电子数据展示解决方案系列:数据溢出方案 - 搜索和清除
提示
电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版) 。
什么是数据泄漏,为什么要关心? 数据溢出是指将机密文档释放到不受信任的环境的情形。 检测到数据溢出事件时,必须快速评估溢出的大小和位置,检查其周围的用户活动,然后从系统中永久清除溢出的数据。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
数据溢出方案
你是 Contoso 的首席信息安全官。 系统会告知你数据泄漏情况,即员工在不知不觉中通过电子邮件与多个人员共享了高度机密的文档。 你希望快速评估谁在内部和外部收到了此文档。 确定后,你希望与其他调查人员共享案例发现结果进行审阅,然后从Office 365永久删除数据。 调查完成后,你需要生成一份包含永久删除证据和其他事例详细信息的报告供将来参考。
本文的范围
本文档提供了有关如何从 Microsoft 365 永久删除邮件以使其不可访问或不可恢复的说明列表。 若要删除邮件并使其在已删除项目保留期到期之前可恢复,请参阅 在组织中搜索和删除电子邮件。
管理数据溢出事件的工作流
下面介绍如何管理数据溢出事件:
步骤 1:管理谁可以访问案例并设置符合性边界 (可选)
步骤 2:创建电子数据展示案例
步骤 3:搜索溢出的数据
步骤 4:查看和验证案例发现结果
步骤 5:使用消息跟踪日志检查溢出数据的共享方式
步骤 6:准备邮箱
步骤 7:永久删除溢出的数据
步骤 8:验证、提供删除证明和审核
开始之前要了解的事项
- 本文中所述的数据溢出工作流不会删除 Microsoft Teams 中的聊天消息。 若要搜索和删除 Teams 聊天消息,请参阅 在 Teams 中搜索和清除聊天消息。
- 邮箱处于保留状态时,已删除的邮件将保留在“可恢复邮件”文件夹中,直到保留期到期或释放保留期。 步骤 6 介绍如何从邮箱中删除保留。 在删除保留之前,请咨询记录管理或法律部门。 你的组织可能有一个策略,用于定义邮箱保留或数据泄漏事件是否优先。
- 若要控制数据泄漏调查人员可以搜索和管理哪些用户邮箱可以访问案例,可以设置合规性边界并创建自定义角色组,如 步骤 1 中所述。 为此,你必须是“组织管理”角色组的成员或分配有角色管理角色。 如果你或组织中的管理员已设置符合性边界,则可以跳过步骤 1。
- 若要创建案例,必须是电子数据展示管理器角色组的成员,或者是分配有案例管理角色的自定义角色组的成员。 如果你不是成员,请让 Microsoft 365 管理员 将你添加到电子数据展示管理员角色组。
- 若要创建并运行内容搜索,您必须是电子数据展示管理员角色组的成员,或者分配有“合规性搜索”管理角色。 若要删除邮件,您必须是组织管理角色组的成员或分配有“搜索并清除”管理角色。 有关将用户添加到角色组的信息,请参阅分配电子数据展示权限。
- 若要在步骤 8 中搜索审核日志电子数据展示活动,必须为组织启用审核。 可以搜索过去 90 天内执行的活动。 若要详细了解如何启用和使用审核,请参阅步骤 8 中的 审核数据溢出调查过程 部分。
(可选) 步骤 1:管理谁可以访问案例并设置符合性边界
根据组织实践,你需要控制谁可以访问用于调查数据泄漏事件和设置合规性边界的电子数据展示案例。 执行此操作的最简单方法是将调查人员添加为Microsoft Purview 合规门户中现有角色组的成员,然后将角色组添加为电子数据展示案例的成员。 有关内置电子数据展示角色组以及如何将成员添加到电子数据展示事例的信息,请参阅分配电子数据展示权限。
