实验室 4 - 练习 3 - 使用电子数据展示(标准版)和内容搜索进行案例调查

你是 Contoso Ltd. 的合规性管理员 Joni Sherman。该公司目前正在参与有关潜在知识产权盗窃的法律调查。 作为合规性管理员,你有责任确保保留所有相关电子数据,并使这些数据可供访问,以满足法律和内部审查义务。 在本练习中,你将使用电子数据展示(高级版)有效管理案例,确保 Contoso Ltd. 可以提供调查所需的电子证据。

  1. 创建电子数据展示(高级版)案例
  2. 向案例添加保管人
  3. 创建并运行集合估算
  4. 提交集合到审阅集
  5. 浏览审阅集
  6. 导出搜索结果
  7. 关闭电子数据展示(高级版)案例

任务 1 - 创建电子数据展示(高级版)案例

首先,你需要创建电子数据展示(高级版)案例以开始调查。 此案例将是与知识产权盗窃调查相关的所有活动和数据的中央存储库。

  1. 使用 SC-400-cl1\admin 帐户登录到客户端 1 VM (SC-400-CL1)。

  2. 在 Microsoft Edge 中,导航到 https://purview.microsoft.com 并以 Joni Sherman 的身份 JoniS@WWLxZZZZZZ.onmicrosoft.com (其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID)登录到 Microsoft Purview 门户 。

  3. 在左侧边栏上,选择“解决方案”,然后选择“电子数据展示”。

  4. 在“电子数据展示”页上的左侧边栏中,展开“高级案例”,然后选择“案例”。

  5. 在“电子数据展示(高级版)”页上,选择“+ 创建案例”。

  6. 在右侧的“为案例命名”浮出面板中输入:

    • 名称Contoso IP Theft Investigation
    • 说明Case for the 2024 investigation into potential intellectual property theft involving relevant emails and documents.
    • 停靠编号2024-IP-INV-001

  7. 选择下一步

  8. 在“添加团队成员并配置设置” 页上的“用户”字段中搜索 Joni,然后选择“Joni Sherman”。 搜索 Megan 并添加 Megan Bowen 作为用户,以便与 Joni 进行调查。

  9. 保留其他默认值并选择“下一步”。

  10. 在“查看案例”页上,选择“提交”。

  11. 创建案例后,在“新案例已就绪”页上选择“完成”。

你已成功创建新的电子数据展示案例。

任务 2 – 向案件添加保管人

创建案例后,需要添加保管人。 保管人是可能掌握调查所需相关信息的个人。

  1. 你应仍使用 Joni 的帐户登录 Microsoft Purview。 应位于电子数据展示(高级版)中“Contoso IP 盗窃调查”案例的“概述”页上。

    如果没有,请导航到 https://purview.microsoft.com,然后以 Joni Sherman 的身份登录。 选择“解决方案” > “电子数据展示” > “高级案例” > “Contoso IP 盗窃调查”。

  2. 从顶部导航栏中选择“数据源”选项卡,然后选择“添加数据源” > “添加新保管人”下拉列表。

  3. 在“新建保管人”浮出面板的“选择保管人”下,输入 Patti,然后选择“Patti Fernandez”。 在要添加保管人的字段中,输入 Pradeep 并选择“Pradeep Gupta”以添加另一名保管人。

  4. 选择下一步

  5. 在“保留设置”页上,确保选择 Patti 和 Pradeep 进行法定保留,然后选择“下一步”。

  6. 在“查看保管人”页上,选择“提交”。

  7. 选择保管人后,请在“已创建新保管人”页上选择“完成”。

  8. 刷新“数据源”页,直到“源状态”、“索引状态”和“保留状态”都指示成功完成。

你已成功将保管人添加到 Contoso IP 盗窃调查案例。

任务 3 - 创建并运行集合估算

添加保管人后,现在可以运行集合估算,大致了解数据量和相关性。

  1. 你应仍使用 Joni 的帐户登录 Microsoft Purview。 你应位于电子数据展示(高级版)中的“Contoso IP 盗窃调查”案例的“数据源”页上。

    如果没有,请导航到 https://purview.microsoft.com,然后以 Joni Sherman 的身份登录。 选择“解决方案” > “电子数据展示” > “高级案例” > “Contoso IP 盗窃调查”。

  2. 从顶部导航栏中选择“集合”选项卡,然后选择“+ 新建集合”。

  3. 在“新建集合”配置中的“名称和说明”页上输入:

    • 名称IP Theft Data Collection
    • 说明Collecting emails and documents relevant to the 2024 investigation into potential intellectual property theft at Contoso Ltd.

  4. 选择下一步

  5. 在“选择保管数据源”上,选择“+ 选择保管人”。

  6. 在“选择保管人”浮出面板中,选中“Pradeep Gupta”和“Patti Fernandez”对应的复选框,然后选择面板底部的“添加”。

  7. 返回“选择保管数据源”页,选择“下一步”。

  8. 在“选择非保管数据源”上,选择“下一步”。

  9. 在“其他位置”上,将以下位置的状态设置为“开启”:

    • Exchange 邮箱
    • Exchange 公用文件夹

  10. 选择下一步

  11. 在“定义搜索查询”页上,选择使用 KQL 编辑器的选项。 在 KQL 框中,输入:

    (Subject:"confidential" OR Subject:"intellectual property" OR ConversationBody:"confidential" OR ConversationBody:"intellectual property" OR ConversationBody:"trade secret" OR Subject:"trade secret") AND (From:"@contoso.com" OR To:"@contoso.com")

  12. 选择下一步

  13. 在“查看并创建集合”页上,选择“提交”。

  14. 创建集合估算后,选择,然后选择“已创建新集合”页上的“完成”。

  15. 返回“集合”页,查看集合估算的进度。 使用“刷新”按钮刷新页面并检查集合估算的状态。 估算状态更新为“已估算”且“预览状态”更新为“成功”后,集合估算完成。

    提示:集合估算完成后,可以随意试验生成不同的查询或使用 KQL 编辑器进行更高级的搜索。 为此,请选中集合估算左侧的复选框,然后选择“编辑集合”。 这会将你直接带到“定义搜索查询”页。 可以修改查询并提交新的集合估算,以探索查询如何对集合估算造成更改。

  16. 选择“IP 盗窃数据集合”并浏览集合估算。

    • “摘要”选项卡:提供集合统计信息的概述,包括检索的项、命中的位置以及文件类型。
    • 数据源”选项卡:显示有关集合中包含的保管和非保管数据源的信息。
    • “搜索统计信息”选项卡:显示上一集合估算中的详细统计信息,包括项数和数据量。
    • “集合选项”选项卡:列出和说明配置集合时可用的不同选项,例如云附件和对话线程。

已成功创建并查看“IP 盗窃数据收集”集合估算。

任务 4 - 提交集合到审阅集

对集合感到满意后,请将其提交到审阅集进行详细分析。

  1. 你仍应位于“Contoso IP 盗窃调查”案例的“集合”页上。

    如果没有,请导航到 https://purview.microsoft.com,然后以 Joni Sherman 的身份登录。 选择“解决方案” > “电子数据展示” > “高级案例” > “Contoso IP 盗窃调查” > “集合”。

  2. 选择“IP 盗窃数据集合”集合。

  3. 在右侧的“IP 盗窃数据集合” 浮出面板中,选择“提交集合”。

  4. 在“将项提交到审阅集”页上,确保已选择“添加到新审阅集”选项,并将其命名为 Case2024 Data Breach Review

  5. 保留其他默认值的选定状态,然后选择“提交”以将集合提交到审阅集。

已成功将集合提交到审阅集。

任务 5 - 浏览审阅集

将集合提交到审阅集后,现在将浏览审阅集,以查看可对收集的项执行的操作。

  1. 你仍应位于“Contoso IP 盗窃调查”案例的“集合”页上。

    如果没有,请导航到 https://purview.microsoft.com,然后以 Joni Sherman 的身份登录。 选择“解决方案” > “电子数据展示” > “高级案例” > “Contoso IP 盗窃调查” > “集合”。

  2. 从顶部导航栏中选择“审阅集”选项卡,然后选择新创建的“Case2024 数据泄露审阅”审阅集。

  3. 在右侧的“Case2024 数据泄露审阅”浮出控件面板中,选择页面底部的“打开审阅集”。

  4. 浏览对审阅集中的项可以执行的操作:

    • 筛选器:允许应用条件以缩小审阅集中显示的项的范围。
    • 标记:使你能够使用特定标记来标记文档,以便更好地组织和识别。
    • :允许按相关项目(如家庭或对话)组织审阅集内容。
    • 视图源:提供所选文档的丰富视图,并以原始格式显示文档。
    • 查看纯文本:显示文档的提取文本,忽略嵌入的图像和格式。
    • 批注:允许用户对文档应用标记、修订和其他批注。
    • 查看元数据:显示与所选文档关联的各种元数据以获取详细见解。

  5. 浏览审阅集后,可以导出项以供进一步分析。

已成功打开并查看审阅集。

任务 4 - 导出搜索结果

若要保存工作并实现进一步分析,请导出搜索结果。

  1. 你应仍在电子数据展示(高级版)中的 Case2024 数据泄露审阅审阅集中。

    如果没有,请导航到 https://purview.microsoft.com,然后以 Joni Sherman 的身份登录。 选择“解决方案” > “电子数据展示” > “高级案例” > “Contoso IP 盗窃调查” > “审阅集” > “Case2024 数据泄露审阅” > “打开审阅集”。

  2. 选择“操作”(“操作”图标)下拉列表,然后选择“导出”。

  3. 在右侧的“导出选项”浮出面板上,输入:

    • 导出名称Case2024_DataBreach_Export
    • 说明Export of collected emails and documents for the 2024 data breach investigation case.
    • 导出这些文档:审阅集中的所有文档
    • 输出选项:经过精简的目录结构

  4. 选择浮出控件页底部的“导出”按钮。

  5. 应会收到一条通知,指出“已创建作业”以导出审阅集。 在此通知上选择“确定”。

  6. 若要检查作业状态,请从左侧边栏中展开“高级案例”,然后选择“案例”。 从顶部导航中依次选择“Contoso IP 盗窃调查”案例、“作业”标签页。

    在这里,你将看到为 Contoso IP 盗窃调查案例运行的所有作业的列表。

  7. 作业“准备导出”的状态更新为“成功”时,导出完成。

  8. 若要访问导出的审阅集,请从顶部导航中选择“导出”选项卡。

  9. 选择 Case2024_DataBreach_Export 导出。

  10. 在右侧的“Case2024_DataBreach_Export”浮出面板上,选中每个导出文件左侧旁边的复选框,然后选择“下载”。 这将下载已导出项的 .csv 摘要和 zip 文件。

    提示:可能需要禁用弹出窗口阻止程序才能成功下载导出的文件。

已成功导出搜索结果以供审阅。

任务 7 - 关闭电子数据展示(高级版)案例

在此最终任务中,你将关闭用于进行知识产权盗窃调查的电子数据展示案例。 此步骤显示已完成所有必要的数据收集和审阅任务。

  1. 你应仍以 Joni Sherman 的身份登录 Microsoft Purview 中的电子数据展示。

  2. 在左侧边栏中,选择“高级案例”,然后选择“案例”。

  3. 在“Contoso IP 盗窃调查”字段中,选择垂直省略号,然后选择“关闭案例”。

    显示用于在电子数据展示(高级版)中关闭案例的单击路径的屏幕截图

  4. 查看“警告”对话框,其通知内容为:关闭案例会释放所有保留内容,可能导致数据丢失。

  5. 在警告消息上选择“”按钮。

  6. 案例状态将更新为“正在关闭”,最终变为“已关闭”。

  7. 在 Microsoft Edge 中,Microsoft Purview 门户选项卡应该仍处于打开状态。 通过在右上角选择 Joni Sherman 的个人资料图片,注销 Joni 的帐户。 选择“注销”,然后关闭浏览器窗口。

已成功关闭 Contoso IP 盗窃调查案例,这表明所有电子数据展示任务都已完成,并且该案例已准备好执行任何后续步骤。