電子檔探索解決方案系列:數據外泄案例 - 搜尋和清除
重要事項
本文僅適用於 傳統電子檔探索體驗。 傳統電子檔探索體驗將於 2025 年 8 月淘汰 ,且在淘汰之後,將無法作為 Microsoft Purview 入口網站中的體驗選項。
建議您儘早開始規劃此轉換,並在 Microsoft Purview 入口網站中開始使用新的電子檔探索體驗。 若要深入瞭解如何使用最新的電子檔探索功能,請參閱 瞭解電子檔探索。
什麼是數據溢出,為什麼您應該在意? 資料洩漏是指機密文件被發佈至不受信任的環境中。 偵測到數據外泄事件時,請務必快速評估溢出的大小和位置、檢查其周圍的用戶活動,然後從系統永久清除溢出的數據。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
數據外洩案例
您是 Contoso 的資訊安全長。 您會收到數據外泄情況的訊息,其中員工在不知不覺中透過電子郵件與多人共用高度機密的檔。 您想要快速評估在內部和外部收到這份文件的人員。 識別之後,您想要與其他調查人員共用案例結果以進行檢閱,然後從 Office 365 永久移除數據。 調查完成後,您需要產生報告,其中包含永久移除的證據和其他案例詳細資料,以供將來參考。
本文的範圍
本檔提供如何從 Microsoft 365 永久移除訊息,使其無法存取或復原的指示清單。 若要刪除郵件並使其可復原,直到刪除的專案保留期限到期為止,請參閱 搜尋和刪除您組織中的電子郵件訊息。
管理數據外洩事件的工作流程
以下說明如何管理數據外洩事件:
步驟 1:管理誰可以存取案例,並 (選擇性) 設定合規性界限
步驟 2:建立電子檔探索案例
步驟 3:搜尋溢出的數據
步驟 4:檢閱和驗證案例結果
步驟 5:使用訊息追蹤記錄來檢查溢出的數據共用方式
步驟 6:準備信箱
步驟 7:永久刪除溢出的數據
步驟 8:確認、提供刪除證明和稽核
開始之前要知道的事項
- 本文所述的數據溢出工作流程不會刪除Microsoft Teams 中的聊天訊息。 若要搜尋和刪除 Teams 聊天訊息,請參閱 在 Teams 中搜尋和清除聊天訊息。
- 當信箱處於保留狀態時,已刪除的郵件會保留在 [可復原的專案] 資料夾中,直到保留期間到期或保留釋放為止。 步驟 6 說明如何從信箱中移除保留。 拿掉保留之前,請先檢查您的記錄管理或法務部門。 您的組織可能會有一個原則,定義信箱暫留或數據洩漏事件是否優先。
- 若要控制數據外泄調查人員可以搜尋和管理誰可以存取案例的使用者信箱,您可以設定合規性界限,並建立自定義角色群組,如 步驟 1 所述。 若要這樣做,您必須是組織管理角色群組的成員,或獲指派角色管理角色。 如果您或組織中的系統管理員已設定合規性界限,您可以略過步驟 1。
- 若要建立案例,您必須是電子檔探索管理員角色群組的成員,或是指派案例管理角色之自定義角色群組的成員。 如果您不是成員,請要求Microsoft 365 系統管理員將 您新增至電子檔探索管理員角色群組。
- 若要建立和執行內容搜尋,您必須是「eDiscovery 管理員」角色群組的成員,或者獲指派「符合性搜尋」管理角色。 若要刪除郵件,您必須是「組織管理」角色群組的成員,或者獲指派「搜尋及清除」管理角色。 如需新增使用者至角色群組的詳細資訊,請參閱 指派電子文件探索權限。
- 若要搜尋步驟 8 中的稽核記錄電子檔探索活動,必須為您的組織開啟稽核。 您可以搜尋過去 90 天內執行的活動。 To learn more about how to enable and use auditing, see the Auditing the data spillage investigation process section in Step 8.
(選擇性) 步驟 1:管理誰可以存取案例並設定合規性界限
根據組織的做法,您必須控制誰可以存取電子檔探索案例,以調查數據洩漏事件並設定合規性界限。 若要這樣做,最簡單的方式是在 Microsoft Purview 入口網站中將調查人員新增為現有角色群組的成員,然後將角色群組新增為電子檔探索案例的成員。 如需有關內建電子文件探索角色群組以及如何將成員新增至電子文件探索案例的資訊,請參閱指派電子文件探索權限。
您還可以建立符合組織需求的新角色群組。 例如,您可能想要組織中的一組數據洩漏調查人員存取所有數據洩漏案例並共同作業。 若要這麼做,您可以建立「數據外泄調查人員」角色群組、指派適當的角色 (匯出、RMS 解密、檢閱、預覽、合規性搜尋和案例管理) 、將數據洩漏調查人員新增至角色群組,然後將角色群組新增為數據洩漏電子檔探索案例的成員。 如需如何執行這項作的詳細指示,請參閱在 Office 365 中設定電子檔探索調查的合規性界限。
步驟 2:建立電子檔探索案例
電子文件探索案例提供了管理資料洩漏調查的有效方法。 您可以將成員新增至您在步驟 1 中建立的角色群組、將角色群組新增為新的電子檔探索案例的成員、執行反覆搜尋以尋找溢出的數據、匯出要共用的報表、追蹤案例的狀態,然後視需要回頭參考案例的詳細數據。 請考慮為用於數據外泄事件的電子檔探索案例建立命名慣例,並盡可能在案例名稱和描述中提供更多資訊,以便您可以在必要時找出並參考。
若要建立新案例,您可以在 Microsoft Purview 入口網站中使用電子檔探索。 請參閱開始使用電子檔探索 (Standard) 中的。
步驟 3:搜尋溢出的數據
現在您已建立案例和受控存取,您可以使用案例反覆搜尋來尋找溢出的數據,並識別包含溢出數據的信箱。 您將使用您用來尋找電子郵件訊息的相同搜尋查詢,在 步驟 7 中刪除這些相同的訊息。
若要建立與電子檔探索案例相關聯的內容搜尋,請參閱搜尋電子檔探索 (Standard) 案例中的內容。
重要事項
在搜尋査詢中使用的關鍵字可能包含您正在搜尋的實際洩漏資料。 例如,如果您搜尋包含社會安全號碼的檔,並使用它作為搜尋關鍵詞,則之後必須刪除查詢,以避免進一步溢出。 請參閱步驟 8 中的 刪除搜尋查詢 。
步驟 4:檢閱和驗證案例結果
建立內容搜尋之後,您必須檢閱並驗證搜尋結果,並確認它們只包含必須刪除的電子郵件訊息。 在內容搜尋中,您可以預覽 1000 封電子郵件的隨機取樣,而無需匯出搜尋結果,以避免進一步的資料洩漏。 您可以在 內容搜尋的限制中深入瞭解預覽限制。
如果您有超過 1,000 個信箱或每個信箱超過 100 封電子郵件訊息要檢閱,您可以使用其他關鍵詞或條件,例如日期範圍或寄件者/收件者,將初始搜尋分成多個搜尋,並個別檢閱每個搜尋的結果。 在 步驟 7 中刪除訊息時,請務必記下要使用的所有搜尋查詢。
當您發現包含洩漏資料的電子郵件時,請檢查郵件的收件者,以確定它是否在外部共用。 若要進一步追蹤訊息,您可以收集寄件者資訊和日期範圍,以便使用訊息追蹤記錄。 步驟 5 說明此程式。
驗證搜尋後,您可能希望與其他人共用結果,以便進行二次檢閲。 您在步驟 1 中指派給案例的人員可以檢閲電子文件探索和 Microsoft Purview 電子文件探索 (Premium) 中的案例內容,並核准案例結果。 您還可以在不匯出實際內容的情况下產生報告。 您也可以使用此相同的報表作為刪除證明,如 步驟 8 所述。
若要產生統計報表:
移至電子檔探索案例中的 [ 搜尋 ] 頁面,然後選取您要為其產生報表的搜尋。
在飛出視窗頁面上,選取 [ 更多導出 > 報告]。
[匯出報表] 頁面隨即顯示。
![選取搜尋,然後在飛出視窗頁面上選取 [更多 > 匯出報告]。](media/o365-ediscoverysolutions-dataspillage-exportreport1.png)
選取 [所有專案],包括格式無法辨識的專案、已加密或因其他原因未編製索引 ,然後選取 [ 產生報表]。
在電子檔探索案例中,選取 [ 匯 出] 以顯示匯出作業清單。 您可能必須選取 [重新整理 ] 來更新清單,以顯示您所建立的匯出作業。
選取匯出作業,然後選取飛出視窗頁面上的 [下載 報告]。
![在 [匯出] 頁面上,選取導出,然後選取 [下載報告]。](media/o365-ediscoverysolutions-dataspillage-exportreport2.png)
