Créer une requête de recherche pour un cas dans eDiscovery (préversion)
Vous pouvez utiliser la recherche dans eDiscovery (préversion) pour rechercher du contenu sur place tel que des e-mails, des documents et des conversations de messagerie instantanée dans votre organization qui sont pertinents pour un cas. Utilisez la recherche pour rechercher du contenu dans ces sources de données Microsoft 365 basées sur le cloud :
- Echange de boîtes aux lettres en ligne
- Sites SharePoint
- Les comptes OneDrive
- Microsoft Teams
- Groupes Microsoft 365
- Viva Engage Groupes
Vous pouvez créer et exécuter différentes recherches associées au cas. Vous utilisez des conditions (telles que des mots clés) pour créer des requêtes de recherche qui retournent des résultats de recherche avec les données les plus susceptibles d’être pertinentes pour le cas. Vous pouvez également :
- Affichez les statistiques de recherche qui peuvent vous aider à affiner une requête de recherche pour affiner les résultats.
- Affichez un aperçu des résultats de la recherche pour vérifier rapidement si les données pertinentes sont trouvées.
- Modifiez une requête et réexécutez la recherche.
Une fois que vous avez recherché et trouvé des données pertinentes pour votre enquête, vous pouvez envoyer les résultats à un jeu de révision pour une investigation plus approfondie ou les exporter pour qu’ils soient examinés par des personnes extérieures à l’équipe d’enquête.
Remarque
Pour les organisations qui ont des exigences du Règlement général sur la protection des données (RGPD) de l’UE pour protéger et activer les droits de confidentialité des individus au sein de l’Union européenne (UE), vous pouvez également gérer les enquêtes en réponse à une demande de personne concernée (DSR) soumise par une personne dans votre organization. L’outil de cas de recherche de données utilisateur a été mis hors service et ses fonctionnalités ont été fusionnées avec eDiscovery (préversion). Vous pouvez maintenant utiliser la recherche pour rechercher du contenu afin de prendre en charge les DSR de tous les emplacements pris en charge par les recherches eDiscovery.
Conseil
Bien démarrer avec Microsoft Copilot pour la sécurité afin d’explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.
Conseils de recherche
- Le fuseau horaire de toutes les recherches est le temps universel coordonné (UTC). La modification des fuseaux horaires pour votre organization n’est actuellement pas prise en charge. Les paramètres d’affichage de fuseau horaire dans l’affichage de recherche s’appliquent uniquement aux valeurs de la colonne Données et n’affectent pas les horodatages sur les éléments collectés.
- Les recherches par mot clé ne respectent pas la casse. Par exemple, cat et CAT renvoient les mêmes résultats.
- Les opérateurs booléens AND, OR, NOT et NEAR doivent être en majuscules.
- L’utilisation de guillemets arrête les caractères génériques et toutes les opérations à l’intérieur des guillemets.
- Un espace entre deux mots clés ou deux
property:value
expressions est identique à l’utilisation de OR. Par exemple,from:"Sara Davis" subject:reorganization
retourne tous les messages envoyés par Sara Davis ou les messages qui contiennent le mot réorganisation dans la ligne d’objet. Toutefois, l’utilisation d’une combinaison d’espaces et de conditions OR dans une seule requête peut entraîner des résultats inattendus. Nous vous recommandons d’utiliser des espaces ou OU dans une seule requête. - Utilisez une syntaxe qui correspond au
property:value
format. Les valeurs ne respectent pas la casse et ne peuvent pas avoir d’espace après l’opérateur. S’il existe un espace, votre valeur prévue est une recherche en texte intégral. Par exempleto: pilarp
, recherche « pilarp » comme mot clé, plutôt que pour les messages envoyés à pilarp. - Lorsque vous lancez une recherche sur une propriété de destinataire, telle que To, From, Cc ou Recipients, vous pouvez utiliser une adresse SMTP, un alias ou un nom d'affichage pour désigner un destinataire. Par exemple, vous pouvez utiliser pilarp@contoso.com, pilarp ou « Pilar Pinilla ».
