Creare una query di ricerca per un caso in eDiscovery (anteprima)

È possibile usare la ricerca in eDiscovery (anteprima) per cercare contenuti sul posto, ad esempio messaggi di posta elettronica, documenti e conversazioni di messaggistica istantanea nell'organizzazione rilevanti per un caso. Usare la ricerca per trovare il contenuto in queste origini dati Microsoft 365 basate sul cloud:

• Cassette postali di Exchange Online
• Siti di SharePoint
• Account di OneDrive
• Microsoft Teams
• Gruppi di Microsoft 365
• Viva Engage Gruppi

È possibile creare ed eseguire ricerche diverse associate al caso. Si usano condizioni , ad esempio parole chiave, per compilare query di ricerca che restituiscono i risultati della ricerca con i dati più probabilmente rilevanti per il caso. È inoltre possibile:

• Visualizzare le statistiche di ricerca che possono aiutare a perfezionare una query di ricerca per limitare i risultati.
• Visualizzare in anteprima i risultati della ricerca per verificare rapidamente se vengono trovati i dati pertinenti.
• Rivedere una query ed eseguire di nuovo la ricerca.

Dopo aver cercato e trovato i dati rilevanti per l'indagine, è possibile inviare i risultati a un set di revisione per ulteriori indagini o esportarli per la revisione da parte di persone esterne al team di indagine.

Suggerimenti per la ricerca

• Il fuso orario per tutte le ricerche è UTC (Coordinated Universal Time). La modifica dei fusi orari per l'organizzazione non è attualmente supportata. Le impostazioni di visualizzazione del fuso orario nella visualizzazione di ricerca sono applicabili solo ai valori nella colonna Dati e non influiscono sui timestamp sugli elementi raccolti.
• Le ricerche con parole chiave non fanno distinzione tra maiuscole e minuscole. Ad esempio, cat e CAT restituiscono gli stessi risultati.
• Gli operatori booleani AND, OR, NOT e NEAR devono essere maiuscoli.
• L'uso delle virgolette arresta i caratteri jolly e tutte le operazioni all'interno delle virgolette.
• Uno spazio tra due parole chiave o due property:value espressioni è uguale all'uso di OR. Ad esempio, from:"Sara Davis" subject:reorganization restituisce tutti i messaggi inviati da Sara Davis o i messaggi che contengono la parola riorganizzazione nella riga dell'oggetto. Tuttavia, l'uso di una combinazione di spazi e condizionali OR in una singola query può causare risultati imprevisti. È consigliabile usare spazi o OR in una singola query.
• Usare una sintassi corrispondente al property:value formato. I valori non fanno distinzione tra maiuscole e minuscole e non possono avere uno spazio dopo l'operatore. Se è presente uno spazio, il valore previsto è una ricerca full-text. Ad esempio to: pilarp , cerca "pilarp" come parola chiave, anziché per i messaggi inviati a pilarp.
• Quando si cerca una proprietà relativa al destinatario, come To (A), From (Da), Cc (Cc) o Recipients (Destinatari), è possibile utilizzare un indirizzo SMTP, un alias o un nome visualizzato per denotare un destinatario. Ad esempio, è possibile usare pilarp@contoso.com, pilarp o "Pilar Pinilla".
• È possibile usare solo ricerche di prefisso; ad esempio cat* o set*. Le ricerche con suffisso (*cat), le ricerche infix (c*t) e le ricerche sottostringhe (*cat*) non sono supportate.
• Quando si ricerca una proprietà, utilizzare le virgolette doppie (" ") se il valore della ricerca è costituito da più parole. Ad esempio, subject:budget Q1 restituisce messaggi che contengono budget nella riga dell'oggetto e che contengono Q1 in qualsiasi punto del messaggio o in una delle proprietà del messaggio. L'uso subject:"budget Q1" di restituisce tutti i messaggi che contengono il budget Q1 in qualsiasi punto della riga dell'oggetto.
• Per escludere i contenuti contrassegnati con un determinato valore della proprietà dai risultati della ricerca, inserire un segno meno (-) prima del nome della proprietà. Ad esempio, -from:"Sara Davis" esclude tutti i messaggi inviati da Sara Davis.
• È possibile esportare gli elementi in base al tipo di messaggio. Ad esempio, per esportare conversazioni e chat Skype in Microsoft Teams, usare la sintassi kind:im. Per restituire solo i messaggi di posta elettronica, usare kind:email. Per restituire chat, riunioni e chiamate in Microsoft Teams, usare kind:microsoftteams.
• Durante la ricerca nei siti, è necessario aggiungere la fine / dell'URL quando si usa la path proprietà per restituire solo gli elementi in un sito specificato. Se non si include l'oggetto finale, vengono restituiti /anche gli elementi di un sito con un nome di percorso simile. Ad esempio, se si usano path:sites/HelloWorld , verranno restituiti anche gli elementi dei siti denominati sites/HelloWorld_East o sites/HelloWorld_West . Per restituire elementi solo dal sito HelloWorld, è necessario usare path:sites/HelloWorld/.
• La lingua/area geografica della query deve essere definita nella query di ricerca prima di raccogliere il contenuto.
• Durante la ricerca di messaggi di posta elettronica nelle cartelle inviate , l'uso dell'indirizzo SMTP per il mittente non è supportato. Gli elementi nella cartella Sent contengono solo nomi visualizzati.