你还可以创建符合自己组织需求的新角色组。 例如,你可能希望组织中的一组数据泄漏调查人员访问并协作处理所有数据泄漏案例。 为此,可以创建“数据溢出调查员”角色组,分配相应的角色 (导出、RMS 解密、审阅、预览、合规性搜索和案例管理) ,将数据溢出调查员添加到角色组,然后将角色组添加为数据溢出电子数据展示案例的成员。 有关如何执行此操作的详细说明,请参阅在 Office 365 中为电子数据展示调查设置符合性边界。
步骤 2:创建电子数据展示案例
电子数据展示事例提供了一种管理数据溢出调查的高效方法。 可以将成员添加到在步骤 1 中创建的角色组,将角色组添加为新电子数据展示案例的成员,执行迭代搜索以查找溢出的数据,导出要共享的报表,跟踪案例的状态,然后根据需要返回案例的详细信息。 考虑为用于数据溢出事件的电子数据展示事例建立命名约定,并在案例名称和说明中尽可能多地提供信息,以便将来可以根据需要查找和引用。
若要创建新案例,可以在Microsoft Purview 合规门户中使用电子数据展示。 请参阅 电子数据展示 (标准版) 中的 “创建新案例”。
步骤 3:搜索溢出的数据
创建案例和托管访问权限后,可以使用该案例进行迭代搜索以查找溢出的数据,并确定包含溢出数据的邮箱。 你将使用用于查找电子邮件的相同搜索查询来删除 步骤 7 中的相同邮件。
若要创建与电子数据展示事例关联的内容搜索,请参阅 在电子数据展示 (标准) 事例中搜索内容。
重要
在搜索查询中使用的关键字可能包含要搜索的实际溢出数据。 例如,如果搜索包含社会安全号码的文档,并将其用作搜索关键字 (keyword) ,则必须随后删除查询以避免进一步溢出。 请参阅删除步骤 8 中的 搜索查询 。
步骤 4:查看和验证案例发现结果
创建内容搜索后,需要查看并验证搜索结果,并验证它们是否仅包含必须删除的电子邮件。 在内容搜索中,你可以预览 1,000 封电子邮件的随机采样,而无需导出搜索结果,这样可避免进一步数据溢出。 有关预览限制的详细信息,请参阅 内容搜索的限制。
如果每个邮箱有 1,000 个以上的邮箱或 100 多封电子邮件要查看,则可以使用其他关键字或条件(如日期范围或发件人/收件人)将初始搜索划分为多个搜索,并单独查看每个搜索结果。 请务必记下 删除步骤 7 中的邮件时要使用的所有搜索查询。
当找到包含溢出数据的电子邮件时,请检查邮件的收件人以确定邮件是否在外部共享。 若要进一步跟踪邮件,可以收集发件人信息和日期范围,以便可以使用邮件跟踪日志。 此过程在 步骤 5 中介绍。
验证搜索结果后,你可能需要与其他人共享调查结果以进行二次审阅。 在步骤 1 中分配给事例的人员可以查看电子数据展示和 Microsoft Purview 电子数据展示(高级版)中的事例内容,并批准事例调查结果。 你还可以在不导出实际内容的情况下生成报告。 还可以将此同一报表用作删除证明,如 步骤 8 中所述。
若要生成统计报告,请执行以下操作:
转到电子数据展示事例中的 “搜索 ”页,然后选择要为其生成报表的搜索。
在浮出控件页上,选择“ 更多 > 导出报表”。
将显示“导出报表”页。
选择“ 所有项”,包括格式无法识别、已加密或由于其他原因未编制索引 的项目,然后选择“ 生成报表”。
在电子数据展示事例中,选择“ 导出 ”以显示导出作业的列表。 可能需要选择“ 刷新” 以更新列表以显示创建的导出作业。
