eDiscovery 워크플로에 대해 알아보기
eDiscovery 워크플로를 사용하면 organization ESI(전자 저장 정보)를 보다 빠르게 식별하고 조사하고 조치를 취할 수 있습니다. eDiscovery를 사용하여 ESI 항목에 대한 식별 및 작업을 수행하면 다음과 같은 향상된 워크플로가 사용됩니다.
1단계: 트리거 이벤트에서 에스컬레이션
트리거 이벤트는 organization 에스컬레이션된 활동이며 eDiscovery에서 새 사례 만들기를 시작합니다. 이러한 이벤트는 내부 또는 외부 파트너의 요청, 다른 Microsoft Purview 솔루션의 경고와 연결된 통합 이벤트(예: 참가자 위험 관리 사례) 또는 eDiscovery에 포함된 검색, 조사 및 완화 작업의 이점을 얻을 수 있는 기타 활동일 수 있습니다.
2단계: 사례 만들기 및 관리
eDiscovery의 사례 에는 특정 조사와 관련된 모든 검색, 보류 및 검토 집합이 포함됩니다. 사례에는 규제, 조사 및 소송 요청에 대한 응답이 포함될 수 있습니다. 케이스에 멤버를 할당하여 사례에 액세스할 수 있는 사용자를 제어하고 사례의 내용을 볼 수도 있습니다. eDiscovery는 Microsoft Purview 내부 위험 관리 사례와 새로운 사례 만들기 통합도 지원합니다.
3단계: 검색, 결과 평가 및 구체화
사례를 만든 후 eDiscovery의 기본 제공 검색 도구를 사용하여 organization 콘텐츠 위치를 검색합니다. 사례와 연결된 다양한 검색을 만들고 실행할 수 있습니다. 조건(예: 키워드)을 사용하여 사례와 가장 관련이 있는 데이터로 검색 결과를 반환하는 여러 검색 쿼리를 빌드합니다. 다음을 수행할 수도 있습니다.
- 검색 쿼리를 구체화하여 결과의 범위를 좁히는 데 도움이 될 수 있는 검색 통계를 봅니다.
- 관련 데이터가 검색되고 있는지 빠르게 확인하려면 검색 결과를 미리 봅니다.
- 쿼리를 수정하고 검색을 다시 실행합니다.
4a단계: 검색 결과의 작업
- 검색 결과 내보내기: eDiscovery 사례의 검색이 성공적으로 완료되면 검색 결과를 내보낼 수 있습니다. 검색 결과를 내보내면 사서함 항목이 PST 파일 또는 개별 메시지로 다운로드됩니다. SharePoint 및 OneDrive 사이트에서 콘텐츠를 내보내면 네이티브 Office 문서 및 기타 문서의 복사본이 내보내집니다.
- 검토 집합 만들기: 검토 집합 은 Microsoft 클라우드에서 Microsoft에서 제공하는 안전한 Azure Storage 위치입니다. 검토 집합에 데이터를 추가하면 수집된 항목이 원래 콘텐츠 위치에서 검토 집합으로 복사됩니다. 검토 집합은 검색, 필터링, 태그 및 분석할 수 있는 알려진 정적 콘텐츠 집합을 제공합니다. 검토 집합에 추가되는 콘텐츠를 추적하고 보고할 수도 있습니다.
4b단계: 보류 만들기
조사와 관련된 데이터를 보존하고 보호하려면 사례와 연결된 데이터 원본에 eDiscovery 보류를 배치 할 수 있습니다. 사례를 만든 후 조사에 관심 있는 사용자의 콘텐츠 위치를 즉시 보류할 수 있습니다. 필요한 경우 쿼리 기반 보류를 만들 수도 있습니다. 콘텐츠 위치에는 Exchange 사서함, SharePoint 사이트, OneDrive 계정, Microsoft Teams 및 Microsoft 365 그룹 연결된 사서함 및 사이트가 포함됩니다. 보류를 배치하는 것은 선택 사항이지만 보류를 만들면 조사 중에 사건과 관련이 있을 수 있는 콘텐츠가 유지됩니다.
보류를 만들 때 특정 콘텐츠 위치에 있는 모든 콘텐츠를 유지하거나 쿼리 기반 보류를 만들어 보류 쿼리와 일치하는 콘텐츠만 보존할 수 있습니다. 콘텐츠를 보존하는 것 외에도 보류를 만드는 또 다른 좋은 이유는 다음 단계에서 검색을 만들고 실행할 때 보류 중인 콘텐츠 위치를 빠르게 검색하는 것입니다(검색할 각 위치를 선택하는 대신). 조사를 완료한 후 만든 보류를 해제할 수 있습니다. 자세한 내용은 eDiscovery에서 보류 관리를 참조하세요.
