电子数据展示解决方案系列: 数据损耗情况方案 — 搜索和清除

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

什么是数据损耗情况以及为什么应关注?机密文档发布到不受信任的环境时,数据损耗情况。检测到数据泄漏事件时,它是重要快速评估的大小和位置损耗情况检查周围,用户活动,然后从系统永久清除溅入的数据。

数据损耗情况方案

您是 contoso 潜在顾客信息的安全官员。在其中员工无意共享高度机密文档与多人通过电子邮件数据损耗情况情况来通知您。要快速评估谁在内部和外部收到此文档。确定后,您想要与其他调查人员要查看,然后从Office 365永久删除数据共享案例研究结果。调查完成后,要永久删除和其他案例的详细信息以供将来的任何参考的证据生成的报表。

本文讨论的范围

本文档提供有关如何从中永久删除邮件Office 365 ,以便它不具有辅助功能或可恢复说明的列表。若要删除一条消息,并使其可恢复已删除的项保留期过期之前,请参阅搜索和删除 Office 365 组织中的电子邮件

工作流以便管理数据泄漏事件

下面介绍了如何管理数据泄漏事件:

用于管理数据泄漏事件 8 步骤工作流

(可选)步骤 1: 管理谁可以访问这种情况和设置合规性边界

步骤 2: 创建电子数据展示事例

步骤 3: 搜索溅入的数据

步骤 4: 检查和验证案例研究结果

步骤 5: 使用邮件跟踪日志以检查如何溅入的数据共享

步骤 6: 准备邮箱

步骤 7: 永久删除溅入的数据,以便它不是可访问或恢复

步骤 8: 验证、 提供删除,证明和审核

开始之前的注意事项

  • 置于保持状态邮箱时,已删除的邮件将一直在可恢复的邮件文件夹中保留期到期或释放暂停。步骤 6介绍如何从邮箱中删除保留。删除保留之前,请与记录管理或法律部门。您的组织可能有定义是否按住上的邮箱策略或数据泄漏事件优先。

  • 若要控制哪些用户邮箱数据损耗情况调查人员可以搜索和管理谁可以访问这种情况,您可以设置合规性边界创建自定义角色组,这在步骤 1中所述。若要执行此操作,您必须是组织管理角色组的成员,或者角色管理角色分配。如果您或您的组织中的管理员已经设置了合规性边界,则可以跳过第 1 步。

  • 若要创建事例,您必须是电子数据展示管理器角色组的成员,或者是自定义的角色组分配的案例管理角色的成员。如果您不是成员,请让Office 365管理员将您添加到电子数据展示管理器角色组

  • 若要删除溢出至您的组织的数据,您需要在Exchange Online PowerShell 中使用搜索邮箱 DeleteContent命令。此外,若要使用DeleteContent参数,您还必须是Exchange Online分配邮箱导入导出角色中的角色组的成员。请参阅管理角色组的"添加到角色组的角色"部分。

  • 若要在步骤 8 中搜索电子数据展示活动的Office 365审核日志,必须打开审核为您的组织。您可以搜索过去 90 天内所执行的活动。若要了解有关如何启用并使用审核功能,请参阅步骤 8 中的审核数据损耗情况调查过程部分。

(可选)步骤 1: 管理谁可以访问这种情况和设置合规性边界

根据您组织的做法,您需要控制哪些人可以访问用于调查数据泄漏事件和合规性边界上设置电子数据展示事例。执行此操作的最简单方法是将调查人员添加为Office 365 安全和合规性中心中现有的角色组的成员,然后将角色组添加为电子数据展示事例的成员。有关内置电子数据展示角色组以及如何将成员添加到电子数据展示事例的信息,请参阅在 Office 365 安全和合规性中心中的电子数据展示权限分配

您也可以创建新的角色组与您组织的需要相符。例如,您可能希望数据损耗情况调查人员访问和协作处理所有数据损耗情况情况的组织中的组。您可以执行此操作通过创建"数据损耗情况调查"角色组、 分配相应的角色 (导出、 RMS 解密、 审阅、 预览、 合规性搜索和事例管理)、 向角色组中,添加数据损耗情况调查人员,然后添加作为数据损耗情况电子数据展示事例的成员的角色组。有关如何执行此操作的详细说明,请参阅设置 Office 365 中的电子数据展示调查的合规性边界

返回到工作流概述

步骤 2: 创建电子数据展示事例

电子数据展示事例提供有效的方式来管理您的数据损耗情况调查。您可以将成员添加到您在步骤 1 中创建的角色组、 添加角色组成员的新电子数据展示事例,执行迭代搜索以查找溅入的数据、 导出的报表,共享、 跟踪状态的情况下,以及然后到 c 的详细信息,请返回如果需要,ase。请考虑建立用于数据泄漏事件,电子数据展示事例的命名约定,并提供尽可能多的信息,如以便您可以查找和引用将来如有必要,您可以在大小写的名称和说明。

