Compartilhar via


Utilizar o construtor de condições para criar consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização)

O construtor de condições fornece uma experiência de pesquisa fácil de utilizar quando cria consultas de pesquisa na Deteção de Dados Eletrónicos (pré-visualização). Utilize o construtor de condições em conjuntos de pesquisa e revisão para construir consultas de palavra-chave simples e complexas, consultas com operadores (AND, OR) ou ambos para ajudar a identificar itens na sua organização.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Utilizar o construtor de condições

Para criar uma consulta e filtragem condicional personalizada para a sua pesquisa, utilize os seguintes controlos:

  • Palavras-chave: esta condição comum está sempre disponível como primeira condição na sua consulta e ajuda-o a começar rapidamente a procurar tarefas. A condição Palavras-chave só suporta o operador Igual e pode ser excluída da consulta ao deixar o campo de valor em branco. Para adicionar mais condições de Palavras-chave , selecione Adicionar condições e selecione Palavras-chave.
  • Adicionar condições: permite-lhe adicionar uma condição para as origens de dados específicas para a pesquisa. Para adicionar condições adicionais à consulta, selecione Adicionar condições para apresentar a lista de condições disponíveis. Cada seleção de valor de condição adiciona uma nova condição à consulta. Escolha o operador E/OU conforme adequado.
  • E/OU: estes operadores lógicos condicionais permitem-lhe selecionar a operação de consulta que se aplica a uma condição específica. Estes operadores permitem-lhe utilizar várias condições ligadas à consulta.
  • Selecionar um operador: consoante a condição selecionada, os operadores compatíveis com a condição estão disponíveis para selecionar. Por exemplo, se a condição Data estiver selecionada, os operadores disponíveis serão Antes, Depois e Entre. Se a condição Tamanho (em bytes) estiver selecionada, os operadores disponíveis são Maiores ouiguais, Menor que, Menor ou igual, Entre e Igual.
  • Valor: dependendo da condição selecionada, os valores compatíveis com a condição estão disponíveis no painel de detalhes do valor ou pode adicionar inline. Consoante o tipo de condição associado ao valor, verá opções para definir, filtrar ou procurar valores associados à condição selecionada. Por exemplo, se selecionar Remetente como a condição, pode procurar e adicionar utilizadores específicos na sua organização ou utilizadores externos. Se selecionar Tamanho (em bytes) como a condição, verá a opção de introduzir um número para o tamanho como o valor. Se o valor estiver em branco, o limite do campo de valor é apresentado a vermelho para ajudar a notificá-lo de que é necessário um valor.
  • Remover uma condição de filtro: para remover uma condição individual, selecione o ícone remover à direita de cada linha de filtro.
  • Guardar como rascunho: para guardar o conjunto atual de condições como um rascunho, selecione Guardar como rascunho no menu pendente da consulta.
  • Eliminar: para eliminar quaisquer alterações efetuadas à pesquisa, incluindo condições e origem de dados, selecione Eliminar no menu pendente Guardar como rascunho .

Diretrizes para o uso de condições

Lembre-se do seguinte ao usar condições de pesquisa.

  • Uma condição está logicamente ligada à consulta palavra-chave (especificada na caixa palavra-chave) por operadores AND e OR. Isso significa que os itens precisam atender à consulta de palavra-chave e à condição para serem incluídos nos resultados.
  • Se adicionar duas ou mais condições exclusivas a uma consulta de pesquisa (condições que especificam propriedades diferentes), essas condições são logicamente ligadas pelos operadores E e OU . Isso significa que apenas os itens que atenderem a todas as condições (além de qualquer consulta de palavra-chave) serão retornados.
  • Se você adicionar mais de uma condição à mesma propriedade, as condições serão logicamente conectadas pelo operador OR. Isso significa que os itens que atenderem à consulta de palavra-chave e a qualquer uma das condições serão retornados. Portanto, grupos das mesmas condições são conectados uns aos outros pelo operador OR, e conjuntos de condições exclusivas são conectados pelo operador AND.
  • Se você adicionar vários valores (separados por vírgulas ou ponto-e-vírgula) a uma única condição, os valores serão conectados pelo operador OR. Isso significa que os itens serão retornados se contiverem qualquer um dos valores especificados para a propriedade na condição.
  • Qualquer condição que utilize um operador com lógica Contém e É Igual a devolve resultados de pesquisa semelhantes para pesquisas de cadeias simples. Uma pesquisa de cadeia simples é uma cadeia na condição que não inclui um caráter universal). Por exemplo, uma condição que utiliza Igual a qualquer um dos devolve os mesmos itens que uma condição que utiliza Contém qualquer um dos.
  • A consulta de pesquisa criada usando a caixa de palavras-chave e condições é exibida na página Pesquisa, no painel de detalhes da pesquisa selecionada. Numa consulta, tudo à direita da notação (c:c) indica condições que são adicionadas à consulta. (c:c) não deve ser utilizado em consultas introduzidas manualmente e não é igual a E ou OU.
  • As condições só adicionam propriedades à consulta de pesquisa; não adicionam operadores. É por isso que a consulta apresentada no painel de detalhes não mostra operadores à direita da (c:c) notação. A KQL adiciona os operadores lógicos (de acordo com as regras explicadas anteriormente) ao executar a consulta.
  • Você pode usar o controle de arrastar e soltar para sequenciar novamente a ordem das condições. Selecione o controlo de uma condição e mova-a para cima ou para baixo.
  • Algumas propriedades da condição permitem-lhe escrever vários valores (separados por ponto e vírgula). Cada valor é ligado logicamente pelo operador OR e resulta na consulta (filetype=docx) OR (filetype=pptx) OR (filetype=xlsx). A ilustração seguinte mostra um exemplo de uma condição com múltiplos valores.

