Компоненты обнаружения электронных данных на месте и хранения на месте в новом Exchange. Часть 1

  • Article

Исходная статья опубликована в четверг, 27 сентября 2012 г.

Когда организации сталкиваются с запросами об обнаружении электронных данных, им требуется возможность сохранения записей электронной почты, поиска релевантных записей и их обработки для рассмотрения.

В Exchange Server 2010 и Office 365 сохранять элементы почтового ящика позволяет функция хранения для судебного разбирательства . Когда пользователь или процесс пытается окончательно удалить элемент, этот элемент удаляется из представления пользователя и помещается в недоступную часть почтового ящика. Кроме того, когда пользователь или процесс изменяет элемент, выполняется копирование при записи, а копия исходного элемента сохраняется непосредственно перед подтверждением измененной версии, в результате чего исходное содержимое сохраняется. Данный процесс повторяется для каждого изменения, то есть сохраняется копия всех последующих версий.

С помощью компонента поиска в нескольких почтовых ящиках, который также впервые появился в Exchange 2010, полномочные сотрудники юридического отдела, отдела кадров или ИТ-отдела (которые также называются менеджерами по обнаружению, так как им требуется назначить разрешения управления обнаружением) могут выполнять поиск содержимого почтового ящика в рамках всей организации Exchange 2010. Возвращенные в результате поиска сообщения можно скопировать в почтовый ящик найденных сообщений — почтовый ящик специального типа с увеличенными квотами и отсутствием возможности приема или отправки сообщений.

Новые возможности обнаружения электронных данных на месте и хранения на месте в Exchange 2013

С момента выхода Exchange 2010 и Office 365 мы получили множество отзывов от организаций самых разных размеров о политике и компонентах обмена сообщениями, включая архивацию, обнаружение электронных данных и хранение. При планировании дальнейшего развития возможностей обеспечения соответствия мы руководствовались именно вашими отзывами. Давайте посмотрим, что же именно изменилось.

  • Новое имяВ новом Exchange поиск в нескольких почтовых ящиках называется обнаружением электронных данных на месте.

  • Новая поисковая системаОбнаружение электронных данных на месте все еще использует индексы поиска, создаваемые службой поиска Exchange, однако для этой службы поиска Exchange была осуществлена неочевидная перестройка на использование Microsoft Search Foundation. Раньше функция индексирования содержимого выполнялась Windows Search. Microsoft Search Foundation — это полнофункциональная платформа поиска, в которой значительно повышена производительность индексирования и обработки запросов, а также улучшена функциональная возможность поиска.

  • Новый способ храненияВ новом Exchange вы можете использовать хранение на месте, чтобы поместить искомое содержимое в режим хранения. Компонент хранения на месте интегрирован с компонентом обнаружения электронных данных на месте, что позволяет одновременно осуществлять поиск и хранение содержимого с использованием одного простого интерфейса. Интеграция хранения с обнаружением электронных данных позволяет очень точно определять удерживаемый с помощью запроса объект. Сокращение объема сохраняемых данных снижает затраты на дальнейшее рассмотрение этих данных.

  • Новый пользовательский интерфейс Новый Exchange может похвастаться новым объединенным веб-средством администрирования — Центром администрирования Exchange(EAC). Менеджеры по обнаружению используют новый мастер обнаружения электронных данных на месте и хранения на месте для выполнения поиска с обнаружением электронных данных.

  • Статистика ключевых словПосле создания поиска с обнаружением электронных данных на месте вы можете получить подробную статистику ключевых слов, показывающую число соответствующих элементов для каждого из ключевых слов. Вы можете использовать эту информацию, чтобы определить, возвратил ли запрос ожидаемое число сообщений. В зависимости от того, определен ли запрос слишком широко или слишком узко, поиск может возвращать слишком много или лишком мало сообщений. Используйте эти сведения для точной настройки запроса.