- Vous ne pouvez utiliser que des recherches de préfixe ; par exemple, cat* ou set*. Les recherches de suffixe (*cat), les recherches infix (c*t) et les recherches de sous-chaînes (*cat*) ne sont pas prises en charge.
- Lorsque vous recherchez une propriété, utilisez des guillemets (" ") si la valeur est composée de plusieurs mots. Par exemple,
subject:budget Q1
retourne des messages qui contiennent le budget dans la ligne d’objet et qui contiennent Q1 n’importe où dans le message ou dans l’une des propriétés du message. L’utilisationsubject:"budget Q1"
de renvoie tous les messages qui contiennent le budget Q1 n’importe où dans la ligne d’objet. - Pour exclure de vos résultats de recherche du contenu marqué avec une certaine valeur de propriété, placez un signe moins (-) avant le nom de la propriété. Par exemple,
-from:"Sara Davis"
exclut tous les messages envoyés par Sara Davis. - Vous pouvez exporter des éléments en fonction du type de message. Par exemple, pour exporter des conversations et des conversations Skype dans Microsoft Teams, utilisez la syntaxe
kind:im
. Pour renvoyer uniquement les messages électroniques, vous devez utiliserkind:email
. Pour retourner des conversations, des réunions et des appels dans Microsoft Teams, utilisezkind:microsoftteams
. - Lors de la recherche de sites, vous devez ajouter la fin
/
de l’URL lors de l’utilisation de lapath
propriété pour renvoyer uniquement les éléments d’un site spécifié. Si vous n’incluez pas la fin/
, les éléments d’un site avec un nom de chemin d’accès similaire sont également retournés. Par exemple, si vous utilisezpath:sites/HelloWorld
, les éléments des sites nomméssites/HelloWorld_East
ousites/HelloWorld_West
sont également retournés. Pour renvoyer des éléments uniquement à partir du site HelloWorld, vous devez utiliserpath:sites/HelloWorld/
. - Le pays/région langue de la requête doit être défini dans votre requête de recherche avant de collecter du contenu.
- Lors de la recherche d’e-mails dans les dossiers envoyés , l’utilisation de l’adresse SMTP de l’expéditeur n’est pas prise en charge. Les éléments du dossier Envoyé contiennent uniquement des noms d’affichage.
Créer une requête de recherche
Conseil
Préférez-vous une expérience de guide de configuration interactive ? Consultez le guide Concevoir une recherche .
Après avoir créé un cas, vous êtes automatiquement dirigé vers l’onglet Recherches dans le cas et vous êtes prêt à créer une recherche pour le cas. Les recherches vous aident à trouver les éléments que vous souhaitez collecter pour le cas.
Sélectionnez Créer une recherche. S’il s’agit d’un nouveau cas sans recherche précédente, vous pouvez également sélectionner Créer une recherche dans le volet main sous Démarrer la recherche de données pertinentes.
Dans la page Entrer les détails pour commencer, renseignez les champs suivants :
- Nom de la recherche : donnez un nom à la recherche (obligatoire). Le nom de la recherche doit être unique dans votre organization
- Description de la recherche : ajoutez une description facultative pour aider les autres utilisateurs à comprendre cette recherche.
Sélectionnez Créer pour créer la recherche et démarrer vos requêtes afin de trouver les données pertinentes pour le cas.
Sous l’onglet Requête de la recherche, ajoutez des sources de données pour votre recherche
Sélectionnez Ajouter des sources de données.
Dans le volet volant Gérer les sources de données , vous allez ajouter ou supprimer des sources de données pour votre requête de recherche. Vous pouvez choisir un ou plusieurs utilisateurs, groupes organization emplacements.
- Entrez les utilisateurs, les groupes ou les emplacements organization spécifiques que vous souhaitez ajouter dans le champ de recherche.