Localizar e selecionar condições

Quando seleciona Adicionar condições no construtor de condições, o painel Escolher as condições a adicionar é apresentado para o ajudar a refinar a consulta de pesquisa com condições específicas. Utilize as opções nas secções seguintes para o ajudar a escolher as condições aplicáveis:

Condições de filtro por área

Filtre rapidamente a vista de condição para caixas de correio e propriedades do site para ajudar a localizar uma condição específica para a consulta de pesquisa. Filtre as condições disponíveis nos seguintes grupos globais:

  • Tudo: mostra todas as condições e grupos de condição.
  • Comum: filtra e apresenta apenas as condições que se aplicam a caixas de correio e sites.
  • Caixas de correio do Exchange: filtra e apresenta apenas as condições que se aplicam às caixas de correio.
  • Sites do SharePoint e do OneDrive: filtra e apresenta apenas as condições que se aplicam aos sites do SharePoint e do OneDrive.

Seletor de condições

Para procurar rapidamente uma condição específica, utilize o campo Diga-nos o que procura para introduzir o nome da condição. Os resultados são automaticamente confinados ao filtro para grupos globais. Por exemplo, para procurar qualquer condição denominada Tipo (ou uma que contenha o tipo de termo no nome da condição), selecione Tudo como o filtro global e, em seguida, introduza o tipo no campo Diga-nos o que procura . A vista de condição devolve todas as condições em todos os grupos de condição que contêm o tipo de termo. Selecione a condição aplicável a adicionar à consulta de pesquisa.

Exemplo de seletor de condição.

Exemplo de cenário

O administrador da Deteção de Dados Eletrónicos tem de criar uma consulta para localizar e-mails enviados de User1 para User4 que foram enviados entre 15 de setembro de 2024 e 15 de outubro de 2024 que contém a conformidadee auditoria de palavras-chave. Neste exemplo, o administrador cria a seguinte consulta com o novo construtor de consultas:

  1. Para o primeiro filtro, o administrador utiliza a condição Palavras-chave, o operador Igual e a conformidade, auditar como o Valor palavra-chave.
  2. Em seguida, o administrador seleciona Adicionar condições, seleciona Remetente, seleciona o operador Contém qualquer um dos operadores e, em seguida, seleciona Utilizador1 na lista de utilizadores disponíveis no painel Detalhes do valor . Isto pode incluir utilizadores externos.
  3. Em seguida, o administrador seleciona Adicionar condições, seleciona o filtro Para e, em seguida, seleciona o operador Contém qualquer um dos operadores e, em seguida, seleciona Utilizador4 na lista de utilizadores disponíveis no painel Detalhes do valor . Isto pode incluir utilizadores externos.
  4. Para definir o intervalo de datas, o administrador seleciona Adicionar condições, seleciona Data, seleciona o operador Entre e, em seguida, seleciona as datas de início e de fim para o Valor.
  5. Por fim, o administrador seleciona Executar consulta para devolver os resultados aplicáveis.

Exemplo do construtor de condições.

Utilizar condições de pesquisa

Você pode adicionar condições a uma consulta de pesquisa para restringir uma pesquisa e retornar um conjunto mais refinado de resultados. Cada condição adiciona uma cláusula à consulta de pesquisa KQL que é criada e executada quando você inicia a pesquisa.

Caracteres especiais

Alguns carateres especiais não são incluídos no índice de pesquisa e, portanto, não são pesquisáveis. Isso também inclui os caracteres especiais que representam operadores de pesquisa na consulta de pesquisa. Aqui está uma lista de caracteres especiais que são substituídos por um espaço em branco na consulta de pesquisa real ou causam um erro de pesquisa.

+ - = : ! @ # % ^ & ; _ / ? ( ) [ ] { }

Condições para propriedades comuns

Crie uma condição usando propriedades comuns ao pesquisar caixas de correio e sites na mesma pesquisa. A tabela a seguir lista as propriedades disponíveis a serem usadas ao adicionar uma condição.

