Erstellen einer Suchabfrage für einen Fall in eDiscovery (Vorschau)

  • Artikel

Sie können die Suche in eDiscovery (Vorschau) verwenden, um in Ihrem organization nach direkten Inhalten wie E-Mails, Dokumenten und Chatunterhaltungen zu suchen, die für einen Fall relevant sind. Verwenden Sie die Suche, um Inhalte in diesen cloudbasierten Microsoft 365-Datenquellen zu finden:

  • Exchange Online-Postfächer
  • SharePoint-Websites
  • OneDrive-Konten
  • Microsoft Teams
  • Microsoft 365-Gruppen
  • Viva Engage Gruppen

Sie können verschiedene Suchvorgänge erstellen und ausführen, die dem Fall zugeordnet sind. Sie verwenden Bedingungen (z. B. Schlüsselwörter), um Suchabfragen zu erstellen, die Suchergebnisse mit den Daten zurückgeben, die wahrscheinlich für den Fall relevant sind. Sie können auch folgende Aktionen ausführen:

  • Zeigen Sie Suchstatistiken an, die Ihnen helfen können, eine Suchabfrage zu verfeinern, um die Ergebnisse einzugrenzen.
  • Anzeigen einer Vorschau der Suchergebnisse, um schnell zu überprüfen, ob die relevanten Daten gefunden werden.
  • Überarbeiten einer Abfrage, und die Suche erneut ausführen.

Nachdem Sie nach Daten gesucht und gefunden haben, die für Ihre Untersuchung relevant sind, können Sie die Ergebnisse zur weiteren Untersuchung an einen Überprüfungssatz senden oder zur Überprüfung durch Personen außerhalb des Untersuchungsteams exportieren.

Hinweis

Für Organisationen, die über Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) verfügen, um die Datenschutzrechte von Personen innerhalb der Europäischen Union (EU) zu schützen und zu ermöglichen, können Sie auch Untersuchungen als Reaktion auf anträge betroffener Personen (DSRs) verwalten, die von einer Person in Ihrem organization übermittelt wurden. Das Falltool für die Benutzerdatensuche wurde eingestellt, und seine Funktionalität wurde mit eDiscovery (Vorschau) zusammengeführt. Sie können jetzt die Suche verwenden, um Inhalte zu finden, die Anträge betroffener Personen unterstützen, die von eDiscovery-Suchvorgängen unterstützt werden.

Tipp

Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.