Creare una query di ricerca

Dopo aver creato un nuovo caso, si viene automaticamente indirizzati alla scheda Ricerche nel caso e si è pronti per creare una ricerca per il caso. Le ricerche consentono di trovare gli elementi da raccogliere per il caso.

1. Selezionare Crea una ricerca. Se si tratta di un nuovo caso senza ricerche precedenti, è anche possibile selezionare Crea una ricerca nel riquadro principale in Avvia ricerca dei dati pertinenti.

2. Nella pagina Immettere i dettagli per iniziare completare i campi seguenti:

   • Nome ricerca: assegnare un nome alla ricerca (obbligatorio). Il nome della ricerca deve essere univoco nell'organizzazione
   • Descrizione della ricerca: aggiungere una descrizione facoltativa per consentire ad altri utenti di comprendere questa ricerca.

3. Selezionare Crea per creare la nuova ricerca e avviare le query per trovare i dati rilevanti per il caso.

4. Nella scheda Query della ricerca aggiungere origini dati per la ricerca

5. Selezionare Aggiungi origini dati.

6. Nel riquadro a comparsa Gestisci origini dati si aggiungeranno o si rimuoveranno le origini dati per la query di ricerca. È possibile scegliere uno o più utenti, gruppi, posizioni dell'organizzazione.

   • Immettere gli utenti, i gruppi o le posizioni dell'organizzazione specifici da aggiungere nel campo di ricerca.
   • Selezionare il menu puntini di sospensione per consentire agli utenti di visualizzare i primi dieci collaboratori frequenti e selezionare le cassette postali e i siti associati per questi utenti.
   • Per eseguire una ricerca a livello di organizzazione, è possibile scegliere di aggiungere tutti gli utenti, i gruppi o i percorsi dell'organizzazione, è possibile selezionare Tutte le persone e i gruppi, Tutte le app e Tutte le cartelle pubbliche , se applicabile dalle opzioni del campo di ricerca.

7. Selezionare Salva. È stato ora definito l'ambito delle origini dati esaminate dalle query di ricerca.

8. Per definire i parametri della query di ricerca, è possibile scegliere tra le opzioni seguenti nella scheda Query :

   • Generatore di condizioni: l'opzione generatore di condizioni nella ricerca offre un'esperienza di filtro visivo quando si compilano query di ricerca in eDiscovery (anteprima). Per informazioni dettagliate sulla compilazione di query di ricerca con l'opzione generatore di condizioni, vedere Usare il generatore di condizioni per creare query di ricerca in eDiscovery (anteprima).For detailed information about building search queries with the condition builder option, see Use the condition builder to create search queries in eDiscovery (preview).

   • Keyword Query Language (KeyQL): l'opzione di query KQL (Keyword Query Language) nella ricerca fornisce indicazioni e consente di incollare rapidamente query lunghe e complesse direttamente nell'editor. Consente inoltre di creare query di ricerca da zero e di identificare potenziali errori e di visualizzare suggerimenti su come risolvere i problemi. Per informazioni dettagliate sulla compilazione di query di ricerca con l'opzione KeyQL, vedere Use Keyword Query Language to create search queries in eDiscovery (anteprima).

     È anche possibile compilare rapidamente query KeyQL per la ricerca usando Microsoft Copilot per la sicurezza. Per indicazioni, vedere la sezione seguente in questo articolo.

