Поделиться через

Поиск, просмотр и уточнение результатов в Исследования по безопасности данных (предварительная версия)

  • Статья

Вы можете использовать поиск в Исследования по безопасности данных (предварительная версия) для поиска содержимого Microsoft 365, такого как электронная почта, документы и беседы с мгновенными сообщениями в вашей организации, которые относятся к инциденту безопасности. Используйте поиск, чтобы найти содержимое в этих облачных источниках данных Microsoft 365:

  • Почтовых ящиках Exchange Online.
  • Сайты SharePoint
  • Учетные записи OneDrive
  • Microsoft Copilot запросов и ответов
  • Microsoft Teams

Вы можете создавать и выполнять различные поисковые запросы, связанные с исследованием. Условия (например, ключевые слова, типы файлов, инциденты и т. д.) используются для создания поисковых запросов, возвращающих результаты поиска с данными, которые, скорее всего, относятся к расследованию. Кроме того, у вас есть следующие возможности.

  • Просмотр статистики поиска, которая может помочь уточнить поисковый запрос до узких результатов.
  • Предварительно просматривать результаты поиска, чтобы быстро проверить, найдены ли нужные данные.
  • Изменять запрос и повторять поиск.

Если вы удовлетворены результатами поиска и готовы к просмотру и анализу результатов, их можно добавить в область исследования. Добавление копий исходных данных в область исследования также упрощает процесс анализа и проверки ИИ, предоставляя расширенные средства классификации, изучения и поиска векторов.

Доступ к средствам поиска

Выберите сводку из параметров навигации в верхней части любой страницы конкретного исследования, чтобы получить доступ к средствам поиска.

Средства поиска включают средство выбора источника данных, построитель запросов и параметры поиска по файлам. Вы можете уточнить источники данных и условия поисковых запросов в любое время во время исследования и добавить результаты в область исследования.

Источники данных

В Microsoft 365 данные хранятся на трех платформах: Exchange, Teams и SharePoint. Эти платформы служат основой для организации данных в приложениях Microsoft 365 и управления ими. Большинство приложений Microsoft 365 хранят данные в одном или нескольких из следующих контейнеров:

  • Пользователи: данные, связанные с отдельными пользователями, такие как их почта, сообщения Teams 1:1 и файлы OneDrive.
  • Группы: данные, принадлежащие организации или группе пользователей в организации. Эти группы часто называются объединенными группами или Teams.

В Исследования по безопасности данных (предварительная версия) концепция источников данных упрощает процесс идентификации данных и управления ими на платформах Microsoft 365. Аналитики выбирают пользователя или группу, и поиск ограничивается только этими источниками данных. Аналитики могут уточнить область путем выбора или исключения определенных расположений по мере необходимости.

Аналитики также могут использовать источники в масштабах всей организации для выполнения поиска в вашей организации. Источники в масштабах всей организации:

  • Все люди и группы. Включает всех пользователей и все группы в вашей организации.
  • Все общедоступные папки. Включает все содержимое в почтовых ящиках общедоступных папок Exchange.

Построитель запросов

Параметр построитель запросов в поиске обеспечивает визуальную фильтрацию при создании поисковых запросов в Исследования по безопасности данных (предварительная версия). Построитель запросов используется для создания сложных запросов с дополнительными функциями, включая AND, OR и группирование условий. Эти функции в построителе запросов помогают более эффективно создавать запросы, предоставляют визуальный интерфейс для группирования вложенных запросов и предоставляют дополнительное пространство для создания и проверки сложных ключевое слово запросов.

