Innehållsutforskaren för hantering av insiderrisk

Innehållsutforskaren för hantering av insiderrisk gör det möjligt för användare som tilldelats rollen Utredare av insiderriskhantering att undersöka kontexten och informationen om innehåll som är associerat med aktivitet i aviseringar. Ärendedata i Innehållsutforskaren uppdateras dagligen för att inkludera ny aktivitet. För alla aviseringar som bekräftas för ett ärende arkiveras kopior av data och meddelandefiler som en ögonblicksbild i tid för objekten, samtidigt som de ursprungliga filerna och meddelandena i lagringskällorna bevaras. Vid behov kan ärendedatafiler exporteras som en bärbar dokumentfil (PDF) eller i det ursprungliga filformatet.

För nya fall tar det vanligtvis ungefär en timme innan innehåll fylls i i Innehållsutforskaren. För fall med stora mängder innehåll kan det ta längre tid att skapa en ögonblicksbild. Om innehållet fortfarande läses in i Innehållsutforskaren visas en förloppsindikator som visar slutförandeprocenten.

I vissa fall kanske data som är associerade med ett ärende inte är tillgängliga som en ögonblicksbild för granskning i Innehållsutforskaren. Den här situationen kan inträffa när ärendedata har tagits bort eller flyttats, eller när ett tillfälligt fel inträffar när ärendedata bearbetas. Om den här situationen inträffar väljer du Visa filer i varningsfältet för att visa filnamnen, filsökvägen och orsaken till felet för varje fil. Om det behövs kan den här informationen exporteras till en fil med .csv (kommaavgränsade värden).

Om innehållet innehåller Information Rights Management behörigheter behålls dessa behörigheter för det kopierade innehållet och användare som tilldelats rollen Utredare av insiderriskhantering behöver dessa behörigheter och rättigheter om de behöver öppna och visa filerna. Varje fil och meddelande tilldelas automatiskt ett unikt fil-ID i hanteringsfallet för insiderriskhantering. Dokument som är associerade med enhetsindikatoraktiviteter ingår inte i Innehållsutforskaren.

Anteckning

Innehållsutforskaren innehåller användaraktiviteter relaterade till Microsoft 365-tjänstfiler, till exempel användaraktivitet i SharePoint, Exchange, Microsoft Teams och OneDrive för företag.

Kolumnalternativ

För att göra det enklare för riskanalytiker och utredare att granska insamlade data och meddelanden och granska kontexten i ärendet ingår flera filtrerings- och sorteringsverktyg i innehållsutforskaren. För grundläggande sortering stöder klasskolumnerna Datum och Fil sortering med hjälp av kolumnrubrikerna i innehållsköfönstret. Andra kökolumner är tillgängliga att lägga till i vyn för att tillhandahålla olika pivoter för filer och meddelanden.

Om du vill lägga till eller ta bort kolumnrubriker för innehållskön använder du kontrollen Redigera kolumner och väljer bland följande kolumnalternativ. De här kolumnerna mappas till de vanliga egenskapsvillkoren för e-post och dokument som stöds i innehållsutforskaren och som visas senare i den här artikeln.

Kolumnalternativ Beskrivning
Författare Redigeringsfältet från Office-dokument, som bevaras om ett dokument kopieras. Om en användare till exempel skapar ett dokument och skickar e-post till någon annan som sedan laddar upp det till SharePoint behåller dokumentet fortfarande den ursprungliga författaren.
Bcc Tillgängliga för e-postmeddelanden, användarna i fältet Hemlig kopia.
Cc Tillgängliga för e-postmeddelanden, användarna i fältet Kopia meddelande.
Sammansatt sökväg Läsbar sökväg för människor som beskriver objektets källa.
Konversations-ID Konversations-ID från meddelandet.
Konversationsindex Konversationsindex från meddelandet.
Skapad tid Tiden då filen eller e-postmeddelandet skapades.
Datum (UTC) För e-post, det datum då ett meddelande togs emot av en mottagare eller skickades av avsändaren. För dokument, det datum då ett dokument senast ändrades. Datumet anges i Coordinated Universal Time (UTC).
Dominerande tema Dominerande tema som beräknats för analys.
E-postuppsättnings-ID Grupp-ID för alla meddelanden i samma e-postuppsättning.
Familje-ID Familje-ID grupperar alla objekt; för e-post innehåller den här kolumnen meddelandet och alla bifogade filer. för dokument innehåller den här kolumnen dokumentet och eventuella inbäddade objekt.
Filklass För innehåll från SharePoint och OneDrive: Dokument; för innehåll från Exchange: E-post eller bifogad fil.
Fil-ID Dokumentidentifierare som är unik i ärendet.
Filtypsikon Filnamnstillägget; till exempel docx, one, pptx eller xlsx. Det här fältet är samma egenskap som egenskapen FileExtension-plats.
ID GUID-identifieraren för filen.
Oföränderligt ID Oföränderligt ID som lagras i Office 365.
Inkluderande typ Inkluderande typ beräknad för analys: 0 – inte inkluderande; 1 - inkluderande; 2 - inkluderande minus; 3 – inkluderande kopia.
Senast ändrad Datumet då ett dokument senast ändrades.
Markerad som representativ Ett dokument från varje uppsättning med exakta dubbletter markeras som representanter.
Typ av meddelande Typ av e-postmeddelande att söka efter. Möjliga värden: kontakter, dokument, e-post, externa data, fax, im, journaler, möten, Microsoft Teams (returnerar objekt från chattar, möten och samtal i Microsoft Teams), anteckningar, inlägg, RSS-feeds, uppgifter, röstbrevlåda
Deltagare Lista över alla deltagare i ett meddelande. till exempel Avsändare, Till, Kopia, Hemlig kopia.
Pivot-ID ID för en pivot.
Mottaget Det datum då ett e-postmeddelande togs emot av en mottagare. Det här fältet är samma egenskap som egenskapen Mottagen e-post.
Mottagare Alla mottagarfält i ett e-postmeddelande. Dessa fält är Till, Kopia och Hemlig kopia.
Representativt ID Numerisk identifierare för varje uppsättning exakta dubbletter.
Avsändare Avsändaren av ett e-postmeddelande.
Avsändare/författare För e-post, den person som skickade ett meddelande. För dokument, den person som anges i fältet författare från Office-dokument. Du kan skriva mer än ett namn, avgränsat med kommatecken. Två eller flera värden är logiskt anslutna av OPERATORN OR.
Typer av känslig information De typer av känslig information som identifieras i innehållet.
Känslighetsetiketter Känslighetsetiketterna som tillämpas på innehållet.
Skickas Det datum då ett e-postmeddelande skickades av avsändaren. Det här fältet är samma egenskap som egenskapen Skickat e-post.
Storlek För både e-post och dokument, storleken på objektet (i byte).
Ämne Texten i ämnesraden i ett e-postmeddelande.
Ämne/rubrik För e-post, texten i ämnesraden i ett meddelande. Dokumentets rubrik för dokument. Som tidigare förklarats är egenskapen Title metadata som anges i Microsoft Office-dokument. Du kan ange namnet på mer än ett ämne/en rubrik, avgränsat med kommatecken. Två eller flera värden är logiskt anslutna av OPERATORN OR.
Lista över teman Lista över teman som beräknats för analys.
Rubrik Dokumentets rubrik. Egenskapen Title är metadata som anges i Office-dokument. Det skiljer sig från filnamnet på dokumentet.
Till Mottagaren av ett e-postmeddelande i fältet Till.

Filtrering

Du kan använda ett eller flera filter för att begränsa sökomfånget och returnera en mer förfinad uppsättning resultat. Om du vill ange ett filter väljer du Filter överst i innehållskön. Många filter innehåller ytterligare filtreringsalternativ för att begränsa resultatet som returneras av filtret. Filtret Datum innehåller till exempel kontroller för att konfigurera startdatum och slutdatum för filtret Datum . Välj ett eller flera filterobjekt från följande kategorier:

Vanliga filter

Filter Beskrivning
Datum (UTC) För e-post, det datum då ett meddelande togs emot av en mottagare eller skickades av avsändaren. För dokument, det datum då ett dokument senast ändrades.
Avsändare/författare För e-post, den person som skickade ett meddelande. För dokument, den person som anges i fältet Författare från Office-dokument. Du kan skriva mer än ett namn, avgränsat med kommatecken.
Source Platsen för dokumentet i din organisation. Till exempel en specifik SharePoint-webbplatsplats.
Ämne/rubrik För e-post, texten i ämnesraden i ett meddelande. Dokumentets rubrik för dokument. Egenskapen Rubrik i dokument är metadata som anges i Microsoft Office-dokument. Du kan ange namnet på mer än ett ämne/en rubrik, avgränsat med kommatecken. Två eller flera värden är logiskt anslutna av OPERATORN OR.

E-postfilter

Filter Beskrivning
Bcc Fältet Hemlig kopia i ett e-postmeddelande.
Cc Fältet Kopia i ett e-postmeddelande.
Har bifogad fil Anger om ett meddelande har en bifogad fil. Värden visas som true eller false.
Är e-postbilaga Om dokumentet är en bifogad fil visas värdet som Ja.
Är inbäddat dokument Om dokumentet är inbäddat i e-postmeddelandet visas värdet som Ja.
Är infogad bifogad fil Om dokumentet är en infogad bifogad fil i e-postmeddelandet visas värdet som Ja.
Deltagare Alla fält för personer i ett e-postmeddelande. Dessa fält är Från, Till, Kopia och Hemlig kopia.
Mottaget Det datum då ett e-postmeddelande togs emot av en mottagare.
Mottagardomäner Lista över alla domäner för mottagare av ett meddelande.
Mottagare E-postmeddelandets mottagare.
Avsändare Avsändarfält (från) för meddelandetyper. Formatet är DisplayName <SmtpAddress>.
Avsändningsdomän Avsändarens domän.
Till Fältet Till i ett e-postmeddelande.
Unikt i e-postuppsättning Falskt om det finns en dubblett av den bifogade filen i e-postuppsättningen.

Dokumentfilter

Filter Beskrivning
Efterlevnadsetiketter Efterlevnadsetiketter som används i Office 365.
Skapad tid (UTC) Datum och tid då filen eller e-postmeddelandet skapades. Datum och tid finns i Coordinated Universal Time (UTC).
Senaste ändringsdatum (UTC) Datumet då ett dokument senast ändrades. Datum och tid finns i Coordinated Universal Time (UTC).
Filnamnstillägg Filnamnstilläggstypen.
Användaraktivitetshändelser Aktivitet för objekt som är relaterade till specifik användaraktivitet i ett ärende. När du till exempel väljer en länk till Utforska innehåll för en aktivitet på sidan Användaraktivitet i ett ärende används det här filtret för att visa objekt som är relaterade till aktiviteten.
Arbetsprodukt Typ av arbetsprodukt för dokumentet. Till exempel anteckningar eller taggar i dokumentet.