Utilizzo di Microsoft Purview eDiscovery per l'analisi dei dati

Utilizzo di Microsoft Purview eDiscovery per l'analisi dei dati

05/08/2025

Questo articolo tecnico e didattico ha lo scopo di guidare gli analisti della sicurezza, gli amministratori IT e gli ingegneri di sistema nell'utilizzo di Microsoft Purview eDiscovery per condurre indagini sui dati in modo efficace e conforme. La capacità di identificare, raccogliere, rivedere e conservare le informazioni rilevanti per contenziosi, indagini interne o richieste normative è fondamentale. Microsoft Purview eDiscovery offre una suite di soluzioni che semplificano questo processo complesso garantendo al tempo stesso l'integrità dei dati e la catena di custodia [1].

Introduzione

eDiscovery si riferisce al processo di identificazione, raccolta, elaborazione, revisione e produzione di informazioni archiviate elettronicamente (ESI) in risposta a una richiesta legale o investigativa. Microsoft Purview eDiscovery è una soluzione integrata che consente alle organizzazioni di gestire l'intero flusso di lavoro di eDiscovery all'interno dell'ecosistema Microsoft 365, dalla ricerca iniziale alla revisione ed esportazione finale dei dati [2].

Questa guida pratica tratterà i concetti di diverse soluzioni di eDiscovery, come la creazione e la gestione di casi, l'esecuzione di ricerche di contenuto, la revisione dei dati, l'esportazione dei risultati e la configurazione delle autorizzazioni.

Perché Microsoft Purview eDiscovery è fondamentale?

  • Conformità normativa e legale: aiuta a rispettare i requisiti legali e normativi.
  • Identificazione accurata dei dati: consente di cercare e identificare informazioni rilevanti tra più origini Microsoft 365.
  • Conservazione dei dati: facilita il posizionamento di blocchi legali sui dati.
  • Riduzione di costi e tempi: automatizza molti aspetti del processo di eDiscovery.

Prerequisiti

  1. Licenza Microsoft 365: un abbonamento che include funzionalità di eDiscovery (ad esempio Microsoft 365 E3 per Standard, E5 per Premium) [3].
  2. Accesso amministrativo: un account con autorizzazioni appropriate nel portale di conformità di Microsoft Purview (ad esempio "Amministratore eDiscovery").

Passo dopo passo: configurazione e utilizzo di Microsoft Purview eDiscovery

1. Comprendere le soluzioni di eDiscovery

  • Ricerca contenuto: strumento di base per la ricerca di caselle di posta, siti di SharePoint, OneDrive e Teams. Non include la gestione dei casi o le conservazioni legali [4].
  • eDiscovery (Standard): aggiunge la gestione dei casi, le conservazioni legali, l'esportazione dei risultati e l'assegnazione delle autorizzazioni ai membri del caso [5].
  • eDiscovery (Premium): la soluzione più avanzata, con elaborazione dei dati, analisi del testo, rilevamento dei duplicati, analisi dei temi e revisione dei documenti [6].

2. Assegnazione delle autorizzazioni di eDiscovery

  1. Nel portale di conformità di Microsoft Purview (https://compliance.microsoft.com), vai su Autorizzazioni.
  2. In "Ruoli Microsoft Purview", fare clic su Ruoli.
  3. Trova il gruppo di ruoli "Amministratore di eDiscovery" e aggiungi gli utenti o i gruppi che avranno bisogno di accedere alle risorse.

3. Creazione di un caso di eDiscovery (standard)

Un caso è un contenitore logico per tutte le informazioni relative a un'indagine.

  1. Nel portale di conformità, seleziona eDiscovery > eDiscovery (Standard).
  2. Fare clic su + Crea un caso.
  3. Assegna al caso un Nome e una Descrizione e fai clic su Salva.

4. Creazione di una conservazione legale

Un blocco legale preserva il contenuto in modo che non possa essere eliminato o modificato.

  1. All'interno del caso di eDiscovery, seleziona Conservazioni.
  2. Fare clic su + Crea criterio di conservazione.
  3. Inserisci un Nome e una Descrizione.
  4. In Posizioni, seleziona le origini dati (cassette postali, siti, OneDrive, Teams) e aggiungi utenti/gruppi specifici.
  5. (Facoltativo) Aggiungi Condizioni per perfezionare il contenuto da conservare.
  6. Rivedi e Crea questa policy.

5. Condurre ricerche sui contenuti

Utilizza lo strumento di ricerca dei contenuti per trovare informazioni pertinenti.

  1. All'interno del caso di eDiscovery, seleziona Ricerche.
  2. Fare clic su + Nuova ricerca.
  3. Inserisci un Nome e una Descrizione.
  4. In Posizioni, seleziona le origini dati da cercare.
  5. In Condizioni, definisci i criteri di ricerca utilizzando parole chiave, date, mittenti/destinatari, tipi di file, ecc. Puoi utilizzare la sintassi KQL (Keyword Query Language).
    • Esempio KQL: (ProgettoX OR "informazioni riservate") AND (data>=2024-01-01 AND data<=2024-12-31) AND (da:"[email protected]")
  6. Fare clic su Salva ed esegui.
  7. Una volta completata la ricerca, è possibile visualizzare le statistiche e i risultati della ricerca.

6. Esportazione dei risultati della ricerca

Dopo la ricerca, puoi esportare i risultati per la revisione.

  1. Nella pagina Ricerche relativa al tuo caso, seleziona la ricerca completata.
  2. Fare clic su Azioni > Esporta risultati.
  3. Scegli le opzioni di esportazione (ad esempio, includi elementi non ricercabili, esporta in un file PST, ecc.).
  4. Fare clic su Esporta.
  5. Per scaricare i risultati, vai su eDiscovery (Standard) > Esportazioni e utilizza lo Strumento di esportazione eDiscovery per scaricare i file.

7. eDiscovery (Premium) - Panoramica

Per indagini complesse, eDiscovery Premium offre:

  • Elaborazione dati: Normalizzazione, rimozione dei duplicati, rilevamento delle email in thread.
  • Analisi avanzata: analisi del testo, rilevamento dei temi, categorizzazione dei documenti.
  • Revisione documenti: strumenti per i revisori per contrassegnare, annotare e classificare i documenti.
  • Esportazione avanzata: opzioni di esportazione più granulari e personalizzabili.

Migliori pratiche e suggerimenti per la sicurezza

  • Pianificazione: prima di iniziare qualsiasi indagine, pianificare attentamente l'ambito, le origini dati e i criteri di ricerca.
  • Autorizzazioni minime: concedi solo le autorizzazioni necessarie per le funzioni di eDiscovery.
  • Conservazioni legali: applica le conservazioni legali il prima possibile per garantire la conservazione dei dati.
  • Documentazione: conserva un registro dettagliato di tutte le azioni intraprese durante il processo di eDiscovery per garantire la catena di custodia.
  • Formazione: forma il tuo team sull'uso corretto degli strumenti di eDiscovery e dei criteri dell'organizzazione.
  • Monitoraggio: monitora i log di controllo di Purview per le attività relative a eDiscovery.

Conclusione

Microsoft Purview eDiscovery è uno strumento potente ed essenziale per qualsiasi organizzazione che debba gestire le indagini sui dati in modo efficace e conforme. Sfruttando le sue capacità, dalla ricerca di contenuti di base all'analisi avanzata di Premium, le aziende possono identificare, conservare, rivedere e produrre in modo efficiente informazioni rilevanti, riducendo i rischi legali e operativi. L'implementazione di un processo di eDiscovery ben definito, supportato dalle funzionalità di Purview, è fondamentale per la governance dei dati e la resilienza dell'organizzazione.

Riferimenti

[1]Microsoft. (2023). Panoramica di Microsoft Purview eDiscovery. [2]Microsoft. (2023). Flusso di lavoro eDiscovery (standard). [3]Microsoft. (2023). Licenza per eDiscovery in Microsoft 365. [4]Microsoft. (2023). Ricerca contenuto su Microsoft Purview. [5]Microsoft. (2023). eDiscovery (standard) su Microsoft Purview. [6]Microsoft. (2023). eDiscovery (Premium) su Microsoft Purview.