使用MS Purview 的內容搜尋來進行調查

Microsoft Purview compliance portal的主要功能之一是內容搜尋(Content search)。它專為不需要eDiscovery的全面搜尋案例管理而設計。內容搜尋適合在 Microsoft 365 中快速搜尋內容。當必須在組織的所有郵箱和 SharePoint 網站中完成超出使用eDiscovery search限制的大規模搜尋時，內容搜尋也很有用。

本文將介紹 Microsoft Purview compliance portal中的內容搜尋工具如何快速找到 Exchange 信箱中的電子郵件、SharePoint 網站和 OneDrive 位置中的文件以及 Teams 中的即時通訊對話。組織可以使用內容搜尋工具在 Microsoft Teams 和 Microsoft 365 群組等協作工具中搜尋電子郵件、文件和即時訊息對話。

雖然內容搜尋使用GUI，但也有命令列模式，讓我們能夠使用 PowerShell 腳本來完成大型搜尋。 PowerShell 腳本還可以將內容搜尋結果整合到eDiscovery workflow中。 對於資安分析師來說，內容搜尋使用者介面還具有內建的 KQL 編輯器。本文將介紹以下功能:

• 搜尋所有 Microsoft 365 資料，不受郵箱或文件數量的限制。
• 設定搜尋權限篩選以允許eDiscovery管理員搜尋其 Microsoft 365 organization中的郵箱和網站子集。
• 匯出搜尋結果和統計報告。
• 搜尋和刪除電子郵件。

Microsoft Purview eDiscovery解決方案

eDiscovery是識別和提供可在法律案件中用作證據的電子資訊的過程。組織可以使用 Microsoft Purview 中的eDiscovery工具來搜尋以下位置的內容：

• Exchange Online
• OneDrive for Business
• SharePoint Online
• Microsoft Teams
• Microsoft 365 Groups
• Yammer teams

組織可以在同一 eDiscovery search中搜尋郵箱和網站。然後它可以導出搜尋結果。 Microsoft Purview eDiscovery（標準版）案例可以識別、保留和匯出在郵箱和網​​站中找到的內容。如果組織擁有 Office 365 E5 或 Microsoft 365 E5 訂閱（或相關的 E5 附加訂閱），則可以使用 Microsoft Purview eDiscovery（進階版）解決方案進一步管理custodians(管家)並分析內容。

PS:
在 Exchange 混合部署中，無法使用內容搜尋工具搜尋地端信箱中的電子郵件。只能使用該工具搜尋基於雲端郵箱。在 Exchange 混合部署中，但可以在地端信箱中搜尋 Teams 聊天資料。

Microsoft Purview 提供三種eDiscovery解決方案：內容搜尋、eDiscovery版標準和進階版。本文重點關注內容搜索，但了解解決方案之間的差異可以提供整體脈絡背景。然後，SOC 分析師可以協助合規主管進行案件管理。

• 內容搜尋：
  可用於整個 Microsoft 365 資料來源搜尋內容。然後它可以將搜尋結果匯出到本機。
• eDiscovery標準：
  標準版建立在內容搜尋的基本搜尋和匯出功能的基礎上。它透過使組織能夠建立eDiscovery cases並將eDiscovery管理者分配給特定案例來實現這一點。eDiscovery管理者只能存取他們所屬的案例。標準版還允許組織將搜尋和匯出與案例關聯起來。它還允許組織將eDiscovery holds放置在與案例相關的內容位置。
• eDiscovery進階版：
  進階版建立在標準版中現有案例管理、保存、搜尋和匯出功能的基礎上。 進階版提供端到端工作流程來識別、保存、收集、審查、分析和匯出以回應組織內部和外部調查的內容。它允許法律團隊管理託管人和法律保留通知工作流程，以便與案件涉及的託管人進行溝通。它還使組織能夠收集即時服務中的資料並將其複製到review sets中。從那裡，組織可以過濾、搜尋和標記內容，以剔除不相關的內容以供進一步審查。透過這樣做，組織的工作流程可以識別並關注最相關的內容。 進階版提供基於分析和機器學習的AI模型。這些功能使組織能夠進一步將調查範圍縮小到最相關的內容。

三種eDiscovery解決方案

以下是三種方案都有的功能:

• Search for content
• Keyword queries and search conditions
• Search statistics
• Export search results
• Role-based permissions

再來是eDiscovery標準與進階版都有的:

• Case management
• Place content locations on legal hold

接下來只有進階版來有的:

• Custodian management
• Legal hold notifications
• Advanced indexing
• Error remediation
• Review sets
• Support for cloud attachments and SharePoint versions
• Optical character recognition
• Conversation threading
• Collection statistics and reports
• Review set filtering
• Tagging
• Analytics
• Predictive coding models
• Computed document metadata
• Transparency of long-running jobs
• Export to customer-owned Azure Storage location

以下說明了每個eDiscovery功能的描述：

• Search for content
  搜尋儲存在 Exchange 信箱、OneDrive for Business 帳號、SharePoint 網站、Microsoft Teams、Microsoft 365 群組和 Yammer Teams 中的內容。搜尋還可以包括由在郵箱和網​​站中儲存資料的其他 Microsoft 365 應用程式產生的內容。
• Keyword queries and search conditions
  建立 KQL 關鍵字以搜尋與查詢條件相符的內容。也可以包含條件以縮小搜尋範圍。
• Search statistics
  組織進行搜尋後，可以查看估計搜尋結果的統計資料。例如，符合搜尋條件的項目的數量和總量大小。其他統計資訊包括包含搜尋結果的熱門內容位置以及與搜尋查詢的不同部分相符的項目數量。
• Export search results
  透過兩步驟流程將搜尋結果匯出到本機電腦。當匯出搜尋結果時，資料將從 Microsoft 365 中的原始內容位置複製到 Microsoft 提供的 Azure storage位置。然後可以將資料下載到本機。
• Role-based permissions
  使用基於角色的存取控制權限來控制不同使用者可以完成的eDiscovery相關任務。組織可以使用內建的eDiscovery相關角色群組或建立分配特定eDiscovery權限的自訂角色群組。
• Case management
  eDoscovery標準版和進階版中的eDiscovery cases允許組織將特定搜尋和匯出資料與特定調查相關聯。也可以將成員指派給某個案例，以控制誰可以存取該案例並查看該案例的內容。
• Place content locations on legal hold
  透過法律性保留案例中的內容位置來保留與調查相關的內容。此功能使組織可以保護電子儲存的資訊，防止在調查期間無意（或有意）刪除。
• Custodian management
  管理被認定為案件相關人員的人（稱為custodians）。組織還可以管理可能與custodians無關的其他資料來源。當組織將custodians和non-custodial data sources新增至案例時，它可以：
  — 對這些資料來源進行法律性保留。
  — 透過使用法律性保留通知流程與custodians溝通。
  — search custodian與non-custodial data sources以收集與案件相關的內容。
• Legal hold notifications
  管理與case custodians溝通的流程。legal hold notification會指示custodians保留與案件相關的內容。組織可以追蹤custodians＂收到、閱讀和確認＂的通知。進階版中的通訊作業流程使組織能夠建立和發送初始通知、提醒，並在custodians未能確認保留通知時升級事件。
• Advanced indexing
  此程序重新索引與案例關聯的目前位置。當組織將託管和非託管資料來源新增至案例時，就會發生這種情況。因此，當組織收集調查資料時，任何被視為部分索引的內容都會被重新處理，以使其完全可搜尋。
• Error remediation
  此過程用於修復流程錯誤。它使組織能夠糾正阻止進階版在Advanced indexing期間正確處理內容的資料問題。例如，受密碼保護的檔案無法處理，因為這些檔案已被鎖定或加密。組織可以使用錯誤修復來：
  1.下載有錯誤的檔案。
  2.刪除密碼保護。
  3.上傳修復後的檔案。
• Review sets
  將相關資料新增至review set中。review set是 Microsoft 雲端中 Microsoft 提供的安全性 Azure storage位置。當組織將資料新增至review set時，收集的資料將從其原始內容位置複製到review set。
  review set是：
  — 提供一組靜態的、已知的內容，可以搜尋、過濾、標記和分析。
  — 使組織能夠使用AI模型來預測相關性。
  — 使組織能夠追蹤和報告添加到集合中的內容。
• Support for cloud attachments and SharePoint versions
  當組織將內容新增至review set時，它可以包含雲端附件或連結檔案。這樣，雲端附件或連結檔案的目標檔案就會加入到review set中。組織也可以將 SharePoint 文件的所有版本新增至review set。
• Optical character recognition (OCR)
  將內容新增至review set中時，OCR 功能會從影像中擷取文字。然後，它包含圖像文字以及添加到review set中的內容。此流程使組織能夠在查詢review set中的內容時搜尋圖像中的文字。
• Conversation threading
  當來自 Teams 和 Yammer 對話的聊天訊息新增到review set時，組織可以收集整個對話串。因此，包含與收集條件相符的資料的整個聊天對話都會新增到review set中。此過程允許組織在來回對話的上下文中查看聊天資料。
• Collection statistics and reports
  組織建立draft collection或將collection提交到review set後，可以查看有關檢索到的項目的統計資訊，例如包含最多與搜索條件匹配的項目的內容位置以及返回的項目數通過搜索查詢。
• Review set filtering
  將內容新增至review set後，組織可以使用filter以顯示與其篩選條件相符的項目集。然後，它可以將filter sets儲存為查詢(Query)，從而可以快速重新套用已儲存的filter。review set過濾和保存的查詢可協助組織快速篩選與其調查最相關的內容。
• Tagging
  標籤還可以幫助組織剔除不相關的內容並識別最相關的內容。當專家、律師或其他使用者審查評論集中的內容時，可以透過使用標籤來捕獲他們與內容相關的意見。
• Analytics
  進階版提供了分析review set文件的工具，以協助組織以連貫的方式組織文件並減少要審閱的文件量。以下分析功能有助於提高組織的審閱流程的效率，以便審閱者可以審查收集到的文件的一部分：
  — Near duplicate detection。將文字相似的文件分組在一起，以幫助組織提高審核流程的效率。
  — Email threading。識別特定的電子郵件訊息，提供email thread中對話的完整上下文。
  — Theme。分析review set中的文件以確定可能的主題。如果確定了主題，則會將該Theme指派給文件。此過程使組織能夠過濾具有相關主題的文件。
• Predictive coding models
  使用預測編碼模型來減少大量案例內容並將其剔除為一組可以優先審查的相關項目。當組件立建並訓練自己的預測編碼(就是AI)模型以幫助其優先考慮review set中最相關項目的審閱時，此過程就完成了。系統使用訓練將預測分數應用於review set中的每個項目。因此，組織可以根據預測分數過濾項目，從而能夠先查看最相關（或不相關）的項目。
• Computed document metadata
  進階版功能（例如進階索引、conversation threading、分析和預測編碼）都添加了metadata屬性以審閱設定的文件。該metadata包含與特定功能所執行的功能相關的資訊。當組織檢視文件時，它可以根據metadata屬性進行篩選，以顯示符合其篩選條件的文件。匯出review set文件後，可以將此metadata匯入第三方檢視應用程式。
• Transparency of long-running jobs
  進階版中的作業通常是由使用者操作觸發的長時間運行的進程。如果組織必須將問題上報給 Microsoft 支援人員，則可以追蹤這些作業的狀態並取得支援資訊。範例包括：
  — 將custodians新增到案例中。
  — 將內容新增至review set中。
  — 運行分析。
  — 訓練預測編碼模型。
• Export to customer-owned Azure Storage location
  當組織從review set中匯出文件時，可以將它們匯出到組織管理的 Azure Storage account。此外，進階版允許組織自訂導出的資料。這些資料包括：
  — file metadata
  — native files
  — text files
  — tags
  — 儲存為 PDF 文件的可編輯檔案