eDiscovery 解決方案系列: 資料 spillage 案例-搜尋與清除

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

什麼資料 spillage,以及您要為何應該謹慎?資料 spillage 是放開機密文件到受信任的環境。偵測到資料 spillage 事件時,請務必快速評估的大小及位置 spillage 檢查周圍,使用者活動,然後從系統將會永久清除 spilled 的資料。

資料 spillage 案例

您可以在 Contoso 引導資訊安全人員。會通知您的資料 spillage 的情況下,其中員工無意間共用高度機密文件與多人透過電子郵件。您想要快速評估內部和外部,有哪些會收到這份文件。識別之後,您想要與其他現場檢閱,然後再從Office 365永久移除資料共用大小寫的搜尋結果。調查完畢之後,您要產生報告辨識項永久移除及其他大小寫的詳細資料的任何供日後參考。

本文討論的範圍

這份文件提供如何永久移除郵件Office 365 ,讓它不是存取或復原指示的清單。若要刪除的郵件,並使其可復原已刪除的項目保留期限到期之前,請參閱搜尋和刪除您的 Office 365 組織中的電子郵件訊息

管理資料 spillage 事件工作流程

以下是如何管理資料 spillage 事件:

管理資料 spillage 事件 8 步驟工作流程

(選用)步驟 1: 管理誰可以存取的案例及設定規範邊界

步驟 2: 建立 eDiscovery 案例

步驟 3: 搜尋 spilled 的資料

步驟 4: 檢閱並驗證大小寫的搜尋結果

步驟 5: 使用共用追蹤記錄檔,以檢查如何溢出資料的訊息

步驟 6: 準備信箱

步驟 7: 將會永久刪除 spilled 的資料,使其無法存取或復原

步驟 8: 驗證,提供刪除,並稽核

須知事項開始之前

  • 保留信箱時,直到保留期限已經過期或已發行保留已刪除的郵件會保留在 [可復原的郵件] 資料夾。步驟 6說明如何移除信箱的保留。移除保留之前,先檢查與記錄管理或法律部門。您的組織可能會有定義信箱是否保留原則或資料 spillage 事件的優先順序。

  • 若要控制哪些使用者信箱資料 spillage 調查可以搜尋及管理誰能夠存取的情況下,您可以設定規範界限建立自訂的角色群組所述的步驟 1。若要這麼做,您必須是組織管理角色群組的成員,或指定給角色管理角色。如果您或您組織中的管理員已設定規範界限,您可以略過步驟 1。

  • 若要建立的大小寫,您必須是 eDiscovery 管理員角色群組的成員,或是自訂的角色群組指派的大小寫管理角色的成員。如果您不是成員,請要求Office 365管理員將新增至 eDiscovery 管理員角色群組。

  • 若要刪除的溢出至您的組織資料,您需要使用Exchange Online PowerShell 中搜尋信箱 DeleteContent ] 命令。此外,若要使用DeleteContent參數,也必須是中Exchange Online信箱匯入匯出的角色指派角色群組的成員。請參閱管理角色群組的 [新增至角色群組的角色] 一節。

  • 若要搜尋的 eDiscovery 活動Office 365稽核記錄步驟 8 中,稽核必須開啟為您的組織。您可以搜尋過去 90 天內所執行的活動。若要進一步瞭解如何啟用並使用稽核,請參閱步驟 8 中的 [稽核資料 spillage 調查程序] 區段。

(選用)步驟 1: 管理誰可以存取的案例及設定規範邊界

根據您組織的作法,您需要控制能夠存取用於調查資料 spillage 事件,以及設定規範界限 eDiscovery 案例。簡單的方法是在Office 365 安全性與合規性中心中現有的角色群組成員身分加入現場,,然後將角色群組新增為 eDiscovery 案例的成員。內建的 eDiscovery 角色群組,以及如何將成員新增至 eDiscovery 案例的相關資訊,請參閱指派 Office 365 的安全性與規範中心中的 eDiscovery 權限

您也可以建立新的角色群組,與您組織的需求。例如,您可能會想資料 spillage 現場存取及共同作業資料 spillage 情況下組織中的群組。您可以建立 「 資料 Spillage 調查 」 角色群組、 指派適當的角色 (匯出、 RMS 解密、 檢閱、 預覽、 法規遵循搜尋及案例管理),將資料 spillage 現場新增至 [角色] 群組,然後再新增為資料 spillage eDiscovery 案例的成員角色群組。如何執行此動作的詳細指示,請參閱設定 Office 365 中的 eDiscovery 調查的規範邊界

回到工作流程概觀

步驟 2: 建立 eDiscovery 案例

EDiscovery 案例提供有效的方式來管理您的資料 spillage 調查。您可以將成員新增至角色群組您在步驟 1 中建立、 新增角色群組成員新增 eDiscovery 案例,反覆運算搜尋來尋找 spilled 的資料、 共用、 追蹤的大小寫,狀態報表匯出,然後參照回 c 的詳細資料如有需要 ase。請考慮建立 eDiscovery 案例用於資料 spillage 事件,命名慣例,並提供所,讓您可以找出並參照在未來如有需要,您可以在大小寫的名稱和描述的資訊。

若要建立新的大小寫,您可以使用 eDiscovery 安全性與合規性中心中。請參閱建立新的大小寫

步驟 3: 搜尋 spilled 的資料

現在,您已建立的大小寫及受管理的存取,您可以使用 [大小寫反覆搜尋您的組織,找出 spilled 的資料,並找出含有 spilled 的資料的信箱。您會使用相同的搜尋查詢,您用來尋找 spilled 資料的訊息,若要刪除這些步驟 7中相同的郵件。

若要建立 eDiscovery 案例相關聯的內容搜尋,請參閱建立和執行內容搜尋相關聯的大小寫

重要:在搜尋查詢中使用的關鍵字可能包含您要搜尋的實際 spilled 的資料。例如,如果搜尋包含社會安全號碼和您的文件作為 it 在搜尋關鍵字,您必須刪除之後,避免發生資料 spillage 查詢。請參閱刪除搜尋查詢中的步驟 8。

回到工作流程概觀

步驟 4: 檢閱並驗證大小寫的搜尋結果

建立內容的搜尋之後,您需要檢閱及驗證的搜尋結果,並確認,他們只能包含必須先刪除電子郵件訊息。在內容搜尋,您可以在不匯出搜尋結果,避免發生資料 spillage 預覽隨機 1000 的電子郵件訊息的範例。您可以閱讀更多關於在Office 365 的安全性與規範中心內容搜尋功能限制預覽限制。

如果您有 1000 個以上的信箱或更多不要超過 100 個電子郵件訊息,每個檢視的信箱,您可以分成多個搜尋中的初始的搜尋,以使用其他的關鍵字或條件,例如日期範圍] 或 [寄件者/收件者,並檢閱每一個搜尋結果個別。請確定記下您刪除步驟 7中的郵件時使用的所有搜尋查詢。

如果在 okay 或使用者指派Office 365 E5 授權,您可以檢查使用Office 365 進階電子文件探索一次最多 10000 個搜尋結果。檢閱 10000 個以上的電子郵件訊息時,您可以除以日期範圍的搜尋查詢,並為 [依日期排序結果的搜尋的個別檢閱每個結果。在進階電子文件探索,您可以標記使用 [預覽] 面板中的 [與標籤功能的搜尋結果,然後依您標示為標籤篩選搜尋結果。當您與次要檢閱者共同作業,這會很有幫助。進階電子文件探索,例如光學字元辨識、 電子郵件執行緒和預測撰寫程式碼中使用其他的分析工具您可以快速處理程序檢閱數以千計的郵件,並加上標籤的進一步檢閱。請參閱針對 Office 365 進階 eDiscovery 快速設定

當您找到電子郵件訊息,其中包含溢出資料時,請核取收件者的郵件來查看是否外部共用。進一步追蹤一則訊息,您可以收集寄件者資訊和日期範圍,您可以在步驟 5中說明使用訊息追蹤記錄檔。

Afer 驗證搜尋結果,您可能會想要與其他人共用您的搜尋結果的次要檢閱。您指定給步驟 1中大小寫的人員可以檢閱 eDiscovery 與進階電子文件探索中大小寫的內容,並核准大小寫的搜尋結果。您也可以產生報表而不會匯出實際的內容。您也可以使用此相同的報表,以證明刪除所述的步驟 8

若要產生統計報表:

  1. 移至 eDiscovery 案例中,在 [搜尋] 頁面,然後按一下您想要產生報表的搜尋]。

  2. 延伸顯示在頁面上,按一下 [其他] > [匯出報表

    匯出報表頁面會顯示。

    選取搜尋],然後按一下 [更多 > [延伸] 頁面上的報表匯出
  3. 選取所有項目,具有無法辨識的格式,包括加密,或因為其他原因而未索引,然後按一下 [產生報告

  4. 在 eDiscovery 案例中,按一下 [匯出至顯示匯出工作清單。您可能必須按一下 [更新清單,以顯示您剛剛建立的匯出作業的 [重新整理]。

  5. 按一下 [匯出工作,然後按一下 [延伸] 頁面上的 [下載報告

    在 [匯出] 頁面上,按一下 [匯出],然後按一下 「 下載報表 」

匯出摘要報告中包含的位置找到結果與搜尋結果的大小。您可以使用此選項比較與刪除後所產生的報表,並提供為證明刪除。結果報表包含更詳細的摘要的搜尋結果中,包括主旨、 寄件者、 收件者,如果讀取電子郵件、 日期與每一封郵件的大小。如果任何詳細資料報表中包含實際 spilled 的資料,請務必調查完成後,將會永久刪除 Results.csv 檔案。

如需有關如何匯出報表的詳細資訊,請參閱匯出內容搜尋報告

回到工作流程概觀

步驟 5: 使用共用追蹤記錄檔,以檢查如何溢出資料的訊息

進一步調查如果溢出資料的電子郵件共用,您可以選擇性地查詢訊息追蹤記錄的寄件者資訊與您在步驟 4 中所收集到的日期範圍資訊。請注意,訊息追蹤的保留期限 30 天的即時資料和 90 天的歷史資料。

您可以使用安全性與合規性中心中的訊息追蹤或Exchange Online PowerShell 中使用的相對應的指令程式。請務必請注意,訊息追蹤不提供完整的保證在傳回的資料完整性。如需有關如何使用訊息追蹤的詳細資訊,請參閱:

步驟 6: 準備信箱

檢閱後,當您驗證的搜尋結果,包含必須先刪除的郵件時,必須先收集受影響的信箱,當您執行Search-Mailbox -DeleteContent命令,在 [步驟 7 中使用電子郵件地址的清單。您也可能有準備信箱,才能將會永久刪除根據上含有 spilled 的資料,或如果有任何這些信箱是在按住的信箱是否啟用單一項目復原的電子郵件訊息。