若要创建新的大小写,您可以使用电子数据展示中安全和合规性中心。请参阅创建新的大小写

步骤 3: 搜索溅入的数据

既然您已创建的大小写和托管的访问,您可以使用这种情况反复搜索您的组织进行查找溅入的数据,以识别包含溅入的数据的邮箱。您将使用相同的搜索查询用于查找带有溅入的数据的邮件,以删除这些步骤 7中相同的邮件。

若要创建与电子数据展示事例相关联的内容搜索,请参阅创建和运行内容搜索与事例相关联

重要:在搜索查询中使用的关键字可能包含您要搜索的实际溅入的数据。例如,如果文档包含社会保险号码和您的搜索用作 it 中搜索关键字,必须删除查询事后进一步避免数据损耗情况。请参阅删除搜索查询中的步骤 8。

返回到工作流概述

步骤 4: 检查和验证案例研究结果

创建内容搜索后,您需要检查和验证搜索结果,并验证仅包含,必须删除电子邮件。在内容的搜索,可以预览随机抽样 1000 的电子邮件,而不导出搜索结果以避免更多数据损耗情况。您可以了解有关在Office 365 安全和合规性中心中的内容搜索限制的预览限制。

如果您有每个要审阅的邮箱超过 1000 个邮箱或超过 100 个电子邮件,您可以使用其他关键字或条件,如日期范围或发件人/收件人将多个搜索分成初始搜索并查看每个搜索结果单独。请确保记下所有搜索查询来删除在步骤 7 中的邮件时使用。

如果管理员或最终用户分配一个Office 365 E5 许可证,您可以检查使用Office 365 高级电子数据展示一次最多 10000 个搜索结果。如果有 10000 个电子邮件以查看,可以除以日期范围的搜索查询和查看每个结果分别为按日期排序结果的搜索。在高级电子数据展示,您可以标记在预览面板中使用标签为功能的搜索结果,按您所标记的标记筛选搜索结果。当您与辅助审阅者协作,这是很有帮助。在高级电子数据展示,如光学字符识别、 电子邮件线程,和预测编码,使用其他分析工具可以快速处理和审阅了成千上万的邮件和标记它们以备将来查看。请参阅为 Office 365 高级电子数据展示快速设置

当您找到包含溅入的数据的电子邮件时,请检查以确定它已从外部共享邮件的收件人。进一步跟踪一条消息,您可以收集发件人的信息和日期范围以便您可以使用邮件跟踪日志,这在步骤 5中所述。

Afer 验证搜索结果中,您可能想要与其他人共享您的发现,以供辅助审阅。步骤 1中的事例您分配的人员可以审阅在电子数据展示和高级电子数据展示事例内容和批准案例研究结果。而不导出的实际内容,您还可以生成报表。您也可以作为证明删除操作,所述的步骤 8中使用此相同报告。

若要生成统计报告:

  1. 转到电子数据展示的情况下,在搜索页面,然后单击搜索您想要生成的报表。

  2. 在弹出式页上,单击更多>导出报表

    将显示导出报告页面。

    选择搜索,然后单击其他 > 飞出页面上的报表导出
  3. 选择所有项目,包括具有不可识别的格式已加密,或未索引其他原因,然后单击生成报表

  4. 电子数据展示的情况下,单击导出以显示导出作业的列表。您可能需要单击刷新来更新该列表以显示您刚刚创建的导出作业。

  5. 单击导出作业,然后单击飞出页面上的下载报告

    在导出页面上,单击导出,然后单击"下载报告"

导出摘要报表包含的位置找到具有结果和大小的搜索结果的数量。您可以使用此比较与删除后生成的报告,同时删除证明。结果报告包含搜索结果中,包括主题、 发件人、 收件人,如果读取电子邮件、 日期和大小的每封邮件的详细的信息。如果此报表中的详细信息的任何包含该实际溅入的数据,请务必调查完成后永久删除 Results.csv 文件。

有关导出报表的详细信息,请参阅导出内容搜索报告

返回到工作流概述

步骤 5: 使用邮件跟踪日志以检查如何溅入的数据共享

以便进一步调查如果溅入的数据的电子邮件已共享,您可以选择性地查询与发件人的信息和步骤 4 中收集到的日期范围信息的邮件跟踪日志。请注意,邮件跟踪的保留期 30 天的实时数据和历史记录数据保持 90 天。

您可以在安全和合规性中心中使用邮件跟踪或Exchange Online PowerShell 中使用相应 cmdlet。请务必注意邮件跟踪不提供完整保证在返回的数据完整性。有关使用邮件跟踪的详细信息,请参阅:

步骤 6: 准备邮箱

审阅并验证搜索结果中包含必须已删除邮件后,您需要收集受影响的邮箱,当您运行Search-Mailbox -DeleteContent命令在步骤 7 中使用的电子邮件地址的列表。您可能需要准备邮箱之前,您可以永久删除电子邮件,具体取决于包含溅入的数据,或者如果这些邮箱的任何上按住邮箱是否启用了单个项目恢复。

获取溅入的数据与邮箱的地址列表

有两种方法可以收集溅入的数据与邮箱的电子邮件地址的列表。

方法 1: 获取邮箱位置中搜索统计信息

  1. 在安全和合规性中心,打开的电子数据展示事例,转到搜索页面上,并选择适当的内容搜索。

  2. 在弹出式页上,单击查看结果

  3. 单个结果下拉列表中,单击搜索统计信息

  4. 在列表中向下类型下拉列表中,单击顶部的位置

    获取包含搜索结果中搜索统计信息顶部的位置页上的邮箱的列表

    显示的包含搜索结果的邮箱的列表。此外显示的每个邮箱搜索查询相匹配的项目数。

  5. 列表中的信息复制并将其保存到文件或单击下载来下载到 CSV 文件的信息。

方法 2: 从导出报告获取邮箱位置

步骤 4中打开您下载导出摘要报表。在报表中的第一列,在位置下列出每个邮箱的电子邮件地址。

准备邮箱,以便您可以删除溅入的数据

如果启用单个项目恢复或邮箱置于保持状态,永久删除 (清除) 的邮件都将保留下来可恢复的项目的文件夹中。这样可以清除溅入的数据之前,您需要检查的现有邮箱配置禁用恢复单个邮件以及删除任何保留或Office 365保留策略。请记住,您可以一次准备一个邮箱,然后运行的另一个邮箱相同的命令或创建一个 PowerShell 脚本,同时准备多个邮箱。

重要:删除保留或保留策略之前,请与记录管理或法律部门。您的组织可能有定义是否按住上的邮箱策略或数据泄漏事件优先。

请务必验证溅入的数据已被永久删除后还原为以前配置的邮箱。请参阅步骤 7中的详细信息。

返回到工作流概述

步骤 7: 永久删除溅入的数据

使用邮箱位置收集和准备步骤 6 和搜索查询已创建并精致在步骤 3 以查找包含溅入的数据的电子邮件中,您可以立即永久删除溅入的数据。作为前面所述,您可以分配Exchange Online删除邮件使用以下过程中的邮箱导入导出角色。

  1. 连接到 Exchange Online PowerShell

  2. 运行以下命令:

    Search-Mailbox -Identity <email address of mailbox> -SearchQuery <search query> -DeleteContent
  3. 重新运行通过替换Identity参数; 值包含溅入的数据,每个邮箱的上一个命令例如:

    Search-Mailbox -Identity sarad@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent
    Search-Mailbox -Identity janets@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent
    Search-Mailbox -Identity pilarp@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent

如前面所述,您可以创建一个PowerShell 脚本和运行它与邮箱的列表,以便脚本删除中的每个邮箱的溅入的数据。

返回到工作流概述

步骤 8: 验证、 提供删除,证明和审核

工作流管理数据泄漏事件中的最后一步是验证溅入的数据已永久删除邮箱中通过转到电子数据展示事例并重新运行用于删除该数据,以确认无结果 ar 同一个搜索查询返回 e。确认已被永久删除溅入的数据后,可以将报表导出,并将其作为删除证明包含 (以及原始报表)。然后,您可以关闭大小写,这将允许您重新打开它,如果您有参考它将来。此外,还可以恢复邮箱到原来的状态,删除用于查找溅入的数据,并搜索审核的任务的记录管理数据泄漏事件时执行的搜索查询。

还原到其以前的状态的邮箱

如果您更改任何邮箱配置准备邮箱溅入的数据被删除之前的步骤 6 中,您需要将其还原到原来的状态。请参阅"步骤 5: 恢复到原来的状态的邮箱"中删除可恢复的项目保持在基于云的邮箱的文件夹中的项目

删除搜索查询

如果您创建并在步骤 3 中使用的搜索查询中的关键字包含一些所有实际溅入的数据,您应删除搜索查询,以防止进一步数据损耗情况。

  1. 在安全和合规性中心,打开的电子数据展示事例,转到搜索页面上,并选择适当的内容搜索。

  2. 在弹出式页上,单击删除

    选择搜索,然后单击飞出页面上的删除

审核数据损耗情况调查过程

您可以搜索调查过程中执行的电子数据展示活动的Office 365审核日志。您也可以搜索审核日志返回时运行的Search-Mailbox -DeleteContent命令删除溅入的数据创建审核记录。有关详细信息,请参阅:

返回到工作流概述

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×