Lab Microsoft 365 – Module 31 Content Search eDiscovery

Bạn có thể sử dụng công cụ Content search eDiscovery trong Microsoft Purview để tìm kiếm nội dung như email, documents, and instant messaging trong tổ chức của bạn. Sử dụng công cụ này để tìm kiếm nội dung trong các nguồn dữ liệu trên Microsoft 365.

Sau khi bạn chạy tìm kiếm, số lượng vị trí nội dung và số lượng kết quả tìm kiếm ước tính sẽ được hiển thị trên trang tìm kiếm. Bạn có thể nhanh chóng xem số liệu thống kê, chẳng hạn như các vị trí nội dung có nhiều mục nhất khớp với truy vấn tìm kiếm. Sau khi bạn chạy tìm kiếm, bạn có thể xem trước kết quả hoặc xuất chúng sang máy tính cục bộ.

Để truy cập vào Content search eDiscovery trong Microsoft Purview (để chạy tìm kiếm và xem trước kết quả và xuất kết quả), Bạn phải là thành viên eDiscovery Manager role group trong compliance portal.

Lưu ý: Bạn chỉ nên dùng Content search eDiscovery khi được yêu cầu từ cấp quản lý hay nhân viên điều tra.

Content-search-eDiscovery

Tìm Kiếm Dữ Liệu

Task 1 – Run a content search

Task 1 – Run a content search

Để thực hiện phần này, bạn phải thực hiện Exercise 1, Task 9 trước đó (add têncủabạnuser2 vào group eDiscovery Manager), Nếu bạn thực hiện Exercise 1, Task 9 ngay bây giờ bạn phải chờ khá lâu mới thực hiện thành công bài lab này.

  1. Mở trình trình duyệt truy cập trang https://admin.microsoft.com. bằng user têncủabạn@customdomain
  2. Màn hình Microsoft 365 admin center, menu trái chọn Compliance.
  3. Màn hình Microsoft Purview, menu trái chọn Solutions\eDiscovery\Content search, và ấn  + New search.
  4. Màn hình Name and description, nhập các thông tin sau:
  • Name: Test search
  • Description: Kiểm tra tính năng tìm kiếm nội dung để lấy thông tin quản trị viên
  • Ấn Next.

5. Màn hình Locations, trong phần Exchange mailboxes chọn On.

6. Bên tay phải của Exchange mailboxes, chọn Choose users, groups, or teams.

7. Cửa sổ Exchange mailboxes, tìm và chọn têncủabạn@customdomain, ấn Done, ấn Next.

8. Màn hình Define your search conditions, (xác định các điều kiện sẽ tìm kiếm tất cả thư được gửi đến và đi từ têncủabạn@customdomainUser2), trong phần Keywords ấn Remove (Icon thùng rác), Ấn + Add condition, chọn Sender, trong phần Choose users chọn têncủabạn@customdomainUser2.

9. Tiếp tục Ấn + Add condition, chọn Recipients, trong phần Choose users chọn têncủabạn@customdomainUser2, ấn Next

10. Màn hình Review your search and create it , ấn Submit, ấn Done.

11.  Trở về màn hình Content search, quan sát cột Status đang có trạng thái là Starting. chờ vài phút ấn Refresh cho đến khi cột Status đang có trạng thái là Completed.

(Lưu ý: Tùy thuộc vào lượng dữ liệu được tích lũy, truy vấn có thể mất một khoảng thời gian để hoàn thành. Trong môi trường lab, Email của têncủabạn@customdomainUser2 chưa được gửi và nhận nhiều, cho nên truy vấn kiểm tra email đến và đi của têncủabạn@customdomainUser2 sẽ chỉ mất một phút hoặc lâu hơn một chút để hoàn thành.)

content search

Task 2 – Xem Kết Quả Truy Vấn Tìm kiếm

Task 2 – Xem Kết Quả Truy Vấn Tìm kiếm

  1. Tại màn hình Microsoft Purview, menu trái chọn Solutions\eDiscovery\Content search, chọn Test search bạn đã tạo ở task 1.
  2. Ở cuối cửa sổ Test search, chọn Action, và chọn Export report.
  3. Cửa sổ Export report, chọn option đầu tiên (All items, excluding ones that have unrecognized format, are encrypted, or weren’t indexed for other reasons) và ấn Generate report. và ấn Close.

content search

4 Trở lại màn hình Content search, chọn tab Exports và chọn test search_ReportsOnly,

5. Xuất hiện cửa sổ Test search_ReportsOnly, trong phần Export key chọn Copy to clipboard (sẽ sử dụng cho các bước tiếp theo), sau đó ấn Download report, và ấn Open, và ấn Install. để cài Microsoft Office 365 eDiscovery Export Tool

content search

5. Xuất hiện cửa sổ eDiscovery Export Tool, Paste export key vào dòng đầu tiên, ấn Browse chọn C:\Report ấn Ok ấn Start.

6. Chờ export xong, sau khi export xong vào c:\report mở file results.csv xem tất cả thư được gửi đến và đi từ têncủabạn@customdomain và User2@customdomain

content search

Điều Tra Dữ Liệu Microsoft 365

Task 1 - Thực Hiện Tìm Kiếm Nội Dung Email

Task 1 – Thực Hiện Tìm Kiếm Nội Dung Email

Trong phần này, sẽ dùng user2 thực hiện tìm kiếm nội dung các email có từ khóa IP Address.

  1. Mở trình trình duyệt truy cập trang https://compliance.microsoft.com, bằng user User2@customdomain
  2. Màn hình Microsoft Purview, menu trái chọn Solutions\eDiscovery\Content search, và ấn  + New search.
  3. Màn hình Name and description, nhập các thông tin sau:
  • Name: Content search Test
  • Description: Tìm kiếm các email có nội dung chứa từ khóa IP Address
  • Ấn Next.

4. Màn hình Locations, trong phần Exchange mailboxes chọn On, ấn Next.

5. Màn hình Define your search conditions, (xác định các điều kiện sẽ tìm kiếm tất cả thư có chứa từ khóa IP Address), trong phần Keywords nhập vào IP Address, ấn Next

6. Màn hình Review your search and create it , ấn Submit, ấn Done.

7. Trở về màn hình Content search, quan sát cột Status đang có trạng thái là Starting. chờ vài phút ấn Refresh cho đến khi cột Status đang có trạng thái là Completed.

content search

8. Tại màn hình Microsoft Purview, menu trái chọn Solutions\eDiscovery\Content search, chọn Content search Test vừa tạo.

9. Ở cuối cửa sổ Content search Test, chọn Action, và chọn Export report.

10. Cửa sổ Export report, chọn option đầu tiên (All items, excluding ones that have unrecognized format, are encrypted, or weren’t indexed for other reasons) và ấn Generate report. và ấn Ok.

11. Trở lại màn hình Content search, chọn tab Exports và chọn Content search Test_ReportsOnly.

12. Xuất hiện cửa sổ Content search Test_ReportsOnly, trong phần Export key chọn Copy to clipboard (sẽ sử dụng cho các bước tiếp theo), sau đó ấn Download report, và ấn Open.

13. Xuất hiện cửa sổ eDiscovery Export Tool, Paste export key vào dòng đầu tiên, ấn Browse chọn C:\ReportIP ấn Ok ấn Start.

6. Chờ export xong. sau khi export xong vào c:\reportIP xem file results.csv hiển thi các email chứa các thông tin liên quan đến IP address (ghi nhớ các địa chỉ email của Sender và Recipients để làm task 2)

content search

Task 2 – Tạo eDiscovery Case

Task 2 – Tạo eDiscovery Case

Phần này bạn sẽ sử dụng Core eDiscovery Case để tạo (Hold) lưu giữ, nhằm bảo tồn nội dung có thể liên quan đến dữ liệu cần điều tra (trong bài lab này là IP Address). Bạn có thể lưu giữ nội dung của Exchange mailboxes, OneDrive, Sharepoint site, Microsoft Teams, Office 365 Groups, và Yammer Groups của những người bạn đang điều tra.

Khi bạn đặt nội dung ở chế độ lưu giữ (Hold), nội dung sẽ được giữ nguyên cho đến khi bạn xóa nội dung khỏi quy trình lưu giữ (Hold).

Sau khi bạn sử dụng Core eDiscovery Case để tạo (Hold) lưu giữ, có thể mất đến 24 giờ để việc lưu giữ mới có hiệu lực.

  1. Màn hình Microsoft Purview, menu trái chọn Solutions\eDiscovery, và chọn Standard Cases
  2. Màn hình eDiscovery (Standard), chọn + Create a Case, cửa sổ New case trong phần Name nhập vào IP Address Violation ấn Save.

eDiscovery Case

3. Màn hình eDiscovery (Standard), chọn IP Address Violation vừa tạo, chọn tab Hold và chọn + Create

4. Cửa sổ New Hold, trong phần Name nhập vào IP Address Violation – Content ấn Next

5. Màn hình Choose Locations, trong phần Exchange mailboxes chọn On.

6. Bên tay phải của Exchange mailboxes, chọn Choose users, groups, or teams.

7. Cửa sổ Exchange mailboxes, tìm và chọn Sender và Recipients mà bạn đã ghi nhớ ở cuối task1, ấn Done, ấn Next.

8. Cửa sổ Query trong phần Keywords nhập vào IP Address ấn Next, ấn Submit, ấn Done

eDiscovery Case

9. Trở lại Màn hình Microsoft Purview, menu trái chọn Solutions\eDiscovery, chọn Standard Cases, chọn IP Address Violation và chọn tab Search, ấn (+) New search.

10. Màn hình New Search, trong phần Name nhập vào IP Address Violation – Search, ấn Next.

11. Trong phần Locations, chọn option Locations on hold ấn Next.

12. Màn hình Define your search conditions, trong phần Keywords nhập vào IP Address, ấn Next, Ấn Submit, ấn Done

13. Trở về tab Search, quan sát cột Status của IP Address Violation – Search đang có trạng thái là Starting. chờ vài phút ấn Refresh cho đến khi cột Status đang có trạng thái là Completed.

eDiscovery Case

8. Trở lại tab search, chọn IP Address Violation – Search vừa tạo.

9. Ở cuối cửa sổ IP Address Violation – Search, chọn Action, và chọn Export report.

10. Cửa sổ Export report, chọn option đầu tiên (All items, excluding ones that have unrecognized format, are encrypted, or weren’t indexed for other reasons) và ấn Generate report. và ấn Ok.

11. Trở lại tab search, chọn tab Exports và chọn IP Address Violation – Search_ReportsOnly.

12. Xuất hiện cửa sổ IP Address Violation – Search_ReportsOnly, trong phần Export key chọn Copy to clipboard (sẽ sử dụng cho các bước tiếp theo), sau đó ấn Download report, và ấn Open.

13. Xuất hiện cửa sổ eDiscovery Export Tool, Paste export key vào dòng đầu tiên, ấn Browse chọn C:\ReportSearchIP ấn Ok ấn Start.

6. Chờ export xong. sau khi export xong vào c:\reportSearchIP xem file results.csv hiển thi các email chứa các thông tin liên quan đến IP address

Bạn vừa dùng eDiscovery case tạo In-Place Hold để lưu giữ nội dung mailbox và tạo một tìm kiếm để khám phá dữ liệu từ việc lưu giữ (Hold).

eDiscovery Case

Hoàn tất bài lab

Lab Office 365 Module 32