5단계: 검토 집합에서 검토 및 조치 수행
- 콘텐츠 검색: 대부분의 경우 검토 집합의 콘텐츠를 자세히 살펴보고 보다 효율적인 검토를 용이하게 하기 위해 구성하는 것이 유용합니다. 검토 집합에서 필터 및 쿼리를 사용하면 검토 조건을 충족하는 문서의 하위 집합에 집중할 수 있습니다.
- 분석 실행: eDiscovery는 조사와 관련이 없다고 판단되는 검토 집합에서 데이터를 추가로 선별하는 데 도움이 되는 통합 분석 도구를 제공합니다. eDiscovery는 관련 데이터의 양을 줄이는 것 외에도 콘텐츠를 구성하여 검토 프로세스를 더 쉽고 효율적으로 만들 수 있도록 하여 법적 검토 비용을 절감하는 데 도움이 됩니다. 자세한 내용은 eDiscovery의 검토 집합에서 데이터 분석을 참조하세요.
- 태그 항목: eDiscovery 프로세스의 다양한 워크플로를 완료하려면 검토 집합에서 콘텐츠를 구성하는 것이 중요합니다. 이 organization 관련 콘텐츠 식별, 불필요한 콘텐츠 선별 및 전문가 또는 변호사의 검토가 필요한 콘텐츠 식별이 포함되는 경우가 많습니다. 전문가, 변호사 또는 기타 사용자가 검토 집합의 콘텐츠를 검토할 때 태그를 사용하여 콘텐츠와 관련된 의견을 캡처할 수 있습니다. 태그는 조사에 포함된 구조 및 organization 항목을 제공합니다. 자세한 내용은 eDiscovery의 검토 집합에서 문서 태그 지정을 참조하세요.
- 쿼리 보고서 만들기(미리 보기): 검토 집합에 대한 여러 쿼리에 대한 통합 보고서를 생성하고 다운로드합니다. 이 보고서를 사용하면 특정 키워드(keyword) 검색 또는 여러 복합 KeyQL 쿼리에서 필터링된 항목의 총 개수와 볼륨을 빠르게 확인할 수 있습니다.
- 검토 집합의 항목을 다른 검토 집합에 추가: 경우에 따라 한 검토 집합에서 문서를 선택하고 다른 검토 집합에서 개별적으로 작업해야 할 수 있습니다.
- 항목 내보내기: 조사와 관련된 데이터를 검색하고 찾은 후 조사 팀 외부의 사용자가 검토를 위해 Microsoft 365 organization 내보낼 수 있습니다. 내보낸 데이터 파일 외에도 내보내기 패키지에는 내보내기 보고서, 요약 보고서 및 오류 보고서가 포함되어 있습니다. 자세한 내용은 eDiscovery의 검토 집합에서 문서 내보내기 를 참조하세요.
워크플로 구성 요소
경우
사례에는 특정 조사와 관련된 모든 검색, 보류 및 검토 집합이 포함됩니다. 여기에는 규제, 조사 및 소송 요청에 대한 응답이 포함될 수 있습니다. 케이스에 멤버를 할당하여 사례에 액세스할 수 있는 사용자를 제어하고 사례의 내용을 볼 수도 있습니다. eDiscovery는 Microsoft Purview 내부 위험 관리 사례와 새로운 사례 만들기 통합도 지원합니다.
데이터 원본
Microsoft 365에서 데이터는 Exchange, Teams 및 SharePoint의 세 가지 플랫폼에 저장됩니다. 이러한 플랫폼은 Microsoft 365 애플리케이션 내에서 데이터를 구성하고 관리하기 위한 백본 역할을 합니다. 대부분의 Microsoft 365 앱은 다음 컨테이너 중 하나 이상에 데이터를 저장합니다.
- 사용자: 메일, 1:1 Teams 메시지 및 OneDrive 파일과 같은 개별 사용자와 연결된 데이터입니다.
- 그룹: organization 소유하거나 organization 내의 사용자 그룹이 소유한 데이터입니다. 이러한 그룹을 통합 그룹 또는 Teams라고도 합니다.
eDiscovery에서 데이터 원본 의 개념은 Microsoft 365 플랫폼에서 데이터를 식별하고 관리하는 프로세스를 간소화합니다. eDiscovery 사용자는 데이터 원본을 만드는 사용자 또는 그룹을 선택하고 eDiscovery는 플랫폼에 저장된 관련 데이터를 자동으로 식별하고 구성합니다. 데이터 원본은 사용자 또는 그룹(사서함, OneDrive 사이트, SharePoint 사이트)과 관련된 위치를 수집하고 데이터 원본 계층 구조의 위치를 추가합니다. eDiscovery 사용자는 필요에 따라 특정 위치를 선택하거나 제외하여 scope 구체화합니다.
사용자 데이터 원본에는 일반적으로 다음이 포함됩니다.