Condition Descrição
Tipo de conteúdo Aplicado aos itens do Exchange e do SharePoint, refere-se ao tipo ou categoria do conteúdo.

Por exemplo, ContentKind:SharePointDocument, ContentKind:Copilot, etc.
Aplicação de origem de conteúdo Identifica a aplicação ou o serviço de origem do conteúdo.

Por exemplo, ContentSourceApplication:OneDriveForBusiness, ContentSourceApplication:SharePoint, etc.
Date Para o e-mail, a data em que uma mensagem foi criada ou importada a partir de um ficheiro PST. Para documentos, a data em que um documento foi modificado pela última vez.

Se estiver à procura de mensagens de e-mail para um período de tempo específico, deve utilizar a mensagem Condições recebidas e enviadas se não tiver a certeza se as mensagens de e-mail podem ter sido importadas em vez de terem sido criadas nativamente no Exchange.
Identificador Para o e-mail, o ID de uma mensagem específica. Os IDs de mensagens estão incluídos no registo de auditoria, alertas de prevenção de perda de dados (DLP) ou analisam metadados definidos e permitem-lhe criar uma pesquisa específica para uma mensagem individual.

Para mensagens do Microsoft Teams, o ID da conversa ou reação. O ChatThreadID está incluído no registo de auditoria, alertas de prevenção de perda de dados (DLP) ou rever metadados definidos e permitir-lhe criar uma pesquisa específica para uma conversa ou reação individual.
Sender/Author Para email, a pessoa que enviou uma mensagem. Para documentos, a pessoa citada no campo autor de documentos do Office. Você pode digitar mais de um nome, separado por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.
(Consulte Expansão do Destinatário)
Tamanho (em bytes) Para emails e documentos, o tamanho do item (em bytes).
Subject/Title Para email, o texto na linha de assunto de uma mensagem. Para documentos, o título do documento. A propriedade Título é metadados especificados em documentos do Microsoft Office. Pode escrever o nome de mais do que um valor de assunto/título, separados por vírgulas. Dois ou mais valores são logicamente conectadas pelo operador OR.

Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se adicionar aspas ao valor, são adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolverá um erro.

Rótulo de retenção Tanto para e-mail como para documentos, etiquetas de retenção aplicadas a mensagens e documentos. As etiquetas de retenção podem ser utilizadas para declarar registos e ajudá-lo a gerir o ciclo de vida dos dados do conteúdo ao impor regras de retenção e eliminação especificadas pela etiqueta. Para obter mais informações sobre rótulos de retenção, consulte Saiba mais sobre políticas de retenção e rótulos de retenção.
Tipo de informações confidenciais (SIT) Tanto para o e-mail como para documentos, tipos de informações confidenciais incluídos em mensagens e documentos. Os SITs são classificadores baseados em padrões e detetam informações confidenciais como segurança social, card de crédito ou números de contas bancárias para identificar itens confidenciais. Para obter mais informações sobre SITs, veja Saiba mais sobre tipos de informações confidenciais.
Rótulo de confidencialidade Tanto para o e-mail como para documentos, as etiquetas de confidencialidade aplicadas a mensagens e documentos. As etiquetas de confidencialidade permitem-lhe classificar e proteger os dados da sua organização, ao mesmo tempo que garante que a produtividade do utilizador e a capacidade de colaboração não são dificultadas. Para obter mais informações sobre etiquetas de confidencialidade, consulte Saiba mais sobre etiquetas de confidencialidade.

Condições para propriedades de email

Crie uma condição com propriedades de correio ao procurar caixas de correio ou pastas públicas no Exchange Online. A tabela a seguir lista as propriedades de email que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades de email que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Tipo de mensagem Tipo de mensagem para pesquisar. Essa propriedade é igual à propriedade de email Kind. Valores possíveis:
  • contacts
  • documentos
  • email
  • externaldata
  • fax
  • mensagem instantânea
  • diários
  • reuniões
  • microsoftteams
  • notes
  • postagens
  • rssfeeds
  • tarefas
  • caixa postal
Participantes Todos os campos de pessoas em uma mensagem de email. Esses campos são De, Para, Cc e Cco. (Consulte Expansão do Destinatário)
Received A data em que uma mensagem de email foi recebida pelo destinatário. Essa propriedade é igual à propriedade de email Received.
Destinatários Todos os campos de destinatário em uma mensagem de email. Esses campos são Para, Cc e Cco. (Consulte Expansão do Destinatário)
Remetente O remetente de uma mensagem de email.
Enviado A data em que uma mensagem de email foi enviada pelo remetente. Essa propriedade é igual à propriedade de email Sent.
Assunto O texto na linha de assunto de uma mensagem de email.