   • Ricerca per file: caricare uno o più file per trovare contenuto correlato o simile per un caso specifico. Usare il csv dell'attività di controllo per trovare i messaggi e i file correlati per un utente specifico entro un intervallo di tempo specifico. In alternativa, fornire prove di esempio per trovare contenuti simili. Ogni file è limitato a dimensioni massime di 10 MB e i file possono essere csv o txt. Le opzioni di compilazione query e KQL sono disabilitate durante la ricerca per file.

9. Selezionare Esegui query. Per salvare i parametri di query definiti ed eseguire la query in un secondo momento, selezionare Salva come bozza.

Creare una query di ricerca KeyQL con Microsoft Copilot (anteprima)

L'opzione generatore KeyQL di Query in linguaggio naturale (anteprima) nella ricerca consente di usare il linguaggio naturale e Microsoft Copilot per la sicurezza per generare rapidamente un'istruzione KeyQL (Keyword Query Language). Usare il generatore per costruire query complesse con funzionalità aggiuntive, tra cui AND, OR e raggruppamento di condizioni, il tutto usando i prompt del linguaggio naturale.

Questa funzionalità consente di creare più facilmente query usando richieste predefinite per scenari di esempio e consente di perfezionare e migliorare le richieste personalizzate per query di ricerca più accurate. È anche possibile scegliere di usare i suggerimenti di richiesta come punto di partenza per creare e perfezionare le query KeyQL per scenari di ricerca comuni o personalizzati.

Per creare una query di ricerca con Copilot, seguire questa procedura:

1. Dopo aver selezionato le origini dati per la query, selezionare Bozza di una query con Copilot.
2. Nel riquadro Prompt del linguaggio naturale scegliere una delle opzioni seguenti:
   • Immettere la domanda della query di ricerca. È possibile includere l'utente, l'origine dati e altri dettagli sul contenuto in base alle esigenze.
   • Selezionare Visualizza richieste per selezionare uno dei suggerimenti seguenti:
     • Trovare tutti i messaggi di posta elettronica contenenti le parole budget e finance e avere allegati
     • Cerca in tutte le chat del mese di gennaio 2020 che contengono la parola "esercizio finanziario"
     • Cercare file di tipo .docx contenenti le parole confidential e budget
3. Esaminare il prompt del linguaggio naturale. Per perfezionare la richiesta con Copilot, selezionare Affina.
4. Al termine della richiesta, selezionare Genera KeyQL.
5. Esaminare la query KeyQL nel riquadro dei risultati KeyQL (Keyword Query Language). Se è necessario perfezionare i risultati della query KeyQL, è possibile aggiornare la richiesta nel riquadro prompt del linguaggio naturale e selezionare di nuovo Genera KeyQL . 1. Quando i risultati di KeyQL sono finalizzati, selezionare Copia KeyQL.
6. Incollare i risultati di KeyQL nel campo query nella scheda Linguaggio di query parola chiave (KeyQL). È possibile chiudere Bozza di una query con Copilot.
7. Selezionare Esegui query. Per salvare i parametri di query definiti ed eseguire la query in un secondo momento, selezionare Salva come bozza.

Eseguire una query di ricerca

Dopo aver creato una query di ricerca manualmente o usando Microsoft Copilot per la sicurezza, è possibile eseguire la query e generare i risultati della ricerca.

Per eseguire una query di ricerca, seguire questa procedura:

1. Passare al portale di Microsoft Purview e accedere usando le credenziali per un account utente a cui sono assegnate le autorizzazioni di eDiscovery.

2. Selezionare la scheda della soluzione eDiscovery e quindi selezionare Case (anteprima) nel riquadro di spostamento a sinistra.

3. Selezionare un caso. Nella scheda Ricerche selezionare una ricerca salvata.

4. Selezionare Esegui query.

5. Dopo aver selezionato Esegui query, verrà visualizzato il riquadro a comparsa Formato risultati query . Scegliere la visualizzazione che si vuole generare per la query e le relative impostazioni. È possibile scegliere la visualizzazione Statistiche o Esempio :

   • Statistiche: questa visualizzazione genera un riepilogo delle stime dei dati raccolti disposte in base agli indicatori principali. Scegliere una o più delle opzioni seguenti:

     • Includi categorie: perfezionare la visualizzazione per includere persone, tipi di informazioni riservate, tipi di elemento ed errori.

     • Includi report sulle parole chiave di query: valutare la pertinenza delle parole chiave per diverse parti della query di ricerca/

     • Analizzare gli elementi parzialmente indicizzati: gli elementi parzialmente indicizzati rappresentano in genere circa l'1% del contenuto nelle origini dati in base al conteggio. Selezionando questa opzione (e solo questa opzione), vengono generate informazioni di riepilogo (numero di elementi e posizione) sugli elementi parzialmente indicizzati inclusi nelle origini dati selezionate per la ricerca. Nessun elemento parzialmente indicizzato viene reindicato o elaborato. Per elaborare ulteriormente gli elementi parzialmente indicizzati nelle origini dati con ambito, prendere in considerazione le opzioni di indicizzazione avanzate seguenti:

       • Escludere gli elementi parzialmente indicizzati nelle posizioni senza riscontri di ricerca: la scelta di questa opzione aggiuntiva riduce l'ambito degli elementi parzialmente indicizzati (o l'indicizzazione avanzata se è selezionata tale opzione) limitando l'inclusione di elementi parzialmente indicizzati solo dalle origini dati che includono elementi rilevanti per la ricerca. Ciò esclude gli elementi parzialmente indicizzati da origini dati che non includono elementi rilevanti per la ricerca.

         Ad esempio, sono state selezionate più cassette postali, siti di SharePoint e siti di OneDrive come origini dati per la ricerca. Quando la ricerca viene eseguita, solo alcune delle cassette postali e dei siti hanno elementi indicizzati rilevanti per le condizioni di ricerca, le altre cassette postali e i siti non contengono elementi indicizzati in modo nativo rilevanti per le condizioni di ricerca. Se è stata selezionata questa opzione, gli elementi parzialmente indicizzati nelle cassette postali e nei siti che contengono elementi indicizzati in modo nativo rilevanti per la ricerca vengono inclusi nei risultati delle statistiche di ricerca. Gli elementi parzialmente indicizzati nelle cassette postali e nei siti che non contengono elementi indicizzati in modo nativo rilevanti per la ricerca vengono ignorati e non segnalati nei risultati delle statistiche di ricerca.

       • Eseguire l'indicizzazione avanzata su elementi parzialmente indicizzati: l'ambito di esecuzione dell'indicizzazione avanzata dipende dall'opzione Escludi elementi parzialmente indicizzati in posizioni senza riscontri di ricerca . Il processo di indicizzazione avanzato esegue un esempio di statistica di elementi parzialmente indicizzati nell'ambito e determina se questi elementi corrispondono o meno alla query:

         • Selezionata con l'opzione Escludi elementi parzialmente indicizzati in posizioni senza riscontri di ricerca : si applica agli elementi parzialmente indicizzati solo alle origini dati con elementi completamente indicizzati corrispondenti alla query di ricerca. Questi elementi vengono campionati, indicizzati e gli elementi corrispondenti alla query di ricerca vengono visualizzati nelle statistiche di ricerca (se applicabile).
         • Selezionata senza l'opzione Escludi elementi parzialmente indicizzati in posizioni senza riscontri di ricerca : si applica a tutti gli elementi parzialmente indicizzati in tutte le origini dati incluse nella ricerca. Tutti gli elementi vengono campionati, indicizzati e gli elementi corrispondenti alla query di ricerca vengono visualizzati nelle statistiche di ricerca (se applicabile).

   • Esempio: questa visualizzazione genera una selezione rappresentativa dei risultati completi della ricerca. Definire i parametri per le opzioni seguenti:

     • Selezionare il numero di elementi di esempio da generare per località: scegliere 1, 10 o 100.
     • Selezionare il numero di posizioni da cui ottenere gli esempi: scegliere 10, 100, 1000 o 10000.

6. Selezionare Esegui query per eseguire immediatamente la query.

A seconda delle opzioni di visualizzazione query selezionate, si verrà automaticamente indirizzati alla scheda Statistiche o Esempio . La valutazione della query di ricerca viene avviata e viene calcolato il tempo rimanente per elaborare la query. Per altre informazioni sulla valutazione e l'ottimizzazione dei risultati della ricerca, vedere Esaminare e valutare i risultati della ricerca.