Suchtipps

  • Die Zeitzone für alle Suchvorgänge ist Coordinated Universal Time (UTC). Das Ändern von Zeitzonen für Ihre organization wird derzeit nicht unterstützt. Anzeigeeinstellungen für Zeitzonen in der Suchansicht gelten nur für Werte in der Datenspalte und wirken sich nicht auf Zeitstempel für gesammelte Elemente aus.
  • Bei Schlüsselwortsuchen wird die Groß-/Kleinschreibung nicht beachtet. Beispielsweise geben katze und KATZE dieselben Ergebnisse zurück.
  • Die booleschen Operatoren AND, OR, NOT und NEAR müssen Großbuchstaben enthalten.
  • Die Verwendung von Anführungszeichen stoppt Wildcards und alle Vorgänge innerhalb der Anführungszeichen.
  • Ein Leerzeichen zwischen zwei Schlüsselwörtern oder zwei property:value Ausdrücken entspricht der Verwendung von OR. Gibt beispielsweise alle von Sara Davis gesendeten Nachrichten oder Nachrichten zurück, from:"Sara Davis" subject:reorganization die das Wort Reorganisation in der Betreffzeile enthalten. Die Verwendung einer Mischung aus Leerzeichen und OR-Bedingungen in einer einzelnen Abfrage kann jedoch zu unerwarteten Ergebnissen führen. Es wird empfohlen, entweder Leerzeichen oder OR in einer einzelnen Abfrage zu verwenden.
  • Verwenden Sie eine Syntax, die dem property:value Format entspricht. Bei Werten wird die Groß-/Kleinschreibung nicht beachtet, und nach dem Operator darf kein Leerzeichen vorhanden sein. Wenn ein Leerzeichen vorhanden ist, ist der beabsichtigte Wert eine Volltextsuche. Sucht beispielsweise to: pilarp nach "pilarp" als Schlüsselwort (keyword) und nicht nach Nachrichten, die an pilarp gesendet werden.
  • Wenn Sie nach einer Empfängereigenschaft wie An, Von, Cc oder Empfänger suchen, können Sie eine SMTP-Adresse, einen Alias oder einen Anzeigenamen verwenden, um einen Empfänger anzugeben. Sie können beispielsweise , pilarp oder "Pilar Pinilla" verwenden pilarp@contoso.com.
  • Sie können nur Präfixsuchen verwenden. z. B. cat* oder set*. Suffixsuchen (*cat), Infixsuchen (c*t) und Teilzeichenfolgensuchen (*cat*) werden nicht unterstützt.
  • Wenn Sie nach einer Eigenschaft suchen, verwenden Sie doppelte Anführungszeichen (" "), wenn der Suchwert aus mehreren Wörtern besteht. Beispielsweise gibt Nachrichten zurück, subject:budget Q1 die ein Budget in der Betreffzeile enthalten und Q1 an einer beliebigen Stelle in der Nachricht oder in einer der Nachrichteneigenschaften enthalten. Die Verwendung von subject:"budget Q1" gibt alle Nachrichten zurück, die das Budget Q1 an einer beliebigen Stelle in der Betreffzeile enthalten.
  • Wenn Sie Inhalte mit einem bestimmten Eigenschaftswert in den Suchergebnissen ausschließen möchten, fügen Sie ein Minuszeichen (-) vor dem Namen der Eigenschaft hinzu. Schließt beispielsweise -from:"Sara Davis" alle von Sara Davis gesendeten Nachrichten aus.
  • Sie können Elemente basierend auf dem Nachrichtentyp exportieren. Verwenden Sie beispielsweise die Syntax kind:im, um Skype-Unterhaltungen und -Chats in Microsoft Teams zu exportieren. Um nur E-Mail-Nachrichten zurückzugeben, verwenden kind:emailSie . Verwenden Sie kind:microsoftteams, um Chats, Besprechungen und Anrufe in Microsoft Teams zurückzugeben.
  • Beim Durchsuchen von Websites müssen Sie die nachgestellte / am Ende der URL hinzufügen, wenn Sie die path -Eigenschaft verwenden, um nur Elemente in einer angegebenen Website zurückzugeben. Wenn Sie die nachgestellten /nicht einschließen, werden auch Elemente von einer Website mit einem ähnlichen Pfadnamen zurückgegeben. Wenn Sie z. B. verwenden path:sites/HelloWorld , werden auch Elemente von Websites mit dem Namen sites/HelloWorld_East oder sites/HelloWorld_West zurückgegeben. Um Elemente nur von der HelloWorld-Website zurückzugeben, müssen Sie verwenden path:sites/HelloWorld/.
  • Die Abfragesprache Land/Region muss in Ihrer Suchabfrage definiert werden, bevor Inhalte gesammelt werden.
  • Beim Durchsuchen der Ordner Gesendet nach E-Mails wird die Verwendung der SMTP-Adresse für den Absender nicht unterstützt. Elemente im Ordner Gesendet enthalten nur Anzeigenamen.

Erstellen einer Suchabfrage

Tipp

Bevorzugen Sie einen interaktiven Konfigurationsleitfaden? Sehen Sie sich den Leitfaden zum Entwerfen einer Suche an.

Nachdem Sie einen neuen Fall erstellt haben, werden Sie automatisch zur Registerkarte Suchen in dem Fall weitergeleitet, und Sie sind bereit, eine Suche nach dem Fall zu erstellen. Mithilfe von Suchvorgängen können Sie die Elemente finden, die Sie für den Fall sammeln möchten.

  1. Wählen Sie Suche erstellen aus. Wenn es sich um einen neuen Fall ohne vorherige Suchvorgänge handelt, können Sie auch im bereich Standard unter Suchen nach relevanten Daten starten die Option Suche erstellen auswählen.

  2. Füllen Sie auf der Seite Erste Schritte eingeben die folgenden Felder aus:

    • Suchname: Geben Sie der Suche einen Namen (erforderlich). Der Suchname muss in Ihrem organization
    • Suchbeschreibung: Fügen Sie eine optionale Beschreibung hinzu, um anderen Personen zu helfen, diese Suche zu verstehen.

  3. Wählen Sie Erstellen aus, um die neue Suche zu erstellen und Ihre Abfragen zu starten, um relevante Daten für den Fall zu finden.