  • Предварительный просмотр результатов поиска с обнаружением электронных данныхПосле создания поиска с обнаружением электронных данных вы можете быстро выполнить предварительный просмотр его результатов. Сообщения, возвращенные из каждого исходного почтового ящика, отображаются в предварительном просмотре результатов поиска. Возможность быстрого просмотра сообщений позволяет вам убедиться в возвращении требуемого содержимого и выполнить дальнейшую настройку запроса.

  • Интеграция с новым SharePoint Exchange предлагает интерфейс обнаружения электронных данных на месте и хранения на месте, интегрированный с новым SharePoint. С помощью центра обнаружения электронных данных вы можете выполнить поиск и хранение на месте всего соответствующего содержимого — веб-сайтов SharePoint, документов, индексируемых SharePoint общих папок, содержимого почтовых ящиков в Exchange и архивированного содержимого Lync — из одного расположения. Вы можете экспортировать соответствующее содержимое, включая файлы, списки, веб-страницы и содержимое почтовых ящиков Exchange. Содержимое почтовых ящиков экспортируется в виде PST-файла. Манифест XML, который соответствует спецификации Electronic Discovery Reference Model (EDRM), содержит обзор экспортированной информации.

    Для поиска содержимого Exchange SharePoint использует API федеративного поиска Exchange. Независимо от того, выполняете ли вы поиск содержимого Exchange из EAC или с использованием SharePoint, возвращаются одинаковые результаты. Как новый SharePoint, так и новый Exchange используют одну и ту же базовую подсистему индексирования и обработки запросов — Microsoft Search Foundation, которая позволяет применять один запрос поиска для содержимого SharePoint и Exchange.

Выполнение поиска с обнаружением электронных данных на месте

Давайте рассмотрим, как один менеджер по обнаружению выполняет поиск с обнаружением электронных данных на месте.

Ольга работает в юридическом отделе компании Contoso. Contoso получает запрос от компании Tailspin Toys о помощи в проведении маркетинговой кампании для новой игрушки. Компания Contoso известна своими первоклассными маркетинговыми кампаниями для игрушек, так как долгое время работает в данной отрасли. Бизнес процветает, однако Contoso следует соблюдать осторожность, так как многие из ее клиентов, являющиеся компаниями по производству игрушек, конкурируют друг с другом. Недавно Contoso закончила проведение крайне успешной маркетинговой кампании для производителя игрушек Wingtip Toys, и Ольга хочет быть уверенной, что конфиденциальная информация одного клиента не попадет случайным образом через ее отдел к другому клиенту. По этой причине Ольга хочет при помощи других сотрудников юридического отдела выполнить поиск по сообщениям электронной почты и документам своей компании, чтобы убедиться в отсутствии потенциальных проблем.

Для использования обнаружения электронных данных на месте пользователю должна быть делегирована группа ролей управления обнаружением. Вы можете делегировать эту роль уполномоченному сотруднику юридического отдела, специалисту по управлению персоналом или ответственному за обеспечение соответствия требованиям. Ольга работает в юридическом отделе. Такая возможность использовать роли с областью в новом Exchange 2013 позволяет ИТ-специалистам делегировать ответственности по обеспечению соответствия таким сотрудникам, как Ольга, не предоставляя им полный доступ ко всем функциональным возможностям сервера Exchange.

Сначала Ольга переходит в Центр администрирования Exchange. Компонентами обеспечения соответствия в новом Exchange можно управлять на вкладке Compliance Management (Управление соответствием) EAC. Поскольку Ольге не назначены другие роли администратора Exchange, она видит только интерфейс для группы ролей управления обнаружением. На вкладке управления соответствием она видит только In-Place eDiscovery & Hold (Обнаружение электронных данных на месте и хранение на месте).


Рис. 1. Вкладка "In-Place eDiscovery and Hold" (Обнаружение электронных данных на месте и хранение на месте) доступна пользователям с делегированными разрешениями управления обнаружением

Она нажимает кнопку Добавьте для запуска мастера создания обнаружения электронных данных на месте и хранения на месте и вводит имя и дополнительное описание для поиска.