取得地址的溢出資料的信箱的清單

有兩種方式來收集的電子郵件地址的溢出資料的信箱清單。

選項 1: 取得信箱位置中搜尋統計資料

  1. 在安全性與合規性中心中,開啟 eDiscovery 案例、 移至 [搜尋] 頁面上,然後選取適當的內容搜尋。

  2. 在 [延伸] 頁面上,按一下 [檢視結果

  3. 個別結果] 下拉式清單中,按一下 [搜尋統計資料]。

  4. 在 [類型] 下拉式清單中,按一下 [上方的位置]。

    取得包含在搜尋中的 [上方的位置] 頁面上的搜尋結果的信箱清單

    會顯示包含搜尋結果的信箱清單。也會顯示符合搜尋查詢中每個信箱項目數目。

  5. 複製清單中的資訊並將其儲存為檔案,或按一下 [下載下載為 CSV 檔案的資訊。

選項 2: 從匯出報表取得信箱位置

步驟 4中開啟您下載匯出摘要報表。在報表中的第一欄,每個信箱的電子郵件地址會列在的位置

您可以刪除 spilled 的資料準備信箱

如果已啟用復原單一項目,或信箱位於保留,將會永久刪除 (已清除的) 郵件仍會保留可復原的郵件] 資料夾中。因此,您可以清除溢出資料之前,必須先檢查現有的信箱設定並停用單一項目復原移除任何保留或Office 365的保留原則。請記住,您可以一次準備 ㄧ 個信箱,然後不同信箱上執行相同的命令或建立同時準備多個信箱的 PowerShell 指令碼。

重要:移除保留或保留原則之前,先檢查與記錄管理或法律部門。您的組織可能有定義信箱是否保留原則或資料 spillage 事件的優先順序。

請務必確認 spilled 的資料已永久刪除之後還原為其先前設定的信箱。請參閱步驟 7中的詳細資料。

回到工作流程概觀

步驟 7: 將會永久刪除 spilled 的資料

使用信箱位置收集並準備好在步驟 6 和搜尋查詢建立和精簡在步驟 3 中尋找包含 spilled 的資料的電子郵件訊息中,您現在可以將會永久刪除 spilled 的資料。如先前所解釋,您必須被指派信箱匯入匯出中的角色Exchange Online刪除郵件使用下列程序。

  1. 連線至 Exchange Online PowerShell

  2. 執行下列命令:

    Search-Mailbox -Identity <email address of mailbox> -SearchQuery <search query> -DeleteContent
  3. 重新執行取代Identity參數值; 包含 spilled 的資料,每個信箱的上一個命令例如:

    Search-Mailbox -Identity sarad@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent
    Search-Mailbox -Identity janets@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent
    Search-Mailbox -Identity pilarp@contoso.onmicrosoft.com -SearchQuery <search query> -DeleteContent

為先前述,您也可以建立的PowerShell 指令碼及執行針對的信箱清單,以便將指令碼刪除中每個信箱的 spilled 的資料。

回到工作流程概觀

步驟 8: 驗證,提供刪除,並稽核

若要管理資料 spillage 事件工作流程中的最後一個步驟是確認 spilled 的資料已永久移除從信箱移至 eDiscovery 案例並再次執行相同的搜尋查詢用來刪除確認的資料沒有結果 ar傳回 e。在確認已永久移除 spilled 的資料後,可以將報表匯出,並將其加入 (以及原始的報表) 中,以證明刪除。然後,您可以關閉大小寫,這可讓您重新開啟它,如果在未來參照為其。此外,您也可以還原信箱之前的狀態,刪除用來尋找 spilled 的資料,並搜尋稽核記錄的工作在管理資料 spillage 事件時所執行的搜尋查詢。

還原到原始狀態信箱

如果您有變更任何信箱中的設定步驟 6,準備信箱 spilled 的資料遭到刪除前,必須將其還原成原始狀態。請參閱 「 步驟 5: 還原成先前的狀態信箱 」 中刪除可復原的項目保留在雲端的信箱] 資料夾中的項目

刪除搜尋查詢

如果您已建立,並在步驟 3 中所使用的搜尋查詢中的關鍵字包含部分或所有的實際 spilled 資料,您應該刪除搜尋查詢,以避免其他資料 spillage。

  1. 在安全性與合規性中心中,開啟 eDiscovery 案例、 移至 [搜尋] 頁面上,然後選取適當的內容搜尋。

  2. 按一下 [延伸] 頁面的 [刪除]。

    選取搜尋],然後按一下 [延伸] 頁面上的 [刪除

稽核資料 spillage 調查程序

您可以搜尋調查過程中未執行 eDiscovery 活動的Office 365稽核記錄。您也可以搜尋傳回的稽核記錄您執行 [ Search-Mailbox -DeleteContent ] 命令,刪除 spilled 的資料時所建立的稽核記錄。如需詳細資訊,請參閱:

回到工作流程概觀

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×