  4. Fügen Sie auf der Registerkarte Abfrage in der Suche Datenquellen für Ihre Suche hinzu.

  5. Wählen Sie Datenquellen hinzufügen aus.

  6. Im Flyoutbereich Datenquellen verwalten fügen Sie Datenquellen für Ihre Suchabfrage hinzu oder entfernen sie. Sie können einen oder mehrere Benutzer, Gruppen organization Speicherorte auswählen.

    • Geben Sie im Suchfeld die spezifischen Benutzer, Gruppen oder organization Orte ein, die Sie hinzufügen möchten.
    • Wählen Sie das Menü mit den Auslassungspunkten für Benutzer aus, um die zehn häufigsten Mitarbeiter anzuzeigen und die zugehörigen Postfächer und Websites für diese Benutzer auszuwählen.
    • Um eine organization-weite Suche auszuführen, können Sie alle Benutzer, Gruppen oder organization Speicherorte hinzufügen. Sie können alle Personen und Gruppen, Alle Apps und ggf. Alle öffentlichen Ordner aus den Suchfeldoptionen auswählen.

  7. Klicken Sie auf Speichern. Sie haben nun den Bereich für die Datenquellen angegeben, die von Ihren Suchabfragen untersucht werden.

  8. Um die Parameter Ihrer Suchabfrage zu definieren, können Sie auf der Registerkarte Abfrage eine der folgenden Optionen auswählen:

    • Bedingungs-Generator: Die Bedingungs-Generator-Option in der Suche bietet eine visuelle Filterfunktion, wenn Sie Suchabfragen in eDiscovery (Vorschau) erstellen. Ausführliche Informationen zum Erstellen von Suchabfragen mit der Bedingungs-Generator-Option finden Sie unter Verwenden des Bedingungs-Generators zum Erstellen von Suchabfragen in eDiscovery (Vorschau).

    • Schlüsselwortabfragesprache (KeyQL): Die KQL-Abfrageoption (Keyword Query Language) in der Suche bietet Anleitungen und ermöglicht es Ihnen, lange, komplexe Abfragen schnell direkt in den Editor einzufügen. Außerdem können Sie Suchabfragen von Grund auf neu erstellen, potenzielle Fehler identifizieren und Hinweise zum Beheben von Problemen anzeigen. Ausführliche Informationen zum Erstellen von Suchabfragen mit der KeyQL-Option finden Sie unter Verwenden der Schlüsselwortabfragesprache zum Erstellen von Suchabfragen in eDiscovery (Vorschau).

      Mithilfe von Microsoft Copilot for Security können Sie auch schnell KeyQL-Abfragen für Ihre Suche erstellen. Eine Anleitung finden Sie im folgenden Abschnitt in diesem Artikel.

    • Nach Datei suchen: Laden Sie eine oder mehrere Dateien hoch, um verwandte oder ähnliche Inhalte für einen bestimmten Fall zu finden. Verwenden Sie die CSV-Datei der Überwachungsaktivität, um verwandte Nachrichten und Dateien für einen bestimmten Benutzer innerhalb eines bestimmten Zeitrahmens zu finden. Oder stellen Sie Beispielbeweis bereit, um ähnliche Inhalte zu finden. Jede Datei ist auf eine maximale Dateigröße von 10 MB beschränkt, und Dateien können CSV- oder TXT-Dateien sein. Abfragebuild- und KQL-Optionen sind bei der Suche nach Datei deaktiviert.

  9. Wählen Sie Abfrage ausführen aus. Wenn Sie die definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Als Entwurf speichern aus.

Erstellen einer KeyQL-Suchabfrage mit Microsoft Copilot (Vorschau)

Mit der KeyQL-Generatoroption "Natural Language Query (Vorschau) in der Suche können Sie natürliche Sprache und Microsoft Copilot for Security verwenden, um schnell eine KeyQL-Anweisung (Keyword Query Language) zu generieren. Verwenden Sie den Generator, um komplexe Abfragen mit zusätzlichen Funktionen wie AND, OR und Gruppierung von Bedingungen zu erstellen, während Sie Eingabeaufforderungen in natürlicher Sprache verwenden.