选择导出作业,然后在浮出控件页上选择 “下载 报表”。
“导出摘要”报表包含与结果一起找到的位置数和搜索结果的大小。 可以使用此表与删除后生成的报表进行比较,并提供作为删除证明。 结果报告包含搜索结果的更详细摘要,包括主题、发件人、收件人、电子邮件是否已阅读、日期和每封邮件的大小。 如果此报表中的任何详细信息包含实际溢出的数据,请确保在调查完成后永久删除 Results.csv 文件。
有关导出报表的详细信息,请参阅 导出内容搜索报表。
步骤 5:使用消息跟踪日志检查溢出数据的共享方式
若要进一步调查是否共享了包含溢出数据的电子邮件,可以选择使用发件人信息和步骤 4 中收集的日期范围信息查询邮件跟踪日志。 邮件跟踪的实时数据保持期为 30 天,历史数据保持期为 90 天。
可以在 Microsoft Purview 合规门户中使用消息跟踪,也可以在 PowerShell Exchange Online 中使用相应的 cmdlet。 请务必注意,邮件跟踪不能完全保证所返回数据的完整性。 有关使用消息跟踪的详细信息,请参阅:
步骤 6:准备邮箱
查看并验证搜索结果是否仅包含必须删除的邮件后,需要收集受影响邮箱的电子邮件地址列表,以在删除溢出的数据时在步骤 7 中使用。 您可能还必须准备邮箱,然后才能永久删除电子邮件,具体取决于是否在包含溢出数据的邮箱上启用了单个项目恢复,或者是否保留其中任何邮箱。
获取包含溢出数据的邮箱地址列表
注意
在有限的时间内,新的 Microsoft Purview 门户中也提供了此经典电子数据展示体验。 在电子数据展示 (预览版中启用合规性门户经典电子数据展示体验) 体验设置,以便在新的 Microsoft Purview 门户中显示经典体验。
可通过两种方法收集包含溢出数据的邮箱的电子邮件地址列表。
选项 1:获取包含溢出数据的邮箱地址列表
打开电子数据展示案例,转到 “搜索 ”页,然后选择相应的内容搜索。
在浮出控件页上,选择“ 查看结果”。
在 “单个结果 ”下拉列表中,选择“ 搜索统计信息”。
在 “类型” 下拉列表中,选择“ 热门位置”。
将显示包含搜索结果的邮箱列表。 还会显示每个邮箱中与搜索查询匹配的项目数。
复制列表中的信息并将其保存到文件,或选择“ 下载 ”将信息下载到 CSV 文件。
选项 2:从导出报表获取邮箱位置
打开在 步骤 4 中下载的“导出摘要”报表。 在报表的第一列中,每个邮箱的电子邮件地址在 “位置”下列出。
准备邮箱,以便删除溢出的数据
如果启用了单个项目恢复或邮箱处于保留状态,则永久删除 (清除) 邮件将保留在“可恢复的项目”文件夹中。 因此,在清除溢出的数据之前,需要检查现有邮箱配置,禁用单个项目恢复并删除任何保留或保留策略。 请记住,你可以一次准备一个邮箱,然后在不同的邮箱上运行相同的命令,或创建一个 PowerShell 脚本来同时准备多个邮箱。
- 有关如何在启用单个项目恢复或邮箱处于保留状态或邮箱被分配到保留策略时如何检查的说明,请参阅删除基于云的邮箱的“可恢复项目”文件夹中的“步骤 1:收集有关邮箱的信息”。
- 有关禁用单个项目恢复的说明,请参阅 “删除基于云的邮箱的可恢复项目”文件夹中 的“步骤 2:准备邮箱”。
- 有关如何从邮箱中删除保留或保留策略的说明,请参阅 删除基于云的邮箱的“可恢复项目”文件夹中的 “步骤 3:删除邮箱中的所有保留项”。
- 有关删除任何类型的保留后删除邮箱上的延迟保留的说明,请参阅 删除基于云的邮箱的“可恢复的项目”文件夹中 的“步骤 4:删除邮箱中的延迟保留”。