Рис. 2. Создание поиска с обнаружением электронных данных на месте с помощью мастера создания обнаружения электронных данных на месте и хранения на месте в EAC

Ольга может выполнить поиск во всех почтовых ящиках организации Exchange или выбрать отдельные почтовые ящики для поиска.


Рис. 3. Указание почтовых ящиков (для поиска в отдельных или всех почтовых ящиках)

На странице Запрос поиска Ольга может выбрать параметр для возврата содержимого всех почтовых ящиков или конкретного содержимого. Ольга хочет найти конкретное содержимое, связанное с сотрудничеством сотрудников ее отдела и компанией WingTip Toys. Она может выполнить простой поиск, введя только ключевые слова, или расширенный поиск, если требуется использовать логические операторы, такие как И, ИЛИ, скобки и т. д., чтобы точнее задать объект поиска. Это может сэкономить ей много времени и сил, так как почтовые ящики размером в несколько гигабайт очень распространены, а Ольга хочет сократить набор содержимого до того минимума, который ей необходим для поиска требуемых материалов.


Рис. 4. Указание запроса поиска, включая ключевые слова, начальную и конечную даты, отправителя и получателей

Кроме логических операторов, она также использует оператор учета расположения (NEAR), который позволяет находить слова, расположенные близко друг к другу. Вы также можете заметить, что она использует подстановочный знак, поэтому в данном случае выполняется поиск слова "wingtip", расположенного на расстоянии трех слов от слова "toy", "toys", "toymaker" или похожего слова.

В данном случае Ольга хочет выполнить поиск этих ключевых слов в любом месте заданного сообщения электронной почты, но если она хочет уточнить условия, например, ограничиться поиском фразы в теме сообщения, то может ввести слово "Subject:" и нужную фразу. В зависимости от требуемой точности она может создавать более сложные запросы. В запросе можно использовать несколько сотен ключевых слов.

Она также может выбирать конкретные типы сообщений. Почтовый ящик Exchange содержит электронную почту, а также элементы календаря, задачи, заметки и другие элементы, связанные с управлением личными сведениями. Новый Exchange позволяет ей выполнять поиск всех этих элементов либо сузить поиск до конкретных типов элементов. Она выбирает электронную почту и собрания, чтобы иметь возможность отслеживать, какие из сотрудников встречались с представителями Wingtip, и читать приглашения на собрания для знакомства с обсуждаемой темой.


Рис. 5. Выбор всех или конкретных типов сообщений для поиска

После создания запроса для определения важного содержимого Ольга может решить, что делать с результатами. Если она считает, что важно защитить содержимое, она может поместить его в режим хранения. В этом случае Exchange автоматически выполняет захват всех попыток изменения или удаления данных и сохраняет эти элементы в скрытой папке почтового ящика. Она полностью невидима конечным пользователям и поэтому не оказывает влияние на их повседневную работу, но именно в ней хранятся важные данные для дальнейшего восстановления.


Рис. 6. Переключение результатов поиска в режим хранения на месте

Подробнее о хранении на месте мы поговорим во второй части данной статьи.

Ольга нажимает кнопку "Готово". Выполняется поиск по почтовым ящикам Exchange 2013, и элементы помещают на хранение.

После завершения поиска Ольга просматривает общий размер и число элементов, чтобы определить, поддаются ли они управлению. Если возвращен миллион элементов, ее запрос слишком широк, если элементы отсутствуют, возможно, запрос слишком узок. Если она хочет углубиться в детали, то может просмотреть статистику поиска для определения вклада каждого ключевого слова в итоговый набор результатов. Это позволит ей быстрее понять, как именно нужно настроить запросы, чтобы быстро получить набор результатов разумного размера.


Рис. 7. Использование оценки и статистики ключевых слов для настройки запросов поиска

После завершения настройки запроса она может остановить поиск и обсудить правильность такого запроса со своими коллегами или с юридическим консультантом. Она также может создать дополнительные поиски с обнаружением электронных данных и использовать другие параметры запроса.

Кроме того, она может осуществлять предварительный просмотр сообщений, возвращенных в результате поиска.


