Использование Microsoft Purview eDiscovery для исследования данных

Использование Microsoft Purview eDiscovery для исследования данных

08.05.2025

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам использовать Microsoft Purview eDiscovery для эффективного и соответствующего требованиям расследования данных. Возможность выявлять, собирать, анализировать и сохранять информацию, имеющую отношение к судебным разбирательствам, внутренним расследованиям или запросам регулирующих органов, имеет решающее значение. Microsoft Purview eDiscovery предлагает набор решений, которые упрощают этот сложный процесс, обеспечивая при этом целостность данных и цепочку поставок [1].

Введение

Обнаружение электронных данных относится к процессу идентификации, сбора, обработки, проверки и создания информации, хранящейся в электронном виде (ESI), в ответ на запрос юридического или следственного характера. Microsoft Purview eDiscovery — это интегрированное решение, которое позволяет организациям управлять всем рабочим процессом обнаружения электронных данных в экосистеме Microsoft 365, от первоначального исследования до окончательного просмотра и экспорта данных [2].

В этом практическом руководстве будут рассмотрены концепции различных решений для обнаружения электронных данных, такие как создание дел и управление ими, выполнение поиска контента, проверка данных, экспорт результатов и настройка разрешений.

Почему Microsoft Purview eDiscovery так важен?

  • Соответствие нормативным и юридическим требованиям: помогает соблюдать законодательные и нормативные требования.
  • Точная идентификация данных: позволяет искать и идентифицировать соответствующую информацию в нескольких источниках Microsoft 365.
  • Сохранение данных: облегчает юридическое удержание данных.
  • Сокращение затрат и времени: автоматизирует многие аспекты процесса обнаружения электронных данных.

Предварительные условия

  1. Лицензирование Microsoft 365: подписка, включающая функции обнаружения электронных данных (например, Microsoft 365 E3 для Standard, E5 для Premium) [3].
  2. Административный доступ: учетная запись с соответствующими разрешениями на портале соответствия Microsoft Purview (например, «Администратор обнаружения электронных данных»).

Шаг за шагом: настройка и использование Microsoft Purview eDiscovery

1. Понимание решений для обнаружения электронных данных

  • Поиск контента: базовый инструмент для поиска в почтовых ящиках, сайтах SharePoint, OneDrive и Teams. Не включает ведение дел или юридические удержания [4].
  • Обнаружение электронных данных (стандарт): добавляет управление делами, юридические удержания, экспорт результатов и назначение разрешений участникам дела [5].
  • eDiscovery (Премиум): самое передовое решение с обработкой данных, анализом текста, обнаружением дубликатов, анализом тем и проверкой документов [6].

2. Назначение разрешений на обнаружение электронных данных

  1. На портале соответствия требованиям Microsoft Purview (https://compliance.microsoft.com) перейдите в раздел Разрешения.
  2. В разделе «Роли Microsoft Purview» нажмите Роли.
  3. Найдите группу ролей «Администратор обнаружения электронных данных» и добавьте пользователей или группы, которым потребуется доступ к ресурсам.

3. Создание дела по раскрытию электронных данных (стандартно)

Дело — это логический контейнер для всей информации, связанной с расследованием.

  1. На портале соответствия выберите Обнаружение электронных данных > Обнаружение электронных данных (стандартное).
  2. Нажмите + Создать обращение.
  3. Присвойте обращению Имя и Описание и нажмите Сохранить.

4. Создание юридического удержания

Юридическое удержание сохраняет контент, поэтому его нельзя удалить или изменить.

  1. В деле обнаружения электронных данных выберите Задержано.
  2. Нажмите + Создать политику хранения.
  3. Укажите Имя и Описание.
  4. В разделе Местоположения выберите источники данных (почтовые ящики, сайты, OneDrive, Teams) и добавьте конкретных пользователей/группы.
  5. (Необязательно) Добавьте Условия, чтобы уточнить сохраняемый контент.
  6. Просмотрите и создайте эту политику.

5. Проведение исследования контента

Используйте инструмент поиска контента, чтобы найти соответствующую информацию.

  1. В деле обнаружения электронных данных выберите Поиски.
  2. Нажмите + Новый поиск.
  3. Укажите Имя и Описание.
  4. В разделе Местоположения выберите источники данных для поиска.
  5. В разделе Условия определите критерии поиска, используя ключевые слова, даты, отправителей/получателей, типы файлов и т. д. Вы можете использовать синтаксис KQL (язык запросов по ключевым словам)..
    • Пример KQL: (ProjectX OR "конфиденциальная информация") AND (date>=2024-01-01 AND date<=2024-12-31) AND (from:"[email protected]")
  6. Нажмите Сохранить и запустить.
  7. После завершения поиска вы можете просмотреть статистику и результаты поиска.

6. Экспорт результатов поиска

После поиска вы можете экспортировать результаты для просмотра.

  1. На странице Поиски для вашего дела выберите завершенный поиск.
  2. Нажмите Действия > Экспортировать результаты.
  3. Выберите параметры экспорта (например, включить элементы, недоступные для поиска, экспорт в файл PST и т. д.).
  4. Нажмите Экспорт.
  5. Чтобы загрузить результаты, перейдите в раздел eDiscovery (стандартный) > Экспорт и используйте eDiscovery Export Tool для загрузки файлов.

7. eDiscovery (Премиум) — обзор

Для сложных расследований eDiscovery Premium предлагает:

  • Обработка данных: нормализация, удаление дубликатов, обнаружение вложенных сообщений электронной почты.
  • Расширенный анализ: анализ текста, определение тем, категоризация документов.
  • Рецензирование документов: инструменты для рецензентов, позволяющие отмечать, комментировать и классифицировать документы.
  • Расширенный экспорт: более детальные и настраиваемые параметры экспорта.

Лучшие практики и советы по безопасности

  • Планирование. Прежде чем начинать любое расследование, тщательно спланируйте его объем, источники данных и критерии поиска.
  • Минимальные разрешения: предоставляйте только разрешения, необходимые для функций обнаружения электронных данных.
  • Юридическое удержание: применяйте юридическое удержание как можно раньше, чтобы обеспечить сохранность данных.
  • Документация: ведите подробный учет всех действий, предпринятых в процессе обнаружения электронных данных, чтобы обеспечить цепочку поставок.
  • Обучение. Обучите свою команду правильному использованию инструментов eDiscovery и политик организации.
  • Мониторинг: отслеживайте журналы аудита Purview на предмет активности, связанной с обнаружением электронных данных.

Заключение

Microsoft Purview eDiscovery — это мощный и необходимый инструмент для любой организации, которой необходимо эффективно и в соответствии с требованиями управлять расследованием данных. Используя его возможности, от базового поиска контента до расширенной аналитики Premium, компании могут эффективно выявлять, сохранять, просматривать и создавать соответствующую информацию, снижая юридические и операционные риски. Внедрение четко определенного процесса обнаружения электронных данных, поддерживаемого возможностями Purview, имеет решающее значение для управления данными и устойчивости организации.

Ссылки

[1] Майкрософт. (2023). Обзор Microsoft Purview eDiscovery. [2] Майкрософт. (2023). Рабочий процесс обнаружения электронных данных (стандартный). [3] Майкрософт. (2023). Лицензирование для обнаружения электронных данных в Microsoft 365. [4] Майкрософт. (2023). Поиск контента в Microsoft Purview. [5] Майкрософт. (2023). Обнаружение электронных данных (стандартное) в Microsoft Purview. [6] Майкрософт. (2023). Обнаружение электронных данных (Премиум) в Microsoft Purview.