Mit diesem Feature können Sie Abfragen mithilfe vordefinierter Eingabeaufforderungen für Beispielszenarien einfacher erstellen und benutzerdefinierte Eingabeaufforderungen für genauere Suchabfragen verfeinern und verbessern. Sie können auch Eingabeaufforderungsvorschläge als Ausgangspunkt verwenden, um KeyQL-Abfragen für gängige oder benutzerdefinierte Suchszenarien zu erstellen und zu verfeinern.

Führen Sie die folgenden Schritte aus, um eine Suchabfrage mit Copilot zu erstellen:

  1. Nachdem Sie Datenquellen für Ihre Abfrage ausgewählt haben, wählen Sie Abfrage mit Copilot entwerfen aus.
  2. Wählen Sie im Eingabeaufforderungsbereich Natürliche Sprache eine der folgenden Optionen aus:
    • Geben Sie Ihre Suchabfragefrage ein. Sie können ggf. Benutzer-, Datenquellen- und andere Inhaltsdetails einschließen.
    • Wählen Sie Eingabeaufforderungen anzeigen aus, um einen der folgenden Eingabeaufforderungsvorschläge auszuwählen:
      • Suchen aller E-Mails mit den Wörtern "Budget" und "Finanzen" und "Anlagen"
      • Durchsuchen aller Chats im Januar 2020, die das Wort "Geschäftsjahr" enthalten
      • Suchen Sie nach Dateien vom Typ .docx, die die Wörter vertraulich und budget enthalten.
  3. Überprüfen Sie die Eingabeaufforderung in natürlicher Sprache. Um die Eingabeaufforderung mit Copilot zu verfeinern, wählen Sie Verfeinern aus.
  4. Wenn die Eingabeaufforderung abgeschlossen ist, wählen Sie Schlüsselql generieren aus.
  5. Überprüfen Sie die KeyQL-Abfrage im Ergebnisbereich Schlüsselwortabfragesprache (KeyQL). Wenn Sie die KeyQL-Abfrageergebnisse verfeinern müssen, können Sie die Eingabeaufforderung im Eingabeaufforderungsbereich in natürlicher Sprache aktualisieren und erneut KeyQL generieren auswählen. 1. Wenn die KeyQL-Ergebnisse abgeschlossen sind, wählen Sie KeyQL kopieren aus.
  6. Fügen Sie die KeyQL-Ergebnisse in das Abfragefeld auf der Registerkarte Schlüsselwortabfragesprache (KeyQL) ein. Sie können Eine Abfrage mit Copilot entwerfen schließen.
  7. Wählen Sie Abfrage ausführen aus. Wenn Sie die definierten Abfrageparameter speichern und die Abfrage später ausführen möchten, wählen Sie Als Entwurf speichern aus.

Ausführen einer Suchabfrage

Nachdem Sie eine Suchabfrage manuell erstellt oder Microsoft Copilot für Sicherheit verwendet haben, können Sie die Abfrage ausführen und Suchergebnisse generieren.

Führen Sie zum Ausführen einer Suchabfrage die folgenden Schritte aus:

  1. Wechseln Sie zum Microsoft Purview-Portal , und melden Sie sich mit den Anmeldeinformationen für ein Benutzerkonto an, dem eDiscovery-Berechtigungen zugewiesen sind.

  2. Wählen Sie die eDiscovery-Lösung Karte und dann im linken Navigationsbereich Fälle (Vorschau) aus.

  3. Wählen Sie einen Fall aus. Wählen Sie auf der Registerkarte Suchen eine gespeicherte Suche aus.

  4. Wählen Sie Abfrage ausführen aus.

  5. Nachdem Sie Abfrage ausführen ausgewählt haben, wird der Flyoutbereich Abfrageergebnisse formatieren angezeigt. Wählen Sie die Ansicht aus, die Sie für die Abfrage generieren möchten, und deren Einstellungen. Sie können die Ansicht Statistiken oder Beispiel auswählen:

    • Statistiken: Diese Ansicht generiert eine Zusammenfassung der gesammelten Datenschätzungen, die nach den wichtigsten Indikatoren angeordnet sind. Wählen Sie eine oder mehrere der folgenden Optionen aus:

      • Kategorien einschließen: Verfeinern Sie Ihre Ansicht, um Personen, Typen vertraulicher Informationen, Elementtypen und Fehler einzuschließen.

      • Bericht "Abfrageschlüsselwörter einschließen": Bewerten sie Schlüsselwort (keyword) Relevanz für verschiedene Teile Ihrer Suchabfrage/.