Использование построителя запросов

Чтобы создать запрос и настраиваемую фильтрацию для поиска, используйте следующие элементы управления:

  • AND/OR: эти условные логические операторы позволяют выбрать условие запроса, которое применяется к определенным фильтрам и подгруппам фильтров. Эти операторы позволяют использовать несколько фильтров или подгрупп, подключенных к одному фильтру в запросе.
  • Выбор фильтра. Позволяет выбирать фильтры для конкретных источников данных и содержимого расположения, выбранного для коллекции.
  • Добавить фильтр. Позволяет добавить в запрос несколько фильтров. Доступен после определения по крайней мере одного фильтра запросов.
  • Выберите оператор. В зависимости от выбранного фильтра доступны операторы, совместимые с фильтром. Например, если выбран фильтр "Дата ", доступные операторы: "До", "После" и "Между". Если выбран фильтр Размер (в байтах), доступные операторы: Больше, Больше или равно, Меньше, Меньше или равно, Между и Равно.
  • Значение. В зависимости от выбранного фильтра доступны значения, совместимые с фильтром. Кроме того, некоторые фильтры поддерживают несколько значений, а некоторые — одно конкретное значение. Например, если выбран фильтр Дата , выберите значения даты. Если выбран фильтр Размер (в байтах), выберите значение для байтов.
  • Добавить подгруппу. После определения фильтра можно добавить подгруппу, чтобы уточнить результаты, возвращаемые фильтром. Вы также можете добавить подгруппу в подгруппу для уточнения многоуровневых запросов.
  • Удалить условие фильтра. Чтобы удалить отдельный фильтр или подгруппу, щелкните значок удаления справа от каждой строки фильтра или подгруппы.
  • Очистить все. Чтобы очистить весь запрос от всех фильтров и подгрупп, выберите Очистить все.

Пример сценария

Аналитику Исследования по безопасности данных (предварительная версия) необходимо создать запрос к любому элементу, который включает ключевое слово конфиденциальный, используемый в период с 1 января 2025 г. по 16 марта 2025 г. В этом примере аналитик создает следующий запрос с помощью построителя запросов:

  1. Для первого фильтра аналитик выбирает ключевое слово, затем выбирает оператор Equal , а затем вводит конфиденциальность в элементе управления Значение .
  2. Затем аналитик выбирает Добавить подгруппу и оператор AND , а затем фильтр Добавить.
  3. Аналитик выбирает фильтр Дата , оператор Between и начальную и конечную даты для значения.
  4. Аналитик выбирает Сохранить, чтобы сохранить запрос, а затем просмотрите область для выполнения поискового запроса.

Пример построителя запросов.

Создание поискового запроса с помощью Microsoft Security Copilot

Параметр Query with Copilot в поиске позволяет использовать естественный язык и Microsoft Security Copilot для быстрого создания пользовательского запроса в построителе запросов. Используйте этот параметр для создания сложных запросов с дополнительными функциями, включая AND, OR и группирование условий, при использовании запросов на естественном языке.

Эта функция также упрощает создание запросов с помощью стандартных запросов для распространенных сценариев и позволяет уточнить и улучшить настраиваемые запросы для более точных поисковых запросов. Вы также можете использовать подсказки в качестве отправной точки для создания и уточнения запросов KeyQL для распространенных или пользовательских сценариев поиска.

Чтобы создать поисковый запрос с помощью Copilot, выполните следующие действия.

  1. Выбрав источники данных для запроса, выберите Запрос с помощью Copilot.
    • Введите вопрос поискового запроса в поле Описание того, что вы хотите найти . При необходимости можно включить сведения о пользователе, источнике данных и других сведениях о содержимом.
    • Выберите Просмотреть запросы , чтобы выбрать один из следующих вариантов запроса:
      • Поиск всех сообщений электронной почты, содержащих слова "бюджет" и "финансы", а также вложения
      • Поиск файлов типа .docx, содержащих слова "конфиденциальный" и "бюджет"
  2. Выберите Просмотр область, чтобы просмотреть оценки и статистику для поиска, или добавьте результаты непосредственно в область исследования. Если вы хотите сохранить определенные параметры запроса и выполнить запрос позже, нажмите кнопку Сохранить.