Рис. 8. Предварительный просмотр результатов поиска с обнаружением электронных данных для просмотра сообщений и определения эффективности запроса

В предварительном просмотре результатов поиска с обнаружением электронных данных отображается число сообщений и общий размер для каждого почтового ящика, в котором выполняется поиск. Функциональная возможность предварительного просмотра основана на Outlook Web App, который отображает сообщение в основном формате без каких-либо изменений.


Рис. 9. Предварительный просмотр результатов поиска с обнаружением электронных данных, отображающий динамический просмотр сообщений без их копирования в почтовый ящик найденных сообщений

Ольга может быстро прокрутить все результаты для просмотра дополнительных элементов, возвращенных при поиске. Поскольку она использует полнофункциональный предварительный просмотр Outlook Web App, то может просматривать и вложения.

Когда Ольга просмотрела результаты и удовлетворена ими, она может создать их копию для дальнейшего рассмотрения или экспортировать их для передачи внешнему юридическому консультанту. Для этого она просто выбирает ссылку Copy search results (Скопировать результаты поиска).


Рис. 10. Копирование сообщений, возвращенных в результате поиска, в почтовый ящик найденных сообщений

При копировании сообщений в почтовый ящик найденных сообщений Ольге доступны следующие варианты:

  • Включить элементы, не поддерживающие поискОна может выбрать, требуется ли включить элементы, не включаемые в поиск, то есть те элементы, обработка которых нашей системой индексирования может быть невозможна, например, поврежденный элемент, защищенное паролем ZIP-вложение или элемент, который зашифрован с использованием средства, отличного от управления правами на доступ к данным. Этот флажок позволяет включить такие элемент на случай, если Ольга хочет изучить их вручную, так как стремится проявить должную осмотрительность и ничего не пропустить.
  • Включить дедупликациюОна также может включить дедупликацию. Как вы знаете, очень часто сообщение электронной почты отправляется сразу нескольким людям. Дедупликация позволяет убрать лишние копии, чтобы сократить число рассматриваемых сообщений.
  • Включить ведение полного журналаОна также может сохранить полный журнал анализа результатов, который включает в себя полный список всех найденных элементов. Это особенно удобно при дедупликации, когда сохраняется только одна копия сообщения, отправленного нескольким людям. Позднее Ольге может потребоваться узнать, присутствовало ли данное сообщение в папке "Входящие" определенного человека с пометкой "Важно", однако другой человек переместил это сообщение в папку "Удаленные" и никогда его не читал. Вся эта информация находится в данном журнале.
  • Уведомление электронной почты Она также может настроить отправку себе уведомления о завершении процесса копирования. Если результаты поиска возвращают 20–30 ГБ данных, их копирование в почтовый ящик найденных сообщений может занять некоторое время.

В конце Ольга выбирает почтовый ящик найденных сообщений, в который хочет поместить результаты поиска.

После завершения копирования Ольга получает соответствующее уведомление и ссылку на почтовый ящик, где хранятся результаты. Теперь она может перейти к копии результатов поиска для их просмотра. В этом представлении она может выполнять анализ элементов, может с помощью тега помечать важные элементы или, если она решает, что некоторые элементы незначительны, может выбрать и переместить эти элементы в папку "Удаленные", чтобы убрать их из своего представления.

Если после завершения этой процедуры Ольге требуется предоставить консолидированные результаты внешнему консультанту, она может использовать клиент Outlook для экспорта списка консолидированных результатов в PST-файл.

Мы представили вам обзор функциональной возможности обнаружения электронных данных на месте и хранения на месте в новом Exchange. В части 2 этой статьи, которая будет опубликована в ближайшее время, мы подробнее рассмотрим хранение на месте.

Бхарат Сунеджа (Bharat Suneja) и Юлиан Збогар-Смит (Julian Zbogar-Smith)

Это локализованная запись блога. Оригинал статьи находится на странице In-Place eDiscovery and In-Place Hold in the New Exchange - Part I