      • Untersuchen von teilweise indizierten Elementen: Teilweise indizierte Elemente entfallen in der Regel auf etwa ein Prozent des Inhalts in Datenquellen nach Anzahl. Wenn Sie diese Option (und nur diese Option) auswählen, werden Zusammenfassungsinformationen (Elementanzahl und Speicherort) zu teilweise indizierten Elementen generiert, die in den ausgewählten Datenquellen für die Suche enthalten sind. Es werden keine teilweise indizierten Elemente neu indiziert oder verarbeitet. Um teilweise indizierte Elemente in bereichsbezogenen Datenquellen weiter zu verarbeiten, sollten Sie die folgenden erweiterten Indizierungsoptionen in Betracht ziehen:

        • Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen: Wenn Sie diese zusätzliche Option auswählen, wird der Bereich der teilweise indizierten Elemente (oder der erweiterten Indizierung, wenn diese Optionen ausgewählt sind) reduziert, indem die Aufnahme teilweise indizierte Elemente nur aus den Datenquellen beschränkt wird, die für Ihre Suche relevante Elemente enthalten. Dies schließt teilweise indizierte Elemente aus Datenquellen aus, die keine für Ihre Suche relevanten Elemente enthalten.

          Sie haben beispielsweise mehrere Postfächer, SharePoint-Websites und OneDrive-Websites als Datenquellen für Ihre Suche ausgewählt. Wenn die Suche ausgeführt wird, verfügen nur einige der Postfächer und Websites über indizierte Elemente, die für die Suchbedingungen relevant sind. Die restlichen Postfächer und Websites enthalten keine nativ indizierten Elemente, die für Ihre Suchbedingungen relevant sind. Wenn Sie diese Option ausgewählt haben, werden die teilweise indizierten Elemente in den Postfächern und Websites, die nativ indizierte Elemente enthalten, die für die Suche relevant sind, in die Suchergebnisse aufgenommen. Die teilweise indizierten Elemente in den Postfächern und Websites, die keine nativ indizierten Elemente enthalten, die für die Suche relevant sind, werden ignoriert und nicht in den Suchergebnissen gemeldet.

        • Ausführen der erweiterten Indizierung für teilweise indizierte Elemente: Der Bereich, in dem die erweiterte Indizierung ausgeführt wird, hängt davon ab, ob Sie die Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen ausgewählt haben. Der erweiterte Indizierungsprozess führt eine Statistische Stichprobe von teilweise indizierten Elementen im Bereich aus und bestimmt, ob diese Elemente mit der Abfrage übereinstimmen oder nicht:

          • Ausgewählt mit der Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen : Dies gilt für teilweise indizierte Elemente nur für Datenquellen mit vollständig indizierten Elementen, die der Suchabfrage entsprechen. Diese Elemente werden erfasst, indiziert, und die elemente, die der Suchabfrage entsprechen, werden in Suchstatistiken angezeigt (sofern zutreffend).
          • Ohne die Option Teilweise indizierte Elemente an Speicherorten ohne Suchtreffer ausschließen ausgewählt: Dies gilt für alle teilweise indizierten Elemente in allen Datenquellen, die in der Suche enthalten sind. Alle Elemente werden stichprobeniert, indiziert, und die elemente, die der Suchabfrage entsprechen, werden in Suchstatistiken angezeigt (sofern zutreffend).

    • Beispiel: Diese Ansicht generiert eine repräsentative Auswahl der vollständigen Suchergebnisse. Definieren Sie die Parameter für die folgenden Optionen:

      • Wählen Sie die Anzahl der pro Speicherort zu generierenden Beispielelemente aus: Wählen Sie entweder 1, 10 oder 100 aus.
      • Wählen Sie die Anzahl der Standorte aus, aus der Sie Beispiele abrufen möchten: Wählen Sie entweder 10, 1000, 1000 oder 10000 aus.

  6. Wählen Sie Abfrage ausführen aus, um die Abfrage sofort auszuführen.

Abhängig von den ausgewählten Abfrageansichtsoptionen werden Sie automatisch zur Registerkarte Statistik oder Beispiel weitergeleitet. Die Bewertung der Suchabfrage wird gestartet, und die verbleibende Zeit für die Verarbeitung der Abfrage wird berechnet. Weitere Informationen zum Auswerten und Optimieren Ihrer Suchergebnisse finden Sie unter Überprüfen und Auswerten von Suchergebnissen.