- Sélectionnez le menu ellipse pour permettre aux utilisateurs d’afficher les dix principaux collaborateurs fréquents et de sélectionner les boîtes aux lettres et les sites associés pour ces utilisateurs.
- Pour exécuter une recherche à l’échelle du organization, vous pouvez choisir d’ajouter tous les utilisateurs, groupes ou emplacements organization. Vous pouvez sélectionner Toutes les personnes et groupes, Toutes les applications et Tous les dossiers publics, le cas échéant, dans les options du champ de recherche.
Sélectionnez Enregistrer. Vous avez maintenant limité les sources de données que vos requêtes de recherche examinent.
Pour définir les paramètres de votre requête de recherche, vous pouvez choisir parmi les options suivantes sous l’onglet Requête :
Générateur de conditions : l’option générateur de conditions dans la recherche fournit une expérience de filtrage visuel lorsque vous créez des requêtes de recherche dans eDiscovery (préversion). Pour plus d’informations sur la création de requêtes de recherche avec l’option générateur de conditions, consultez Utiliser le générateur de conditions pour créer des requêtes de recherche dans eDiscovery (préversion) .
Langage de requête par mot clé (KeyQL) : l’option de requête KQL (Keyword Query Language) dans la recherche fournit des conseils et vous permet de coller rapidement des requêtes longues et complexes directement dans l’éditeur. Il vous aide également à créer des requêtes de recherche à partir de zéro, à identifier les erreurs potentielles et à afficher des conseils sur la façon de résoudre les problèmes. Pour plus d’informations sur la création de requêtes de recherche avec l’option KeyQL, consultez Utiliser le langage de requête par mot clé pour créer des requêtes de recherche dans eDiscovery (préversion) .
Vous pouvez également créer rapidement des requêtes KeyQL pour votre recherche à l’aide de Microsoft Copilot pour la sécurité. Pour obtenir des conseils, consultez la section suivante de cet article.
Rechercher par fichier : chargez un ou plusieurs fichiers pour rechercher du contenu connexe ou similaire pour un cas spécifique. Utilisez le fichier csv d’activité d’audit pour rechercher des messages et des fichiers associés pour un utilisateur spécifique dans un laps de temps spécifique. Ou fournissez un exemple de preuve pour trouver un contenu similaire. Chaque fichier est limité à une taille maximale de 10 Mo, et les fichiers peuvent être csv ou txt. Les options build de requête et KQL sont désactivées lors de la recherche par fichier.
Sélectionnez Exécuter la requête. Si vous souhaitez enregistrer les paramètres de requête que vous avez définis et exécuter la requête ultérieurement, sélectionnez Enregistrer en tant que brouillon.
Créer une requête de recherche KeyQL avec Microsoft Copilot (préversion)
L’option Générateur keyQL de requête en langage naturel (préversion) dans la recherche vous permet d’utiliser le langage naturel et Microsoft Copilot pour la sécurité afin de générer rapidement une instruction KeyQL (Keyword Query Language). Utilisez le générateur pour construire des requêtes complexes avec des fonctionnalités supplémentaires, notamment AND, OR et le regroupement de conditions, tout en utilisant des invites en langage naturel.
Cette fonctionnalité vous permet de créer des requêtes plus facilement à l’aide d’invites prédéfinies pour des scénarios par exemple et vous permet d’affiner et d’améliorer les invites personnalisées pour des requêtes de recherche plus précises. Vous pouvez également choisir d’utiliser des suggestions d’invite comme point de départ pour créer et affiner des requêtes KeyQL pour des scénarios de recherche courants ou personnalisés.
Pour créer une requête de recherche avec Copilot, procédez comme suit :
- Une fois que vous avez sélectionné des sources de données pour votre requête, sélectionnez Brouillon d’une requête avec Copilot.
- Dans le volet d’invite en langage naturel , choisissez l’une des options suivantes :
- Entrez votre question de requête de recherche. Vous pouvez inclure l’utilisateur, la source de données et d’autres détails de contenu, le cas échéant.
- Sélectionnez Afficher les invites pour sélectionner l’une des suggestions d’invite suivantes :
- Rechercher tous les e-mails contenant les mots budget et finance et avoir des pièces jointes
- Rechercher dans toutes les conversations du mois de janvier 2020 qui contiennent le mot « exercice financier »
- Rechercher des fichiers de type .docx qui contiennent les mots confidentiel et budget
- Passez en revue l’invite de langage naturel. Pour affiner l’invite avec Copilot, sélectionnez Affiner.
- Une fois l’invite finalisée, sélectionnez Générer un keyQL.
- Passez en revue la requête KeyQL dans le volet de résultats KeyQL (Keyword Query Language). Si vous devez affiner les résultats de la requête KeyQL, vous pouvez mettre à jour l’invite dans le volet d’invite en langage naturel et sélectionner à nouveau Générer une cléQL . 1. Une fois les résultats KeyQL finalisés, sélectionnez Copier keyQL.
- Collez les résultats KeyQL dans le champ de requête sous l’onglet Langage de requête de mot clé (KeyQL). Vous pouvez fermer Brouillon d’une requête avec Copilot.
- Sélectionnez Exécuter la requête. Si vous souhaitez enregistrer les paramètres de requête que vous avez définis et exécuter la requête ultérieurement, sélectionnez Enregistrer en tant que brouillon.
Exécution d’une requête de recherche
Une fois que vous avez créé une requête de recherche manuellement ou à l’aide de Microsoft Copilot pour la sécurité, vous êtes prêt à exécuter la requête et à générer les résultats de la recherche.
Pour exécuter une requête de recherche, procédez comme suit :
Accédez au portail Microsoft Purview et connectez-vous à l’aide des informations d’identification d’un compte d’utilisateur affecté à des autorisations eDiscovery.
Sélectionnez la solution eDiscovery carte, puis sélectionnez Cas dans la navigation de gauche.
Sélectionnez un cas. Sous l’onglet Recherches , sélectionnez une recherche enregistrée.
Sélectionnez Exécuter la requête.
Une fois que vous avez sélectionné Exécuter la requête, le volet de menu volant Mettre en forme les résultats de la requête s’affiche. Choisissez la vue que vous souhaitez générer pour la requête et ses paramètres. Vous pouvez choisir l’affichage Statistiques ou Exemple :
Statistiques : cette vue génère un résumé des estimations des données collectées organisées par indicateurs principaux. Choisissez une ou plusieurs des options suivantes :
- Inclure des catégories : affinez votre vue pour inclure des personnes, des types d’informations sensibles, des types d’éléments et des erreurs.
- Inclure le rapport sur les mots clés de requête : Évaluer mot clé pertinence pour différentes parties de votre requête de recherche/
- Examiner les éléments partiellement indexés : les éléments partiellement indexés représentent généralement environ un pour cent du contenu par nombre. Vous pouvez également choisir d’effectuer une indexation avancée sur des éléments partiellement indexés et d’exclure des éléments partiellement indexés dans des emplacements sans résultats de recherche.
Exemple : cette vue génère une sélection représentative des résultats complets de la recherche. Définissez les paramètres pour les options suivantes :
- Sélectionnez le nombre d’exemples d’éléments à générer par emplacement : choisissez 1, 10 ou 100.
- Sélectionnez le nombre d’emplacements à partir duquel obtenir des exemples : choisissez 10, 100, 1000 ou 10 000.
Sélectionnez Exécuter la requête pour exécuter immédiatement la requête.
Selon les options d’affichage de requête que vous avez sélectionnées, vous êtes automatiquement dirigé vers l’onglet Statistiques ou Exemple . L’évaluation de la requête de recherche est démarrée et le temps restant pour traiter la requête est calculé. Pour plus d’informations sur l’évaluation et l’optimisation de vos résultats de recherche, consultez Examiner et évaluer les résultats de la recherche.