados de itens indexados avançados": apresenta a contagem e o volume de itens parcialmente e não indexados devolvidos como parte da pesquisa. A contagem de resultados indexadas avançada provém de um exemplo de estatística nos itens parcialmente indexados, os resultados reais podem ser mais e pode confirmar com o suplemento para um conjunto de revisões e exportar ações de resultados da pesquisa.
- Principais origens de dados: apresenta as cinco principais origens de dados que compõem mais resultados de pesquisa correspondentes à sua consulta. Os nomes destas origens de dados (nomes de utilizadores, grupos ou localizações em toda a organização) estão listados com a contagem de resultados. Estas origens de dados devem corresponder ao que selecionou no fluxo de trabalho das origens de dados ao criar a consulta de pesquisa.
- Indexação status: discriminação de itens de dados não indexados (incluindo parcialmente indexados) e de dados totalmente indexados.
- Tipo de localização superior: contagem de resultados por tipo de localização (caixa de correio versus site).
Selecione Regenerar vista para voltar a executar a consulta e para rever os resultados mais atuais. Selecione Transferir relatório para combinar todos os resultados do Âmbito num único ficheiro de .csv. Ao ver os 100 melhores resultados de qualquer área de tendência, selecione Transferir relatório para um ficheiro .csv dos 100 melhores resultados da tendência de êxito selecionada.
Exemplos dashboard
Os exemplos permitem-lhe inspecionar um subconjunto representativo de itens individuais e detalhes de cada item devolvido para a pesquisa. O número de amostras por localização e o número de localizações de exemplo definidas na pesquisa determinam o número de itens de exemplo e a representação da localização nos itens de exemplo.
Os resultados da pesquisa das colunas samples dashboard contêm as seguintes informações para cada item:
- Assunto/Título: o assunto ou título dos itens incluídos no exemplo.
- Data: a data em que o item foi criado ou enviado.
- Remetente/Autor: o remetente ou autor do item.
Selecione um item de exemplo para ver as Informações de origem do item. Se disponível para o item, esta vista apresenta uma vista avançada de um item selecionado para que possa avaliar a relevância do item, uma vez que está relacionado com a origem e condições de dados de pesquisa definidas.
Selecione Transferir relatórios para combinar todos os Resultados de exemplo num único ficheiro de .csv. Selecione Ver definições para ver as definições aplicadas à geração da vista de exemplo.