Поиск из файла

Параметр From file позволяет отправить один или несколько файлов, чтобы найти связанное содержимое для конкретного исследования. Используйте действия аудита .csv для поиска связанных сообщений и файлов для конкретного пользователя в течение определенного периода времени. Размер каждого файла ограничен максимальным размером 10 МБ, и файлы могут быть .csv. Построитель запросов отключен при поиске по файлу.

Панель мониторинга области

На вкладке Поиск отображается статистика и метрики для результатов данных, включенных в поисковый запрос. Это представление помогает определить, готовы ли результаты поискового запроса к добавлению в область исследования или нужно ли уточнить запрос для более широких или узких результатов.

Результаты поиска для панели мониторинга Области включены в следующие разделы:

  • Сводка. В этом разделе показано количество поисковых обращений, расположения, источники данных и общий размер файла частично индексированных элементов.

    • Общее количество совпадений. Отображает общее количество попаданий в поиск и объем всех элементов, соответствующих условиям запроса из мест поиска.
    • Расположения. Отображает долю расположений с попаданиями из всех мест поиска. Числитель показывает расположения с хитами, а знаменатель — количество мест поиска. Расположения с ошибками отображаются красным цветом. Чтобы просмотреть полные сведения обо всех расположениях и связанных с ними попаданиях и ошибках, выберите Скачать отчет , чтобы скачать полный отчет .csv.
    • Источники данных. Отображает долю источников данных с попаданиями из всех искомых источников данных. Числитель отображает источники данных с попаданиями, а знаменатель — количество источников данных, включенных в поиск. Этот источник данных согласуется с источником данных в потоке разработки поиска и должен соответствовать количеству людей или групп, включенных в поиск. Источник данных на уровне клиента для всех пользователей и всех групп считается одним источником данных.
    • Частично индексированные элементы или "Расширенные индексированные элементы попадают": отображает количество и объем частично и неиндексированных элементов, возвращенных в ходе поиска. Расширенное индексированное число попаданий происходит из статистической выборки по частично индексируемым элементам, фактические попадания могут быть больше и должны быть подтверждены с помощью добавления в набор проверки и экспорта результатов поиска.
    • Основные источники данных. Отображает пять основных источников данных, которые составляют наибольшее число попаданий, соответствующих запросу. Имена этих источников данных (имена пользователей, групп или расположений на уровне организации) указываются с количеством попаданий. Эти источники данных должны соответствовать тому, что вы выбрали в рабочем процессе источников данных при создании поискового запроса.
    • Состояние индексирования: разбивка неиндексированных (включая частично индексированные) и полностью индексированных элементов данных.
    • Тип верхнего расположения: количество попаданий по типу расположения (почтовый ящик и сайт).

Выберите Повторное представление , чтобы повторно выполнить запрос и просмотреть последние результаты. Выберите Скачать отчет , чтобы объединить все результаты области в один .csv файл. При просмотре первых 100 результатов для любой области тренда выберите Скачать отчет для .csv файла 100 лучших результатов выбранной тенденции попадания.

Панель мониторинга примеров

Примеры позволяют проверить репрезентативное подмножество отдельных элементов и сведения для каждого элемента, возвращенного для поиска. Количество выборок для каждого расположения и количество расположений выборок, определенных в поиске, определяют количество образцов элементов и представление расположения в образце элементов.

Результаты поиска для столбцов панели мониторинга Примеры содержат следующие сведения для каждого элемента:

  • Тема и заголовок: тема или название элементов, включенных в пример.
  • Дата: дата создания или отправки элемента.
  • Sender/Author: отправитель или автор элемента.

Выберите пример элемента, чтобы просмотреть сведения об источнике элемента. Если он доступен для элемента, в этом представлении отображается расширенное представление выбранного элемента, чтобы можно было оценить релевантность элемента в том виде, в котором он связан с определенным источником данных поиска и условиями.

Выберите Скачать отчеты , чтобы объединить все примеры результатов в один .csv файл. Выберите Просмотр параметров , чтобы просмотреть параметры, примененные к образцу создания представления.