Observação: não inclua aspas duplas aos valores dessa condição porque aspas são adicionadas automaticamente ao usar essa condição de pesquisa. Se adicionar aspas ao valor, são adicionados dois pares de aspas duplas ao valor da condição e a consulta de pesquisa devolverá um erro.

Para O destinatário de uma mensagem de email no campo Para.
Tópico Resumo da main assunto ou tema abordado num tópico de e-mail ou conversação.
Tipo A propriedade de classe de mensagem para um item de email. Essa é a mesma propriedade que a propriedade de email ItemClass. Também é uma condição de vários valores. Assim, para selecionar múltiplas classes de mensagens, mantenha premida a tecla CTRL e, em seguida, selecione duas ou mais classes de mensagens na lista pendente que pretende adicionar à condição. Cada classe de mensagem que selecionar na lista é ligada logicamente pelo operador OR na consulta de pesquisa correspondente.

Para obter uma lista das classes de mensagem (e sua ID de classe de mensagem correspondente) que são usadas pelo Exchange e que você pode selecionar na lista Classe de mensagem, consulte Tipos de Item e Classes de Mensagem.

Condições para propriedades de documentos

Crie uma condição com as propriedades do documento ao procurar documentos em sites do SharePoint e do OneDrive. A tabela a seguir lista as propriedades de documentos que você pode usar para uma condição. Essas propriedades são um subconjunto das propriedades do site que foram descritas anteriormente. Essas descrições são repetidas para sua conveniência.

Condition Descrição
Autor O campo de autor de documentos do Office, que persiste se um documento é copiado. Por exemplo, se um usuário criar um documento e o enviar por email para outra pessoa que o carregar no SharePoint, o documento ainda manterá o autor original.
Criado em A data em que um documento foi criado.
Tipo de arquivo A extensão de um arquivo; por exemplo, docx, one, pptx ou xlsx. Essa propriedade é igual à propriedade de site FileExtension.

Nota: Se incluir uma condição Tipo de ficheiro utilizando o operador É Igual ou Igual a qualquer um dos operadores numa consulta de pesquisa, não pode utilizar uma pesquisa de prefixo (ao incluir o caráter universal ( * ) no final do tipo de ficheiro) para devolver todas as versões de um tipo de ficheiro. Se o fizer, o caráter universal é ignorado. Por exemplo, se incluir a condição Equals any of doc*, apenas os ficheiros com uma extensão de .doc são devolvidos. Os ficheiros com uma extensão de .docx não são devolvidos. Para devolver todas as versões de um tipo de ficheiro, utilizou o par property:value numa consulta palavra-chave; por exemplo, filetype:doc*.

Última modificação A data em que um documento foi alterado pela última vez.
Caminho O URL ou a localização de um ficheiro ou pasta num site do SharePoint.
Título O título do documento. A propriedade Title consiste em metadados que são especificados em documentos do Office. Ele é diferente do nome do arquivo do documento.

Operadores usados com condições

Ao adicionar uma condição, você pode selecionar um operador que é relevante para o tipo de propriedade da condição. A tabela a seguir descreve os operadores que são usados com condições e lista o equivalente que é usado na consulta de pesquisa.

Operador Equivalente de consulta Descrição
After property>date Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados após a data especificada.
Before property<date Usado com condições de data. Retorna itens que foram enviados, recebidos ou modificados antes da data especificada.
Between date..date Use com condições de data e tamanho. Quando usado com uma condição de data, retorna itens que foram enviados, recebidos ou modificados no intervalo de datas especificado. Quando usado com uma condição de tamanho, retorna itens cujo tamanho está dentro do intervalo especificado.
Contains any of (property:value) OR (property:value) Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que contêm qualquer parte de um ou mais valores da cadeia de caracteres especificada.
Doesn't contain any of -property:value

NOT property:value

Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm qualquer parte do valor da cadeia de caracteres especificada.
Doesn't equal any of -property=value

NOT property=value

Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Retorna itens que não contêm a cadeia de caracteres específica.
Igual a size=value Retorna itens que são iguais ao tamanho especificado.1
Igual a qualquer (property=value) OR (property=value) Usado com condições para propriedades que especificam um valor de cadeia de caracteres. Devolve itens que correspondem a um ou mais valores de cadeia especificados.
Maior size>value Retorna itens em que a propriedade especificada é maior do que o valor especificado.1
Greater or equal size>=value Retorna itens em que a propriedade especificada é maior ou igual ao valor especificado.1
Menos size<value Retorna itens que são maiores ou iguais ao valor específico.1
Less or equal size<=value Retorna itens que são maiores ou iguais ao valor específico.1
Not equal size<>value Retorna itens que não são iguais ao tamanho especificado.1

Observação

1 Esse operador está disponível somente para condições que usam a propriedade Size.