- 사용자 사서함
- OneDrive 사이트
통합 그룹은 각각 특정 데이터 위치를 포함하는 세 가지 유형으로 분류됩니다.
- Teams: Teams 채팅 및 전자 메일에 대한 Exchange 사서함 저장소뿐만 아니라 채널 및 팀에 연결된 모든 SharePoint 사이트를 포함합니다.
- Yammer: Yammer 메시지에 대한 Exchange 사서함 스토리지를 포함합니다.
- 클래식: SharePoint 사이트만 포함합니다.
eDiscovery 사용자는 organization 전체 원본을 사용하여 organization 검색을 수행할 수도 있습니다. 조직 전체 원본은 다음과 같습니다.
- 모든 사용자 및 그룹: organization 모든 사용자 및 모든 그룹을 포함합니다.
- 모든 공용 폴더: Exchange 공용 폴더 사서함의 모든 콘텐츠를 포함합니다.
일반적으로 사용자 사서함 집합을 검색해야 하며 목록이 배포 목록으로 관리됩니다. 메일 그룹 추가가 지원되며 그룹에 나열된 Exchange 사서함만 검색됩니다.
사용자 또는 그룹의 이름, 사서함 SMTP(Simple Mail Transfer Protocol) 주소 및 OneDrive 또는 SharePoint 사이트 URL을 사용하여 특정 데이터 원본 또는 데이터 위치를 검색 할 수 있습니다. 특정 데이터 원본을 사용하여 검색을 만들 때 데이터 원본에 지정된 위치만 검색됩니다.
organization 전체 원본 모든 사용자 및 그룹을 사용하는 경우 검색은 모든 Exchange 사서함, OneDrive 및 SharePoint 사이트를 다룹니다. eDiscovery 사용자가 모든 교환 사서함만 검색하려는 경우 모든 사용자 및 그룹에서 사서함을 선택하고 사이트 선택을 취소합니다. 모든 SharePoint 및 OneDrive 사이트만 검색해야 하는 경우 모든 사용자 및 그룹에서 사이트를 선택하고 사서함의 선택을 취소합니다.
실시간 데이터 원본 동기화를 사용하면 사용자 및 그룹과 연결된 데이터 위치의 최신 변경 내용에 대해 항상 알 수 있습니다. 특정 데이터 원본이 검색에 추가되었는지, 보류에 새로 프로비전된 데이터 위치가 있는지 또는 데이터 위치가 제거되었는지 쿼리할 수 있습니다.
예를 들어 Teams 그룹에 대한 비공개 채널을 만든 경우 데이터 원본 패널의 동기화 기능은 새 위치를 경고하여 검색 또는 보류에 빠르고 쉽게 포함할 수 있도록 합니다. 이렇게 하면 새 데이터가 눈에 띄지 않고 조사에 포함됩니다. 또한 이 동기화는 위치 변경으로 인한 잠재적인 데이터 손실을 방지하는 데 도움이 됩니다.
관련 원본 살펴보기
빈번한 협력자
검색을 위한 데이터 원본으로 사용자를 선택할 때 선택한 사용자와 자주 공동 작업하는 다른 사용자를 빠르게 찾을 수 있습니다. 자주 협력자는 선택한 사용자와 가장 관련이 있는 상위 10명의 사용자이며 이러한 사용자의 사서함과 사이트를 검색을 위한 데이터 원본으로 선택할 수 있습니다.
내보내기 및 다운로드
eDiscovery 사례와 연결된 검색이 성공적으로 실행되면 검색 결과를 내보낼 수 있습니다. 검색 결과를 내보내면 사서함 항목이 PST 파일 또는 개별 메시지로 다운로드됩니다. SharePoint 및 OneDrive 사이트에서 콘텐츠를 내보내면 네이티브 Office 문서 및 기타 문서의 복사본이 내보내집니다.
검색 결과가 사례에서 검토 집합에 추가되는 경우 검토 집합 콘텐츠를 다운로드 패키지로 내보낼 수도 있습니다. 이 패키지는 구성할 수 있으며 선택한 문서만 내보내는 옵션, 필터링된 모든 문서 또는 검토 집합의 모든 문서를 포함합니다.
정책 보유 및 유지
eDiscovery 사례를 사용하여 eDiscovery 보류를 사용하여 조사와 관련이 있을 수 있는 콘텐츠를 보존하는 보류 정책을 만들 수 있습니다. 이 경우 조사 중인 사용자의 Exchange 사서함 및 OneDrive 계정을 보류할 수 있습니다. Microsoft Teams, Microsoft 365 그룹 및 Viva Engage 그룹과 연결된 사서함 및 사이트를 보류할 수도 있습니다. 콘텐츠 위치를 보류 상태로 두면 보류에서 콘텐츠 위치를 제거하거나 보류를 삭제할 때까지 콘텐츠가 유지됩니다.