[ 匯出摘要 ] 報表包含使用結果找到的位置數目和搜尋結果的大小。 您可以使用此值來與刪除後產生的報表進行比較,並提供 作為刪除證明。 [結果] 報表包含搜尋結果的更詳細摘要,包括主旨、發件者、收件者,如果電子郵件是讀取、日期和每個郵件的大小。 如果此報告中的任何詳細數據包含實際溢出的數據,請務必在調查完成時永久刪除 Results.csv 檔案。
如需匯出報表的詳細資訊,請參閱 匯出內容搜尋報表。
步驟 5:使用訊息追蹤記錄來檢查溢出的數據共用方式
若要進一步調查是否共用含有溢出數據的電子郵件,您可以選擇性地使用您在步驟 4 中收集的寄件者資訊和日期範圍資訊來查詢郵件追蹤記錄。 即時資料和歷史資料的郵件追蹤保留期間分別為 30 天和 90 天。
您可以在 Microsoft Purview 入口網站中使用訊息追蹤,或使用 Exchange Online PowerShell 中的對應 Cmdlet。 需要注意的是,郵件追蹤不能完全保證傳回資料的完整性。 如需使用訊息追蹤的詳細資訊,請參閱:
步驟 6:準備信箱
檢閱並驗證搜尋結果只包含必須刪除的郵件之後,您必須收集受影響信箱的電子郵件地址清單,以在刪除溢出的數據時於步驟 7 中使用。 您可能也必須先準備信箱,才能永久刪除電子郵件訊息,視是否已在包含溢出數據的信箱上啟用單一項目復原,或這些信箱中是否有任何信箱處於保留狀態而定。
取得含有溢出數據的信箱地址清單
注意事項
在有限的時間內,傳統電子檔探索體驗可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索體驗設定中啟用 Purview 入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。
有兩種方式可以收集含有溢出數據的信箱電子郵件地址清單。
選項 1:取得含有溢出數據的信箱地址清單
開啟電子檔探索案例,移至 [搜尋 ] 頁面,然後選取適當的內容搜尋。
在飛出視窗頁面上,選 取 [檢視結果]。
在 [ 個別結果 ] 下拉式清單中,選取 [搜尋統計數據]。
在 [ 類型 ] 下拉式清單中,選取 [ 最上層位置]。
![在 [搜尋統計數據] 的 [最上層位置] 頁面上,取得包含搜尋結果的信箱清單。](media/o365-ediscoverysolutions-dataspillage-toplocations.png)
隨即顯示包含搜尋結果的信箱清單。 也會顯示每個信箱中符合搜尋查詢的項目數。
複製清單中的資訊,並將其儲存至檔案,或選取 [ 下載 ] 將資訊下載至 CSV 檔案。
選項 2:從導出報表取得信箱位置
開啟您在 步驟 4 中下載的 [匯出摘要] 報表。 在報表的第一欄中,每個信箱的電子郵件位址會列在 [ 位置] 底下。
準備信箱,以便刪除溢出的數據
如果啟用單一項目復原,或信箱處於保留狀態,則會將永久刪除 (清除) 郵件會保留在 [可復原的專案] 資料夾中。 因此,您必須先檢查現有的信箱設定,並停用單一項目復原,並移除任何保留或保留原則,才能清除溢出的數據。 請記住,您可以一次準備一個信箱,然後在不同的信箱上執行相同的命令,或建立 PowerShell 腳本來同時準備多個信箱。
- See "Step 1: Collect information about the mailbox" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold for instructions about how to check if single item recovery is enabled or if the mailbox is placed on hold or it's assigned to a retention policy.
- See "Step 2: Prepare the mailbox" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold for instructions about disabling single item recovery.
- See "Step 3: Remove all holds from the mailbox" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold for instructions about how to remove a hold or retention policy from a mailbox.
