série de solutions eDiscovery : scénario écoulement des données - recherche et purge

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Qu’est un liquide de données et pourquoi changer ? Écoulement de données est lorsqu’un document confidentiel est publié dans un environnement non fiable. Lorsqu’un incident d’écoulement données est détecté, il est important d’évaluer rapidement la taille et les emplacements de l’écoulement, examinez les activités utilisateur autour de celle-ci et puis effacer définitivement les données projections à partir du système.

Scénario d’écoulement de données

Vous êtes un responsable de la sécurité informations prospect chez Contoso. Vous êtes informé d’une situation écoulement données où un employé partagé sans le savoir un document hautement confidentiel avec plusieurs personnes par courrier électronique. Vous voulez évaluer rapidement qui a reçu ce document internes et externes. Une fois identifié, que vous voulez partager conclusions cas avec les autres investigateurs à consulter, puis supprimer définitivement les données de Office 365. Une fois l’enquête terminée, que vous souhaitez générer un rapport avec la preuve de la suppression définitive et d’autres détails cas pour toute référence ultérieure.

Étendue de cet article

Ce document fournit la liste des instructions sur la façon de supprimer définitivement un message de Office 365 afin qu’il n’est pas accessible ou récupérables. Pour supprimer un message et rendez-le récupérables avant l’expiration de la période de rétention des éléments supprimés, voir Rechercher et supprimer des messages de messagerie dans votre organisation Office 365.

Flux de travail pour la gestion des incidents écoulement de données

Voici une façon de gérer un incident écoulement de données :

Le flux de travail 8 étape pour la gestion des incidents écoulement de données

(Facultatif) Étape 1 : Gérer qui peut accéder à la casse et définir les limites de conformité

Étape 2 : Créer un cas eDiscovery

Étape 3 : Recherchez les données projections

Étape 4 : Vérifier et valider conclusions cas

Étape 5 : Utiliser message journal de suivi pour vérifier les données comment projections a été partagé

Étape 6 : Préparer les boîtes aux lettres

Étape 7 : Supprimer définitivement les données projections afin qu’il n’est pas accessible ou récupérables

Étape 8 : Vérifier, fournissent une preuve de suppression et d’audit

Éléments à connaître avant de commencer

  • Lorsqu’une boîte aux lettres est en attente, un message supprimé est conservé dans le dossier éléments récupérables jusqu'à ce que la période de rétention expire ou le blocage est terminé. Étape 6 explique comment supprimer une suspension dans les boîtes aux lettres. Contactez votre gestion des enregistrements ou services juridiques avant d’effectuer la mise en attente. Votre organisation peut avoir une stratégie qui définit si une boîte aux lettres sur Maintenez ou un incident écoulement données est prioritaire.

  • Pour contrôler les boîtes aux lettres utilisateur un responsable des essais écoulement données pouvant rechercher et de gérer qui peut accéder à la casse, vous pouvez configurer des limites de conformité et créer un groupe de rôles personnalisé, qui est décrit dans l’étape 1. Pour ce faire, vous devez être membre du groupe de rôles gestion de l’organisation ou attribuer le rôle de gestion des rôles. Si vous ou administrateur de votre organisation a déjà défini des limites de conformité, vous pouvez ignorer l’étape 1.

  • Pour créer un cas, vous devez être membre du groupe de rôles gestionnaire eDiscovery ou être membre d’un groupe de rôles personnalisé qui a attribué le rôle de gestion de cas. Si vous n’êtes pas un membre, demandez à un administrateur Office 365vous ajouter au groupe de rôles gestionnaire eDiscovery.

  • Pour supprimer des données qui sont insérées dans votre organisation, vous devez utiliser la commande de Boîte aux lettres recherche-DeleteContent dans Exchange Online PowerShell. En outre, pour utiliser le paramètre DeleteContent , vous devez également être membre d’un groupe de rôles dans Exchange Online qui a attribué le rôle de boîte aux lettres importer exporter. Consultez la section « Ajouter un rôle à un groupe de rôles » dans Gérer les groupes de rôle.

  • Pour rechercher le journal d’audit Office 365 pour des activités de découverte électronique à l’étape 8, l’audit doit être activée pour votre organisation. Vous pouvez rechercher des activités qui ont été effectuées dans les 90 derniers jours. Pour en savoir plus sur l’activation et l’utilisation de l’audit, consultez la section vérification le processus d’investigation écoulement données à l’étape 8.

(Facultatif) Étape 1 : Gérer qui peut accéder à la casse et définir les limites de conformité

Selon votre pratique d’organisation, vous devez contrôler qui peut accéder le cas de découverte électronique utilisé pour identifier un incident écoulement de données et configurer des limites de conformité. Le plus simple consiste à ajouter investigateurs en tant que membres d’un groupe de rôles existant dans la Centre de sécurité et conformité Office 365, puis ajoutez le groupe de rôles en tant que membre du boîtier eDiscovery. Pour plus d’informations sur les groupes de rôles eDiscovery intégrés et comment ajouter des membres à un cas eDiscovery, voir attribuer des autorisations de découverte électronique dans le centre de conformité et de sécurité pour Microsoft Office 365.

Vous pouvez également créer un nouveau groupe de rôles qui s’aligne avec les besoins de votre organisation. Par exemple, vous souhaiterez un groupe d’investigateurs écoulement de données dans votre organisation pour accéder et collaborer sur tous les cas écoulement de données. Vous pouvez le faire en créant un groupe de rôles « Données responsable des essais écoulement », attribution les rôles appropriés (exporter, déchiffrement RMS, révision, aperçu, recherche de conformité et gestion de cas), ajoutant investigateurs écoulement données au groupe de rôles et puis en ajoutant le groupe de rôles en tant que membre de la casse données écoulement eDiscovery. Pour obtenir des instructions détaillées sur la façon de procéder, voir configurer des limites de conformité pour les enquêtes de découverte électronique dans Office 365 .

Revenir à la vue d’ensemble du flux de travail

Étape 2 : Créer un cas eDiscovery

Un cas eDiscovery offre un moyen efficace pour gérer votre enquête écoulement de données. Vous pouvez ajouter des membres au groupe de rôles que vous avez créé à l’étape 1, ajoutez le groupe de rôles en tant que membre du nouveau un cas eDiscovery, effectuer des recherches itératifs pour rechercher les données projections, exporter un rapport à partager, suivre l’état de la casse et puis référer aux détails de la c ASE si nécessaire. Envisagez d’établir une convention d’appellation dans les cas de découverte électronique utilisé pour les incidents écoulement de données et fournissez autant d’informations que possible dans le dossier nom et une description afin de pouvoir localiser et faire ultérieurement si nécessaire.

Pour créer un nouveau dossier, vous pouvez utiliser la découverte électronique dans la Centre de sécurité et conformité. Voir créer un nouveau dossier.

Étape 3 : Recherchez les données projections

À présent que vous avez créé un cas et accès géré, vous pouvez utiliser la casse itératif Rechercher pour trouver les données projections et d’identifier les boîtes aux lettres qui contiennent les données projections de votre organisation. Vous allez utiliser la même requête de recherche qui vous permettent de rechercher les messages avec les données projections à supprimer ces mêmes messages à l’étape 7.

Pour créer des recherches de contenu associés à un cas eDiscovery, voir créer et exécuter qu'une recherche de contenu associée à un cas.

Importantes : Les mots clés que vous utilisez dans la requête de recherche peuvent contenir les données réelles projections que vous recherchez. Par exemple, si vous recherchez des documents contenant un numéro de sécurité sociale et que vous utilisez le service informatique comme un mot clé dans la recherche, vous devez supprimer la requête par la suite pour éviter d’autres écoulement de données. Voir la suppression de la requête de recherche à l’étape 8.

Revenir à la vue d’ensemble du flux de travail

Étape 4 : Vérifier et valider conclusions cas

Après avoir créé une recherche de contenu, vous devez examiner et vérifier que la recherche des résultats et vérifiez qu’elles regroupent uniquement les messages électroniques qui doivent être supprimés. Dans une recherche de contenu, vous pouvez afficher un aperçu de sondage de 1 000 messages électroniques sans exporter les résultats de recherche pour éviter d’autres écoulement de données. Vous pouvez en savoir plus sur les limitations d’aperçu en limites de recherche de contenu dans le centre de conformité Office 365 sécurité.

Si vous avez plus de 1 000 boîtes aux lettres ou plus de 100 messages électroniques par boîte aux lettres en revue, vous pouvez diviser la recherche initiale en plusieurs recherches à l’aide des mots clés supplémentaires ou conditions telles que la plage de dates ou un expéditeur/destinataire et consulter les résultats de chaque recherche individuellement. Veillez à noter vers le bas toutes les requêtes de recherche à utiliser lorsque vous supprimez des messages à l’étape 7.

Si un dépositaire ou l’utilisateur final est attribué une licence E5 Office 365, vous pouvez examiner jusqu'à 10 000 résultats de recherche à la fois à l’aide de Office 365 Advanced eDiscovery. S’il existe plus de 10 000 messages électroniques en revue, vous pouvez répartir la requête de recherche par plage de dates et revoir individuellement chaque résultat en tant que recherche résultats sont triés par date. Dans Advanced eDiscovery, vous pouvez ajouter des balises à l’aide de la fonctionnalité d’étiquette en tant que dans le volet Aperçu des résultats de recherche et filtrer les résultats de recherche par la balise que vous intitulée. Cette opération est utile lorsque vous collaborez avec un relecteur secondaire. À l’aide d’outils supplémentaires analytique dans Advanced eDiscovery, telles que la reconnaissance optique des caractères, threads de messagerie et un codage prédictive, vous pouvez rapidement traiter et réviser des milliers de messages et les marquer pour une révision supplémentaire. Voir mise en forme rapide pour Office 365 avancées de découverte électronique.

Lorsque vous trouvez un message électronique qui contient des données projections, vérifiez les destinataires du message pour déterminer si elle a été partagé avec l’extérieur. Pour approfondir trace un message, vous pouvez collecter des informations sur l’expéditeur et plage de dates afin d’utiliser les journaux de suivi des messages, qui est décrit à l’étape 5.

Fois vous vérifié les résultats de recherche, vous souhaiterez peut-être partager vos résultats avec d’autres personnes pour une révision secondaire. Les personnes qui vous avez affecté à la casse à l’étape 1 peuvent consulter le contenu de cas de découverte électronique et Advanced eDiscovery et approuver des conclusions cas. Vous pouvez également générer un rapport sans exporter le contenu effectif. Vous pouvez également utiliser ce rapport même comme une preuve de suppression, qui est décrit à l’étape 8.

Pour générer un rapport statistique :

  1. Accédez à la page de recherche dans le cas de découverte électronique, puis cliquez sur la recherche que vous souhaitez générer un rapport.

  2. Dans la page volant, cliquez sur plus > Exporter le rapport.

    La page de rapport Exporter s’affiche.

    Sélectionnez la recherche, puis cliquez sur plus > Exporter le rapport dans la page volant
  3. Sélectionnez tous les éléments, y compris ceux qui ont un format non reconnu, sont chiffrés, ou n’ont pas été indexées pour d’autres raisons, puis sur Générer un rapport.

  4. Dans le cas de découverte électronique, cliquez sur Exporter pour afficher la liste des tâches d’exportation. Vous devrez peut-être cliquer sur Actualiser pour mettre à jour la liste pour afficher la tâche d’exportation que vous venez de créer.

  5. Cliquez sur la tâche d’exportation, puis cliquez sur Télécharger le rapport dans la page volant.

    Dans la page Exporter, cliquez sur l’exportation, puis cliquez sur « Télécharger le rapport »

Le rapport de Synthèse exporter contient le nombre de positions trouvées avec résultats et la taille des résultats de recherche. Vous pouvez utiliser cette à comparer avec le rapport généré après la suppression et fournir une preuve de suppression. Le rapport de résultats contient une synthèse plus détaillée des résultats de recherche, y compris l’objet, l’expéditeur, les destinataires, si le message a été lu, dates et taille de chaque message. Si un des détails dans ce rapport contient les données projections réelles, veillez à supprimer définitivement le fichier Results.csv lors de l’enquête est terminée.

Pour plus d’informations sur l’exportation de rapports, voir Exporter un rapport de recherche de contenu.

Revenir à la vue d’ensemble du flux de travail

Étape 5 : Utiliser message journal de suivi pour vérifier les données comment projections a été partagé

Pour approfondir vos recherches si le courrier électronique avec les données projections a été partagé, vous pouvez éventuellement interroger les journaux de suivi des messages avec les informations de l’expéditeur et les informations de plage de date que vous avez recueilli à l’étape 4. Notez que la période de rétention pour le suivi des messages est de 30 jours pour les données en temps réel ou 90 jours pour les données historiques.

Vous pouvez utiliser le suivi des messages dans la Centre de sécurité et conformité ou utiliser les applets de commande correspondante dans Exchange Online PowerShell. Il est important de noter que toutes les garanties sur la conformité des données retournées ne propose pas de suivi des messages. Pour plus d’informations sur l’utilisation de suivi des messages, voir :

Étape 6 : Préparer les boîtes aux lettres

Une fois que vous passez en revue et validez que les résultats de recherche contient uniquement les messages qui doivent être supprimés, vous devez répertorier les adresses de messagerie de l’encadrement concernés les boîtes aux lettres à l’étape 7 lorsque vous exécutez la commande Search-Mailbox -DeleteContent . Vous devrez peut-être également préparer les boîtes aux lettres avant de pouvoir supprimer définitivement les messages électroniques selon que la récupération des éléments unique est activée sur les boîtes aux lettres qui contiennent les données projections ou si un de ces boîtes aux lettres se trouvent sur Maintenez la touche.

Obtenir une liste d’adresses de boîtes aux lettres avec des données projections

Il existe deux manières de collecter la liste des adresses de messagerie des boîtes aux lettres avec des données projections.

Option 1 : Obtenir des emplacements de boîte aux lettres à partir de statistiques de la recherche

  1. Dans la Centre de sécurité et conformité, ouvrez le cas eDiscovery, accédez à la page de recherche et sélectionnez la recherche de contenu approprié.

  2. Dans la page volant, cliquez sur Afficher les résultats.

  3. Dans la liste déroulante les résultats individuels, cliquez sur statistiques de la recherche.

  4. Dans la liste déroulante Type, cliquez sur emplacements supérieure.

    Obtenir une liste des boîtes aux lettres qui contiennent des résultats de recherche dans la page emplacements supérieure dans les statistiques de recherche

    Une liste des boîtes aux lettres qui contiennent des résultats de recherche s’affiche. Le nombre d’éléments dans chaque boîte aux lettres qui correspondent à la requête de recherche s’affiche également.

  5. Copiez les informations dans la liste et enregistrez-le dans un fichier ou cliquez sur Télécharger pour télécharger les informations dans un fichier CSV.

Option 2 : Obtenir des emplacements de boîte aux lettres à partir du rapport d’exportation

Ouvrez le rapport résumé d’exportation que vous avez téléchargé à l’étape 4. Dans la première colonne dans le rapport, l’adresse de messagerie de chaque boîte aux lettres est répertorié sous emplacements.

Préparer les boîtes aux lettres afin de supprimer les données projections

Si la récupération seul élément est activée ou si une boîte aux lettres est mis en attente, un message (supprimés définitivement) définitivement supprimé est conservé dans le dossier éléments récupérables. Donc avant que vous pouvez videz des données projections, vous devez vérifier la configuration de boîte aux lettres existant et désactiver la récupération seul élément et supprimer une stratégie de rétention en attente ou Office 365. N’oubliez pas que vous pouvez préparer une boîte aux lettres à la fois, puis exécutez la même commande sur différentes boîtes aux lettres ou créer un script PowerShell pour préparer plusieurs boîtes aux lettres en même temps.

Importantes : Contactez votre gestion des enregistrements ou services juridiques avant la suppression d’une stratégie de blocage ou de rétention. Votre organisation peut avoir une stratégie qui définit si une boîte aux lettres sur Maintenez ou un incident écoulement données est prioritaire.

N’oubliez pas de restaurer des boîtes aux lettres vers leur configuration précédente après avoir vérifié que les données projections a été supprimées définitivement. Afficher les détails à l’étape 7.

Revenir à la vue d’ensemble du flux de travail

Étape 7 : Supprimer définitivement les données projections

À l’aide de l’emplacement de boîte aux lettres que vous avez collectées et préparé dans l’étape 6 et la requête de recherche qui a été créée et affinée à l’étape 3 pour rechercher des messages électroniques qui contiennent les données projections, vous pouvez maintenant supprimer définitivement les données projections. Comme expliqué précédemment, vous devez attribuer le rôle de boîte aux lettres importer exporter dans Exchange Online pour supprimer les messages à l’aide de la procédure suivante.

  1. Se connecter à Exchange Online PowerShell.

  2. Exécutez la commande suivante :

    Search-Mailbox -Identity <email address of mailbox> -SearchQuery <search query> -DeleteContent
  3. Lancez à nouveau la commande précédente pour chaque boîte aux lettres qui contient les données projections, en remplaçant la valeur pour le paramètre Identity ; par exemple :

    Search-Mailbox -Identity sarad@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent
    Search-Mailbox -Identity janets@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent
    Search-Mailbox -Identity pilarp@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent

Comme indiqué auparavant, vous pouvez également créer un script PowerShell et exécuter par rapport à une liste des boîtes aux lettres afin que le script supprime les données projections dans chaque boîte aux lettres.

Revenir à la vue d’ensemble du flux de travail

Étape 8 : Vérifier, fournissent une preuve de suppression et d’audit

La dernière étape du flux de travail pour gérer un incident écoulement données consiste à vérifier que les données projections a été supprimées définitivement la boîte aux lettres en accédant au cas de découverte électronique et réexécuter la même requête de recherche qui a été utilisée pour ne supprimer ces données pour confirmer qu’aucune ar résultats e renvoyée. Après avoir confirmé que les données projections a été supprimées définitivement, vous pouvez exporter un rapport et inclure (ainsi que l’état d’origine) comme une preuve de suppression. Ensuite, vous pouvez Fermer la casse, ce qui vous permettra de rouvrir si vous avez vous y référer à l’avenir. En outre, vous pouvez également rétablir des boîtes aux lettres à leur état précédent, supprimer la requête de recherche utilisée pour rechercher les données projections et rechercher des enregistrements de tâches l’audit effectué lors de la gestion de l’incident écoulement données.

Pour revenir les boîtes aux lettres à leur état précédent

Si vous avez modifié n’importe quelle configuration de boîte aux lettres à l’étape 6 pour préparer les boîtes aux lettres avant que les données projections a été supprimées, vous devrez les restaurer à leur état antérieur. Voir « étape 5 : rétablir la boîte aux lettres à son état précédent » dans Supprimer des éléments dans les éléments récupérables dossier de boîtes aux lettres sur le nuage sur contenir.

Supprimer la requête de recherche

Si les mots clés dans la requête de recherche que vous avez créé et utilisé à l’étape 3 contient certains de toutes les données projections réelles, vous devez supprimer la requête de recherche afin d’éviter les écoulement de données.

  1. Dans la Centre de sécurité et conformité, ouvrez le cas eDiscovery, accédez à la page de recherche et sélectionnez la recherche de contenu approprié.

  2. Dans la page volant, cliquez sur Supprimer.

    Sélectionnez la recherche, puis cliquez sur Supprimer dans la page volant

Le processus d’investigation écoulement données d’audit

Vous pouvez effectuer une recherche dans le journal d’audit Office 365 pour les activités de découverte électronique qui ont été effectuées lors de l’enquête. Vous pouvez également rechercher le journal d’audit pour renvoyer les enregistrements d’audit qui ont été créées lorsque vous avez exécuté la commande Search-Mailbox -DeleteContent pour supprimer les données projections. Pour plus d’informations, voir :

Revenir à la vue d’ensemble du flux de travail

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×