重要
在删除保留或保留策略之前,请咨询记录管理或法律部门。 你的组织可能有一个策略,用于定义邮箱保留或数据泄漏事件是否优先。
在验证溢出的数据是否已永久删除后,请务必将邮箱还原以前的配置。 请参阅 步骤 7 中的详细信息。
步骤 7:永久删除溢出的数据
使用在步骤 6 中收集和准备的邮箱位置,以及步骤 3 中创建和优化以查找包含溢出数据的电子邮件的搜索查询,现在可以永久删除溢出的数据。 如前所述,若要删除邮件,你必须是“组织管理”角色组的成员或分配有“搜索和清除”管理角色。 有关将用户添加到角色组的信息,请参阅分配电子数据展示权限。
若要删除溢出的邮件,请参阅 搜索和删除电子邮件。
删除溢出的数据时,请记住以下限制:
搜索中可用于通过执行搜索和清除操作删除项目的邮箱的最大数目为 50,000。 如果在步骤 3 中创建的搜索搜索搜索的邮箱超过 50,000 个,则清除操作将失败。 如果将搜索配置为包括组织内的所有邮箱,则单次搜索中一般有可能搜索到超过 50,000 个邮箱。 即使包含匹配搜索查询项目的邮箱数量少于 50,000 个,这一限制仍然适用。
一次最多可以删除每个邮箱的 10 封邮件。 因为搜索和删除邮件的功能是用作事件响应工具,所以此限制可帮助确保从邮箱中快速删除邮件。 此功能并不用于清理用户邮箱。
重要
使用本文中的程序,无法删除电子数据展示(高级版)案例中的审阅集中的电子邮件项目。 这是因为审阅集中的项是实时服务中复制并存储在 Azure 存储位置中的项的副本。 这意味着在步骤 3 中创建的内容搜索不会返回它们。 若要删除某个审阅集中的项目,必须删除包含该审阅集的电子数据展示(高级版)案例。 有关详细信息,请参阅关闭或删除电子数据展示(高级版)案例。
步骤 8:验证、提供删除证明和审核
管理数据溢出事件的工作流中的最后一步是通过转到电子数据展示案例并重新运行用于删除该数据的同一搜索查询来验证溢出的数据是否已从邮箱中永久删除,以确认未返回任何结果。 确认已永久删除溢出数据后,可以导出报告并将其(连同原始报告)作为删除证明。 然后,可以 关闭案例, 如果将来必须引用它,则允许重新打开它。 此外,还可以将邮箱还原其以前的状态,删除用于查找溢出数据的搜索查询,并搜索管理数据溢出事件时执行的任务的审核记录。
将邮箱还原到其以前的状态
如果在删除溢出的数据之前更改了步骤 6 中的任何邮箱配置来准备邮箱,则需要将其还原为以前的状态。 请参阅 删除基于云的邮箱的“可恢复邮件”文件夹中的“步骤 6:将邮箱还原到其以前的状态”。
删除搜索查询
如果在步骤 3 中创建并使用的搜索查询中的关键字包含一些实际溢出的数据,则应删除搜索查询以防止进一步的数据溢出。
注意
在有限的时间内,新的 Microsoft Purview 门户中也提供了此经典电子数据展示体验。 在电子数据展示 (预览版中启用合规性门户经典电子数据展示体验) 体验设置,以便在新的 Microsoft Purview 门户中显示经典体验。
在Microsoft Purview 合规门户中,打开电子数据展示事例,转到“搜索”页,然后选择相应的内容搜索。
在浮出控件页上,选择“ 删除”。
审核数据泄漏调查过程
可以在审核日志中搜索在调查期间执行的电子数据展示活动。 还可以搜索审核日志以返回在步骤 7 中运行的 New-ComplianceSearchAction -Purge 命令的审核记录,以删除溢出的数据。 有关更多信息,请参阅: