共用方式為

在資料安全性調查中搜尋、審查及精細結果

你可以在資料安全性調查中使用搜尋功能,搜尋與安全事件相關的 Microsoft 365 內容,如電子郵件、文件及即時通訊對話。 使用搜尋功能在這些雲端 Microsoft 365 資料來源中尋找內容:

資料來源 搜尋內容類型 風險內容範例
Exchange Online 使用者信箱中的電子郵件與附件 電子郵件中傳送的憑證或機密資料,外部分享的敏感檔案。
Microsoft Copilot AI 提示與回應 Copilot或AI提示中的敏感資料。
Microsoft Teams 聊天訊息 (一對一,群組聊天) 和頻道貼文 聊天中包含的秘密,Teams 對話中的機密資訊。
OneDrive 使用者檔案 具備安全存取金鑰的使用者檔案、資料庫匯出等功能。
SharePoint 遺址中的文件與檔案 包含密碼、客戶資料或機密計畫的文件。

你可以建立並執行與調查相關的各種搜尋。 利用關鍵字、檔案類型、事件等條件,建立搜尋查詢,回傳與調查最相關的資料。 您也可以:

  • 查看搜尋統計數據,幫助您精細搜尋查詢以縮小搜尋結果範圍。
  • 預覽搜尋結果,快速確認你是否找到了相關資料。
  • 修改查詢,然後重新執行搜尋。

請考慮引發調查的活動。 例如,報告密碼共享或外洩、可疑檔案、與外部開發團隊合作,或有關資料外洩或可能涉及的特定個人或團隊的警示。 利用這些資訊來協助你發展初步搜尋查詢。 例如,如果管理員回報 SharePoint 中可能存在密碼的明文,請先在 SharePoint 與 OneDrive 或工程團隊管理的特定 SharePoint 網站中搜尋已知密碼關鍵字或檔案名稱。

當您對搜尋結果感到滿意並準備檢視與分析結果時,將結果加入調查 範圍 。 將原始資料副本加入調查範圍,也能透過提供先進的分類、檢驗及向量搜尋工具,促進 AI 分析 與審查流程。

存取搜尋工具

在特定調查中,從任一頁面頂端的導覽選項中選擇 摘要 ,即可使用搜尋工具。

搜尋工具包括資料來源選擇器、查詢建構器以及依檔案搜尋選項。 您可以在調查過程中隨時精煉搜尋查詢資料來源與條件,並將結果加入調查範圍。

資料來源

在 Microsoft 365 中,資料儲存在三個平台:Exchange、Teams 和 SharePoint。 這些平台是組織和管理 Microsoft 365 應用程式資料的骨幹。

重要事項

如果你把網站狀態設為鎖定,網站設為 NoAccess,資料安全性調查不會回傳搜尋結果。 欲了解更多管理網站鎖定狀態的資訊,請參閱 「鎖定與解鎖網站」。 此外,若您在內容庫中限制文件,資料安全性調查調查員必須是網站管理員、網站擁有者,或是受限文件的擁有者或最後修改者,才能在資料安全性調查中存取該文件。 欲了解更多有關受限內容的資訊,請參閱 資料遺失防止政策參考資料

大多數 Microsoft 365 應用程式將資料儲存在以下一個或多個容器中:

  • 使用者:與個別使用者相關的資料,例如郵件、1:1 Teams 訊息及 OneDrive 檔案。
  • 群組:由組織或組織內一群使用者擁有的資料。 這些群組通常被稱為統一群組或團隊。

在資料安全性調查中,資料來源的概念簡化了跨 Microsoft 365 平台的資料識別與管理流程。 分析師選擇使用者或群組,並將搜尋範圍延伸至這些資料來源。 分析師可透過選擇或排除特定地點來細化範圍。

分析師也可以利用全組織的資源,在整個組織內進行搜尋。 全組織性來源包括:

  • 所有人員與群組:包含組織中所有使用者及所有群組。
  • 所有公共資料夾:包含 Exchange 公共資料夾 、信箱中的所有內容。

查詢建構器

搜尋中的查詢建構器選項,在資料安全性調查中建立搜尋查詢時,提供視覺過濾體驗。 由於您將使用 AI 分析工具快速識別搜尋結果中相關資料,其中一項策略是擴大搜尋範圍,涵蓋更多資料來源。 這有助於降低被排除相關內容以供審查的風險。

使用查詢建構器來構建具有額外功能的複雜查詢,包括 AND、OR 及條件分組。 查詢建構器中的這些功能幫助你更有效率地建立查詢,提供子查詢分組的視覺介面,並提供更多空間來構建和檢視複雜的關鍵字查詢。

使用查詢建構器

要建立查詢並自訂篩選,請使用以下控制項:

  • AND/OR:這些條件邏輯運算子幫助你選擇適用於特定濾波器及濾波器子群的查詢條件。 利用這些運算子在查詢中包含多個與單一篩選器相連的子群組。
  • 選擇篩選條件:為你為該收藏選擇的特定資料來源和地點內容選擇篩選條件。
  • 新增篩選條件:在查詢中加入多個篩選條件。 此選項在定義至少一個查詢篩選器後即可啟用。
  • 選擇運算子:根據所選篩選條件,你可以從相容的運算子中選擇。 例如,如果你選擇 日期 篩選器,可以從 「之前」、「 之後」和 「中間」中選擇。 如果你選擇「大小 ((位元組)」) 篩選器,你可以從「大於」、「大於大小」、「小於」、「於或小」、「介於中間」和「」等選項中選擇。
  • :根據所選濾鏡,輸入相容值。 有些濾波器支援多個值,而有些則支援單一特定值。 例如,如果你選擇 日期 篩選器,輸入日期值。 如果你選擇「 位元組大小 ( 」這個篩選器,請輸入位元組的數值) 。
  • 新增子群組:定義篩選條件後,新增子群組以細化篩選器回傳的結果。 你也可以將子群組加入子群組,以實現多層次的查詢精煉。
  • 移除篩選條件:要移除個別篩選器或子群組,請選擇每個篩選器行或子群組右側的移除圖示。
  • 清除全部:要清除整個查詢中所有篩選器和子群組,請選擇 清除所有

情境範例

資料安全性調查分析師需要對任何包含 2025 年 1 月 1 日至 2025 年 3 月 16 日期間使用的關鍵字「機密」的項目建立查詢。 在此範例中,分析師使用查詢建構器建立以下查詢:

  1. 第一個篩選條件中,分析師選擇關鍵字,接著選擇值運算子,最後在價值控制中輸入機密
  2. 接著,分析者選擇 新增子群AND 運算子,然後選擇 Add 濾波器
  3. 分析者選擇 日期 篩選器、 Between 運算子,以及開始日期和結束日期作為 Value
  4. 分析師選擇 儲存 以儲存查詢,然後選擇 檢視範圍 來執行搜尋查詢。

查詢建構器的範例。

使用 Microsoft Security Copilot 建立搜尋查詢

搜尋中的「使用 Copilot 查詢」選項,讓你能使用自然語言和 Microsoft Security Copilot,快速在查詢建構器中產生自訂查詢。 使用此選項可構建包含額外功能的複雜查詢,包括 AND、OR 及條件分組,同時使用自然語言提示。

此功能也幫助你更容易建立查詢,透過使用預設的提示來應對常見情境。 它也幫助你精煉和強化自訂提示,讓搜尋查詢更準確。 你也可以選擇以提示建議作為起點,建立並精煉關鍵字查詢語言 (KeyQL) 查詢,適用於常見或自訂的搜尋情境。

要用 Copilot 建立搜尋查詢,請完成以下步驟:

  1. 選擇查詢的資料來源,然後選擇 「用 Copilot 查詢」。
    • 請在「描述你想找到什麼」欄位輸入你的搜尋查詢問題。 你可以依情況加入使用者、資料來源及其他內容細節。
    • 選擇 「檢視提示」 以選擇以下其中一個提示建議:
      • 找到所有包含預算與財務字眼的電子郵件,並附上附件
      • 搜尋包含機密與預算等詞彙的類型 .docx 檔案
  2. 選擇 「審查範圍 」以查看搜尋的估計與統計數據,或直接將結果加入您的調查範圍。 如果你想儲存你定義的查詢參數並稍後執行查詢,請選擇 儲存

從檔案中查找

「寄件人檔案」選項允許您上傳一個或多個檔案,以尋找特定調查相關的內容。 使用審計活動 .csv 檔案,在特定時間範圍內找到特定使用者相關的訊息與檔案。 每個檔案最大檔案大小限制為 10 MB,且檔案可 .csv。 查詢建置器在依檔案搜尋時是被停用的。

資料安全性調查僅支援特定審計活動操作類型,當以檔案搜尋時。 如果上傳的稽核日誌檔不包含以下支援的操作類型,搜尋會使用空查詢,且不會回傳任何匹配項目。

  • FileAccessed
  • FileDownloaded
  • FileUploaded
  • 訊息已讀
  • 訊息已發送
  • SearchQueryInitiatedExchange
  • 傳送
  • 訂閱訊息
  • ThreadViewed
  • 逐字稿匯出

範圍儀表板

搜尋標籤會顯示搜尋查詢中包含的資料結果的統計數據與指標。 此檢視有助於判斷搜尋查詢結果是否適合納入調查範圍,或是需要細化查詢以擴大或縮小搜尋範圍。

範圍儀表板的搜尋結果包含於以下章節:

  • 摘要:顯示搜尋結果數、地點、資料來源及部分索引項目的總檔案大小。

    • 總匹配數:顯示所有符合查詢條件的項目的總搜尋結果與數量,來自搜尋地點。
    • 地點:顯示所有搜尋地點中有命中位置的比例。 分子表示有結果的地點,分母表示搜尋的地點數量。 錯誤地點以紅色顯示。 欲查看所有地點及相關命中與錯誤的完整細節,請選擇 下載 報告以下載完整 .csv 報告。
    • 資料來源:顯示所有搜尋資料來源中,有命中紀錄的資料來源比例。 分子表示有命中的數據來源,分母表示搜尋中包含的資料來源數量。 此資料來源與搜尋設計流程中的資料來源一致,且應與搜尋中包含的人數或群組數量相符。 一個租戶範圍的「 所有人」和「所有群組 」資料來源,算作一個單一資料來源。
    • 部分索引項目 或「進階索引項目結果」:顯示部分索引及未索引項目的數量與數量,作為搜尋一部分。 進階索引點擊數來自部分索引項目的統計樣本,實際點擊數可能更多,你可以透過「新增到評論集」和「匯出搜尋結果」動作來確認。
    • 頂尖資料來源:顯示包含最多搜尋結果與你查詢匹配的前五大資料來源。 這些資料來源的名稱 (使用者、群組或組織整體地點的名稱,) 會與點擊數一同列出。 這些資料來源應該與你在建立搜尋查詢時所選擇的資料來源工作流程相符。
    • 索引狀態:未編入 (的細分,包括部分索引的) 及完全索引的資料項目。
    • 頂尖地點類型:依地點類型 (信箱與網站) 的點擊數。

選擇 重新生成檢視 以重新執行查詢並檢視最新結果。 選擇 下載報告 ,將所有 範圍 結果合併成單一 .csv 檔案。 在查看任何趨勢領域的前100名結果時,請選擇 下載報告 ,即可獲得該熱門趨勢前100名的 .csv 檔案。

範例儀表板

樣本可以讓你檢視代表性的個別項目子集,以及每個回傳項目的細節。 每個地點的樣本數量以及搜尋中定義的樣本位置數量,決定了樣本項目的數量及樣本項目中的位置表示。

範例儀表板欄位的搜尋結果包含以下各項資訊:

  • 主題/標題:範例中所包含項目的主題或標題。
  • 日期:物品創建或寄送的日期。
  • 寄件人/作者:物品的寄件人或作者。

選擇一個範例項目以查看該項目的 來源 資訊。 若該項目有此選項,此檢視會顯示所選項目的豐富視圖,讓您能評估該項目與定義搜尋資料來源及條件的相關性。

選擇 下載報告 ,將所有 樣本 結果合併成單一 .csv 檔案。 選擇 檢視 設定以查看套用到取樣檢視產生的設定。

  • Last updated on