필요한 경우 사서함을 소송 보존 에 배치하여 삭제된 항목 및 수정된 항목의 원래 버전을 비롯한 모든 사서함 콘텐츠를 보존할 수도 있습니다. 소송 보존에 사서함을 배치하면 사용자의 보관 사서함(활성화된 경우)도 보류됩니다.
권한
사용자가 Microsoft Purview 포털에서 eDiscovery 관련 기능을 사용하려면 적절한 권한을 할당해야 합니다. 역할을 할당하는 가장 쉬운 방법은 Microsoft Purview 포털의 역할 그룹 페이지에서 적절한 역할 그룹을 추가하는 것입니다.
팁
Microsoft Purview 포털의 eDiscovery 개요 페이지에서 사용자 고유의 권한을 볼 수 있습니다. 사용 권한을 표시하려면 하나 이상의 역할이 할당되어 있어야 합니다.
프로세스
eDiscovery에는 정의된 기간 동안 eDiscovery의 사례 동시성 및 일일 제한에 해당하는 모든 활동을 나열하는 프로세스 보고서가 포함되어 있습니다. eDsicovery(미리 보기)의 프로세스는 사례, 검색 및 검토 집합을 지원하는 특정 작업과 관련된 활동입니다. 프로세스는 이러한 구성 요소를 사용할 때 사용자 작업에 의해 트리거됩니다.
eDiscovery 관리자 및eDiscovery 관리자 (미리 보기)는 이 보고서에 액세스할 수 있습니다. 프로세스 관리자는 사례, 검색, 검토 집합 및 보류로 자동으로 범위가 지정된 정보를 볼 수 있도록 도와줍니다.
검토 집합
검토 집합은 Microsoft 클라우드의 안전한 Microsoft 제공 Azure Storage 위치입니다. 검토 집합에 데이터를 추가하면 수집된 항목이 원래 콘텐츠 위치에서 검토 집합으로 복사됩니다. 검토 집합은 예측 코딩 모델을 사용하여 검색, 필터링, 태그 지정, 분석 및 관련성을 예측할 수 있는 알려진 정적 콘텐츠 집합을 제공합니다. 검토 집합에 추가되는 콘텐츠를 추적하고 보고할 수도 있습니다.
검색
검색을 사용하여 사례와 관련된 콘텐츠를 빠르게 찾을 수 있습니다. 검색에는 Exchange 사서함의 전자 메일, SharePoint 사이트 및 OneDrive 위치의 문서 및 비즈니스용 Skype 메신저 대화가 포함될 수 있습니다. 검색 도구를 사용하여 Microsoft Teams 및 Microsoft 365 그룹 같은 공동 작업 도구에서 전자 메일, 문서 및 인스턴트 메시징 대화를 검색할 수 있습니다.
사례와 연결된 다양한 검색을 만들고 실행할 수 있습니다. 조건(예: 키워드)을 사용하여 사례와 가장 관련이 있는 데이터로 검색 결과를 반환하는 검색 쿼리를 작성합니다.
다음을 수행할 수도 있습니다.
- 검색 쿼리를 구체화하여 결과의 범위를 좁히는 데 도움이 될 수 있는 검색 통계 및 샘플 항목을 봅니다.
- 관련 데이터가 검색되고 있는지 빠르게 확인하려면 검색 결과를 미리 봅니다.
- 쿼리를 수정하고 검색을 다시 실행하세요.
- 검색 결과를 내보내거나 검색 결과를 검토 집합에 추가합니다.
샘플 검색
검색의 샘플은 정의된 검색 조건에 의해 반환된 항목의 대표적인 샘플을 제공합니다. 개별 항목에 대한 세부 정보를 보면 검색을 구체화해야 하는지 또는 대표 항목이 검토 집합 또는 내보내기 파일에 검색 결과 추가를 지원하는지 확인하는 데 도움이 될 수 있습니다.
검색 통계
검색의 통계는 데이터 볼륨, 결과를 포함하는 콘텐츠 위치, 검색 쿼리 조건의 적중 횟수 등에 대한 인사이트를 제공합니다. 이러한 인사이트는 eDiscovery 워크플로의 검토 및 분석 단계를 진행하기 전에 검색의 scope 좁히거나 확장하도록 검색을 수정해야 하는지 여부를 알리는 데 도움이 될 수 있습니다.
트리거 이벤트
트리거 이벤트는 organization 에스컬레이션된 활동이며 eDiscovery에서 새 사례 만들기를 시작합니다. 이러한 이벤트는 내부 또는 외부 파트너의 요청, 다른 Microsoft Purview 솔루션의 경고와 연결된 통합 이벤트(예: 참가자 위험 관리 사례) 또는 eDiscovery에 포함된 검색, 조사 및 완화 작업의 이점을 얻을 수 있는 기타 활동일 수 있습니다.