通过

在电子数据展示中创建事例搜索

在电子数据展示中使用搜索来查找组织中与案例相关的就地内容,例如电子邮件、文档和即时消息对话。 使用搜索查找这些基于云的Microsoft 365 个数据源中的内容:

  • Exchange Online 邮箱
  • SharePoint 网站
  • OneDrive 账户
  • Microsoft Teams
  • Microsoft 365 组
  • Viva Engage

可以创建并运行与案例关联的不同搜索。 使用条件(如关键字)生成搜索查询,以返回搜索结果,其中包含与案例最相关的数据。 还可以执行以下操作:

  • 查看可能有助于优化搜索查询以缩小结果范围的搜索统计信息。
  • 预览搜索结果以快速验证是否找到相关数据。
  • 修改查询并重新运行搜索。

搜索并找到与调查相关的数据后,可以将结果发送到评审集以供进一步调查,或将其导出以供调查团队外部的人员审阅。

注意

对于具有欧盟一般数据保护条例 (GDPR) 要求以在欧盟 (欧盟) 内保护和启用个人隐私的组织,还可以管理调查,以响应数据主体请求 (DSR) 由组织中的人员提交。 用户数据搜索案例工具已停用,其功能已与电子数据展示合并。 现在,可以使用搜索在电子数据展示搜索支持的所有位置查找支持 DSR 的内容。

提示

开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®

搜索提示

  • 所有搜索的时区为协调世界时 (UTC) 。 无法更改组织的时区。 搜索视图中的时区显示设置仅适用于 “数据 ”列中的值,不会影响所收集项目的时间戳。

  • 关键字搜索不区分大小写。 例如, catCAT 将返回相同的结果。

  • 布尔运算符 ANDORNOTNEAR 必须为大写。

    重要

    “KeyQL条件”字段中使用这些运算符。 搜索不支持 “关键字 条件”字段中的这些运算符。 搜索将这些运算符视为文本关键字。

  • 使用引号会停止通配符和引号内的任何作。

  • 两个关键字或两个 property:value 表达式之间的空格与使用 OR 相同。 例如, from:"Sara Davis" subject:reorganization 返回由 Sara Davis 发送的所有消息或主题行中包含单词重组的消息。 但是,在单个查询中混合使用空格和 OR 条件可能会导致意外结果。 在单个查询中使用空格或 OR

  • 使用与格式匹配的 property:value 语法。 值不区分大小写,并且运算符后面不能有空格。 如果有空格,则预期值为全文搜索。 例如to: pilarp,搜索“pilarp”作为关键字 (keyword) ,而不是搜索发送到 pilarp 的消息。

  • 在搜索收件人属性(如 To、From、Cc 或 Recipients)时,您可以使用 SMTP 地址、别名或显示名来表示收件人。 例如,可以使用 pilarp@contoso.com、pilarp 或“Pilar Pinilla”。

  • 只能使用前缀搜索;例如 cat*set*。 不支持后缀搜索 (*cat) 、 (c*t) 的内缀搜索以及 (*cat*) 的子字符串搜索。

  • 在搜索属性时,如果搜索值包含多个单词,则使用双引号 (" ")。 例如, subject:budget Q1 返回在主题行中包含 预算 的消息,以及邮件中的任何位置或任何消息属性中包含 Q1 的消息。 使用 subject:"budget Q1" 返回主题行中任意位置包含 预算 Q1 的所有消息。

  • 若要将使用某个属性值标记的内容从搜索结果中排除,请在属性名称前放置减号 (-)。 例如, -from:"Sara Davis" 排除 Sara Davis 发送的任何消息。

  • 可以根据消息类型导出项目。 例如,若要在 Microsoft Teams 中导出 Skype 对话和聊天,请使用 语法 kind:im。 若要仅返回电子邮件,请使用 kind:email。 若要返回 Microsoft Teams 中的聊天、会议和通话,请使用 kind:microsoftteams

  • 搜索网站时,使用 path 属性仅返回指定网站中的项时,必须向 URL 末尾添加尾随/。 如果未包含尾随 /,则还会返回具有类似路径名称的网站中的项目。 例如,如果使用 path:sites/HelloWorld ,则还会返回名为 sites/HelloWorld_Eastsites/HelloWorld_West 的网站中的项。 若要仅从 HelloWorld 网站返回项目,必须使用 path:sites/HelloWorld/

  • 在收集内容之前,必须在搜索查询中定义查询 语言/国家/地区

  • “已发送 ”文件夹中搜索电子邮件时,搜索不支持使用发件人的 SMTP 地址。 “已发送”文件夹中的项目仅包含显示名称。

创建搜索查询

提示

你更喜欢交互式配置指南体验吗? 请查看 设计搜索 指南。

创建新案例时,会自动定向到事例中的“ 搜索 ”选项卡,并且已准备好为案例创建搜索。 还可以在组织中的“内容搜索”案例中创建新的搜索。 搜索可帮助你查找要为案例收集的项目。

  1. 选择“在案例 中创建搜索 ”或“内容搜索案例”。 如果这是没有任何先前搜索的新案例,还可以在“开始搜索相关数据”下的主窗格中选择“创建搜索”。

  2. “输入详细信息以开始使用 ”页上,填写以下字段:

    • 搜索名称:为搜索提供所需的) (名称。 搜索名称在组织中必须唯一。
    • 搜索说明:添加可选说明以帮助其他人了解此搜索。

  3. 选择“ 创建 ”以创建新的搜索并启动查询以查找案例的相关数据。

  4. 在搜索的“ 查询 ”选项卡上,添加用于搜索的数据源。 若要向搜索查询添加数据源,请参阅 电子数据展示中的数据源 获取分步指南。

  5. 选择“ 管理 ”以更新与所选源关联的邮箱或站点。 否则,请选择“ 保存并关闭”。

  6. 查看所选内容,并确认每个数据源包含的资源。 选择“保存”。 你限定了搜索查询所检查的数据源的范围。

  7. “数据源 ”部分中,为数据源的管理选项选择任何数据源的省略号菜单。

    对于管理选项,请从以下选项中进行选择:

    • 管理数据源:管理所选用户或站点的数据源。
    • 禁用邮箱:禁用所选用户或站点的邮箱。 再次选择此选项,为用户或站点启用邮箱。
    • 禁用站点:禁用所选用户或站点的网站。 再次选择此选项,为用户或站点启用站点。
    • 频繁协作者:为经常与所选用户协作的用户选择关联的邮箱和网站。
    • 管理员:选择用户经理的关联邮箱和站点。
    • 直接下属:选择用户的直接下属的关联邮箱和网站。
    • 用户拥有的组:选择用户所属组的关联邮箱和网站。
    • 用户所属的组:选择用户所属组的关联邮箱和网站。

    对于组源,请从以下选项中进行选择:

    • 成员:选择属于组成员的人员的关联邮箱和网站。

  8. 使用 “数据源” 命令栏控件可根据需要添加、更新、同步和搜索其他数据源进行搜索。

    • 搜索和添加:选择 + 图标以添加数据源。
    • 管理:选择铅笔图标以管理分配的数据源。
    • 同步:选择同步图标以同步数据源,并将数据源更新为组织中的最新数据源。
    • 搜索:选择搜索图标以搜索当前包含在搜索查询中的数据源。

  9. 若要定义搜索查询的参数,请从“ 查询 ”选项卡上的以下选项中进行选择:

    • 条件生成器:在电子数据展示中生成搜索查询时,搜索中的 条件生成器 选项提供易于使用的搜索体验。 使用关键字或自定义条件来集中搜索查询的范围。 此外,还可以在搜索中使用关键字查询语言 (KeyQL) 查询条件选项,该选项可提供指导,并使你能够快速将复杂的长查询直接粘贴到编辑器中。 它还有助于从头开始生成搜索查询,识别潜在错误并显示有关如何解决问题的提示。

      还可以使用 智能 Microsoft Security Copilot 副驾驶® 快速生成用于搜索的KeyQL查询。 有关指导,请参阅本文中的 以下部分

    • 按文件 (预览) 搜索 :上传一个或多个文件以查找特定案例的相关或类似内容。 使用审核活动 csv 在特定时间范围内查找特定用户的相关消息和文件。 或者提供示例证据来查找类似内容。 每个文件的最大文件大小限制为 10 MB,文件可以是 csv 或 txt。 按文件搜索时,将禁用查询生成和KeyQL选项。

  10. 选择 运行查询。 如果要保存定义的查询参数并稍后运行查询,请选择“ 另存为草稿”。

按文件 (预览) 搜索

注意

此功能处于早期预览阶段。 检查审阅集或导出结果的完整性和精度。 在预览期间,我们保留根据反馈进行修改或停止功能的权利。

此功能通过两种方式帮助电子数据展示调查人员:

按类似文件搜索

在当今的数字工作场所中,重要文档经常被复制、修改和移动,以存储在多个位置。 当调查人员拥有示例文档并想要查找类似内容时,此功能会分析上传的示例证据文件以提取最独特的字词,并自动生成一个查询来查找概念上相似的文件。 此功能对于识别手动查询表述具有挑战性的专用或唯一文档的变体特别有用。

按审核日志搜索

对于涉及审核日志的调查,该功能接受输入审核日志 CSV。 它使用审核日志条目 ((例如发送的消息或) 访问的文档)查找搜索范围中的相关文件,并使用审核日志中的信息(如标识符或位置)查找匹配的文档或消息。 此功能使调查人员能够将审核活动链接到租户中的相关内容。

对于这两种情况,当你将项目添加到审阅集时,匹配项将分组到输入证据文件或审核日志下,以便于评审。

使用Microsoft Copilot (预览) 创建KeyQL搜索查询

使用搜索中的自然语言查询 (预览) KeyQL 生成器选项,可以使用自然语言和智能 Microsoft Security Copilot 副驾驶®快速生成关键字查询语言 (KeyQL) 语句。 使用生成器构建具有额外功能(包括 AND、OR 和条件分组)的复杂查询,同时使用自然语言提示。

此功能通过使用预定义的提示(例如方案)来帮助更轻松地生成查询。 它还允许优化和增强自定义提示,以便更准确的搜索查询。 还可以选择使用提示建议作为起点,为常见或自定义搜索方案创建和优化KeyQL查询。

若要使用 Copilot 创建搜索查询,请完成以下步骤:

  1. 选择查询的数据源后,选择“ 使用 Copilot 起草查询”。
  2. “自然语言提示 ”窗格中,选择以下选项之一:
    • 输入搜索查询问题。 可以包括用户、数据源和其他内容详细信息(如果适用)。
    • 选择“ 查看提示 ”,选择以下提示建议之一:
      • 查找包含“预算”和“财务”一词的所有电子邮件,并具有附件
      • 搜索 2020 年 1 月包含“财务年度”一词的所有聊天
      • 搜索包含“机密”和“预算”一词的 .docx 类型的文件
  3. 查看自然语言提示。 若要使用 Copilot 优化提示,请选择“ 优化”。
  4. 完成提示后,选择“生成KeyQL”。
  5. 在关键字查询语言 (KeyQL) 结果窗格中查看KeyQL查询。 如果需要优化KeyQL查询结果,可以在“自然语言提示”窗格中更新提示,然后再次选择“生成KeyQL”。 1. 完成KeyQL结果后,选择“复制KeyQL”。
  6. 将KeyQL结果粘贴到“关键字查询语言 (KeyQL) ”选项卡上的查询字段中。可以使用 Copilot 关闭“草稿”查询
  7. 选择 运行查询。 如果要保存定义的查询参数并稍后运行查询,请选择“ 另存为草稿”。

运行搜索查询

手动或使用 Security Copilot 创建搜索查询后,即可运行查询并生成搜索结果。

若要运行搜索查询,请完成以下步骤:

  1. 转到 Microsoft Purview 门户 ,并使用分配有电子数据展示权限的用户帐户的凭据登录。

  2. 选择电子数据展示解决方案卡,然后在左侧导航栏中选择“案例 (预览) ”。

  3. 选择一个案例。 在“ 搜索 ”选项卡上,选择保存的搜索。

  4. 选择 运行查询

  5. 选择“ 运行查询”后,会看到 “选择搜索结果 ”浮出控件窗格。 选择要为查询及其设置生成的视图。 可以选择 “统计信息 ”或 “示例” 视图:

    • 统计信息:此视图生成按排名靠前的指标排列的收集的数据估计摘要。 选择以下一个或多个选项:

    • 包括类别:优化视图以包括人员、敏感信息类型、项目类型和错误。

    • 包含查询关键字报告:评估搜索查询不同部分关键字 (keyword) 相关性/

    • 调查部分索引项:部分索引项通常按计数占数据源中内容的大约 1%。 选择此选项 (,并且仅此选项) , (项计数和位置) 有关所选数据源中包含的部分索引项的摘要信息,以便进行搜索。 不会重新编制索引或处理部分索引项。 若要进一步处理作用域内数据源中的部分索引项,请考虑以下高级索引选项:

      • 在没有搜索命中的位置排除部分索引项:如果选中部分索引项,则选择此附加选项会减少 (或高级索引选项的范围,方法是将部分索引项的包含限制为仅包含与搜索相关的项目的数据源) 。 这不包括与搜索相关的任何项的数据源中的部分索引项。

        例如,选择多个邮箱、SharePoint 网站和 OneDrive 网站作为搜索的数据源。 运行搜索时,只有少数邮箱和网站具有与搜索条件相关的项目索引,其余邮箱和网站不包含任何与搜索条件相关的本机索引项目。 如果选择此选项,则包含与搜索相关的本机索引项目的邮箱和网站中的部分索引项目将包含在搜索统计信息结果中。 邮箱和网站中不包含与搜索相关的任何本机索引项目的部分索引项将被忽略,并且不会在搜索统计信息结果中报告。

      • 对部分索引项执行高级索引编制:高级索引的运行范围取决于是否选择了“ 排除位置中的部分索引项,而不搜索命中 ”选项。 高级索引进程运行范围内部分索引项的统计信息示例,并确定这些项是否与查询匹配:

        • 使用排除位置中部分索引的项目”选项选中:此设置仅适用于具有与搜索查询匹配的完全索引项的数据源。 将对这些项进行采样、编制索引,并且与搜索查询匹配的项目显示在搜索统计信息中, () 适用。
        • 选中时没有“在未搜索命中的位置中排除部分索引的项目”选项:此设置适用于搜索中包含的所有数据源中的所有部分索引项。 将对所有项进行采样、编制索引,并且与搜索查询匹配的项目显示在搜索统计信息中, () 适用。

        重要

        此功能不适用于 格式受限 的情况。

    • 示例:此视图生成完整搜索结果的代表性选择。 定义以下选项的参数:

      • 选择每个位置要生成的示例项数:选择 110100
      • 选择要从中获取样本的位置数:选择 10、100100010000

  6. 电子数据展示中的租户范围的源配置选项允许在组织范围的搜索期间包括其他数据源。 添加更多数据源可能会导致搜索花费的时间比平时更长。

    将组织范围的源“所有用户和组”配置为包含一个或多个用户或内容类型:

    • “所有用户和组”应包括未经许可的用户和本地用户
    • “所有用户和组”应包括来宾用户
    • “所有用户和组”应包括共享 Teams 频道
    • “所有用户和组”应包括离职用户

  7. 选择“ 运行查询” 以立即运行查询。

根据所选的查询视图选项,会自动定向到 “统计信息 ”或“ 示例 ”选项卡。搜索查询评估将启动,并计算处理查询的剩余时间。 有关评估和微调搜索结果的详细信息,请参阅 查看和评估搜索结果

在某些情况下,基于现有搜索创建新的搜索可能会有所帮助。 此方法维护原始数据源和搜索,同时进行修改以获取新的搜索统计信息,而无需更改原始搜索。 创建重复搜索时,将保留新搜索中原始搜索中的所有数据源和搜索。 此方法可保留原始搜索的完整性,并使你能够探索新的见解。

若要从现有搜索创建新搜索,请完成以下步骤:

  1. 选择一个案例。 在“ 搜索 ”选项卡上,打开搜索。
  2. 选择“复制”。
  3. 将在同一情况下自动创建一个新搜索。

新的搜索名称包括源搜索标题,其前缀为 “ 副本 ” ,并追加了时间戳。 例如,如果源搜索标题为 “搜索预算电子邮件”,则新的搜索标题为 “搜索预算电子邮件的副本 + 时间戳”。 若要编辑新的搜索标题,请选择标题文本旁边的编辑控件。

从现有保留创建新的搜索

在某些情况下,基于现有保留创建新的搜索可能会有所帮助。 此方法允许使用原始数据源和用于保留的搜索来运行新的搜索。 从现有保留创建搜索时,将保留新搜索中的所有数据源和保留中的搜索。

注意

若要从现有保留创建搜索,必须分配 符合性搜索 角色。 有关将用户添加到角色组的信息,请参阅分配电子数据展示权限

若要从现有保留创建新搜索,请完成以下步骤:

  1. 选择一个案例。 在“ 保留策略 ”选项卡上,选择并打开保留策略。
  2. 选择 “创建搜索”。
  3. 系统会自动创建新搜索,并自动重定向到新搜索。

新的搜索名称包括源保留策略名称,其 副本 以标题和时间戳为前缀。 例如,如果源保留策略标题为 “保留以保留 Contoso 项目”,则新的搜索标题为 “保留副本”以保留 Contoso 项目 + 时间戳。 若要编辑新的搜索标题,请选择标题文本旁边的编辑控件。

如果需要减少以前与事例关联的搜索数,可以删除电子数据展示中的特定搜索。 如果搜索具有关联的导出集和评审集,则这些导出集和评审集的历史记录在 进程管理器审核日志中仍可用。

若要删除案例中的现有搜索,请完成以下步骤:

  1. 选择一个事例,然后选择要删除的搜索。
  2. 选择搜索页面右上角的省略号 (...) ,然后选择 “删除搜索”。
  3. “删除搜索”对话框中选择“”,从案例中删除搜索。

注意

进程 正在进行时, 无法删除搜索。 在删除搜索之前,请等待所有进程完成。

  • Last updated on