- See "Step 4: Remove the delay hold from the mailbox" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold for instructions about removing the delay hold that is placed on the mailbox after any type of hold is removed.
重要事項
拿掉保留或保留原則之前,請先洽閱記錄管理或法務部門。 您的組織可能會有一個原則,定義信箱暫留或數據外泄事件是否優先。
確認溢出的數據已永久刪除之後,請務必將信箱還原為先前的設定。 請參閱 步驟 7 中的詳細數據。
步驟 7:永久刪除溢出的數據
使用您在步驟 6 中收集和準備的信箱位置,以及在步驟 3 中建立和精簡的搜尋查詢,尋找包含溢出數據的電子郵件訊息,您現在可以永久刪除溢出的數據。 如先前所述,若要刪除訊息,您必須是組織管理角色群組的成員,或被指派搜尋和清除管理角色。 如需新增使用者至角色群組的詳細資訊,請參閱 指派電子文件探索權限。
若要刪除溢出的郵件,請 參閱搜尋和刪除電子郵件訊息。
刪除溢出的數據時,請記住下列限制:
在搜尋中,您可以透過執行搜尋和清除動作來刪除專案的信箱數目上限為 50,000。 如果您在步驟 3 中建立的搜尋搜尋超過 50,000 個信箱,清除動作將會失敗。 在單一搜尋中搜尋超過 50,000 個信箱,通常會在您將搜尋設為包含貴組織的所有信箱時發生。 即使包含符合搜尋查詢項目的信箱少於 50,000 個,此限制仍會適用。
每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除郵件的功能應該是事件回應工具,此限制可以協助確保從信箱快速移除郵件。 這項功能不是用來清除使用者信箱。
重要事項
您無法使用本文所述的程序刪除電子文件探索 (進階版) 案例的檢閱集中的電子郵件項目。 這是因為檢閱集中的專案是即時服務中複製並儲存在 Azure 記憶體位置的項目複本。 這表示您在步驟 3 中建立的內容搜尋不會傳回它們。 若要刪除檢閱集中的項目,您必須刪除包含檢閱集的電子文件探索 (進階版) 案例。 如需詳細資訊,請參閱關閉或刪除電子文件探索 (進階版) 案例。
步驟 8:確認、提供刪除證明和稽核
管理數據外洩事件的工作流程中的最後一個步驟,是移至電子檔探索案例,並重新執行用來刪除該數據的相同搜尋查詢,以確認未傳回任何結果,以確認已從信箱中永久移除溢出的數據。 確認洩漏的資料已被永久移除後,可以匯出報告並將其 (與原始報告一起) 作為删除證明。 然後,您可以 關閉案例 ,以便您在未來必須參考它時重新開啟它。 此外,您也可以將信箱還原為先前的狀態、刪除用來尋找溢出數據的搜尋查詢,以及搜尋管理數據外泄事件時所執行工作的稽核記錄。
將信箱還原為先前的狀態
如果您在步驟 6 中變更了任何信箱設定,以便在刪除溢出的數據之前準備信箱,您必須將信箱還原成先前的狀態。 See "Step 6: Revert the mailbox to its previous state" in Delete items in the Recoverable Items folder of cloud-based mailboxes on hold.
刪除搜尋查詢
如果您在步驟 3 中建立和使用的搜尋查詢中的關鍵詞包含一些實際溢出的數據,您應該刪除搜尋查詢,以防止數據進一步溢出。
注意事項
在有限的時間內,傳統電子檔探索體驗可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索體驗設定中啟用 Purview 入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。
在 Microsoft Purview 入口網站中,開啟電子檔探索案例,移至 [搜尋 ] 頁面,然後選取適當的內容搜尋。
在飛出視窗頁面上,選取 [ 刪除]。
![選取搜尋,然後選取飛出視窗頁面上的 [刪除]。](media/o365-ediscoverysolutions-dataspillage-deletesearch.png)
稽核數據外泄調查程式
您可以在稽核記錄中搜尋在調查期間執行的電子檔探索活動。 您也可以搜尋稽核記錄,以傳回您在步驟 7 中執行之 New-ComplianceSearchAction -Purge 命令的稽核記錄,以刪除溢出的數據。 如需詳細資訊,請參閱: