Purview eDiscovery (Microsoft)
Microsoft Purview eDiscovery
Microsoft Purview ist eine Lösung im Bereich eDiscovery, also das Identifizieren und Verfügbar machen elektronischer Informationen, die als Indizien in einem Rechtsstreit relevant sein könnten eDiscovery. Das Tool ermöglicht die gezielte Suche nach Inhalten in:
- Exchange Online,
- OneDrive for Business,
- SharePoint Online,
- Microsoft Teams,
- Microsoft 365-Gruppen
- Viva Engage Teams
Zudem ermöglicht das Tool das gezielte Verwahren der Daten innerhalb der genannten Datenquellen in Form von Legal Holds. Es wird bei Microsoft Purview eDiscovery zwischen zwei Tools unterschieden, eDiscovery (Standard) und eDiscovery (Premium). Für die Nutzung des premium Tools, wird eine E5 Lizenz benötigt.
Microsoft Purview eDiscovery (Standard)
Es handelt sich hier um ein einfaches eDiscovery-Tool, zum Exportieren von Inhalten aus Microsoft 365 und Office 365. Dabei wird von Microsoft ein dreiteiliger Prozess vorgeschlagen, wobei der erste Schritt auch übersprungen werden kann:
Erstellen eines eDiscovery-Halteraum (Legal Holds)
Exchange-Postfächer, SharePoint-Websites, OneDrive-Konten und die Postfächer und Websites, die Microsoft Teams und Microsoft 365-Gruppen zugeordnet sind, können für Personen, die für eine Untersuchung von Interesse sind, durch eine in die Systeme eingebaute Legal Hold Funktionen vor Löschungen gesichert werden. Eine genauere Einschränkung mittels verschiedener Kriterien ist möglich.
Suchen nach Inhalten
Spezifizierte Datenquellen können mittels Suchkriterien für Schlüsselwörter, Eigenschaften und anderen Bedingungen durchsucht werden. Zudem können Suchstatistiken sowie eine Vorschau der gefunden Daten angezeigt werden. Die Suchanfrage mit den festgelegten Kriterien kann überarbeitet und verfeinert werden.
Datenexport
Nachdem relevante Daten gesucht und gefunden wurden, können diese exportiert werden. Das Exportpaket enthält zudem einen Exportbericht, einen Zusammenfassungsbericht und einen Fehlerbericht.
Microsoft Purview eDiscovery (Premium)
Dieses Tool baut auf den vorhandenen Microsoft eDiscovery (Standard) Funktionen auf und erweitert es durch Review- und Analysefunktionen. Dadurch bietet es einen End-to-End-Workflow zum Aufbewahren, Sammeln, Analysieren, Überprüfen und Exportieren von Inhalten. Der Workflow ist dementsprechend umfassender:
Datenquellen hinzufügen
Dabei wird unterschieden zwischen Datenquellen mit und ohne Verwahrer (Custodial bzw. Non-Custodial). Ein Verwahrer ist eine Person, die Kontrolle über ein Dokument bzw. Datei innehat. Beim Hinzufügen einer Datenquelle, kann eine Aufbewahrungssperre (Legal Hold) auf diese angewandt werden, um den Verlust von Daten zu verhindern. Eine Einschränkung mit weiteren Kriterien ist an dieser Stelle nicht möglich. Sobald eine Datenquelle hinzugefügt wurde, unabhängig ob mit oder ohne Legal Hold, wird diese Indiziert, um die folgende Suche zu optimieren.
Sammeln relevanter Inhalte aus Datenquellen
Mithilfe eines integrierten Sammlungstools können die zuvor hinzugefügten Datenquellen gesammelt werden. An dieser Stelle kann die Suche das erste Mal spezifiziert werden mithilfe von Kriterien, die auf Schlüsselwörtern, Eigenschaften und andere Bedingungen abzielen. An dieser Stelle ist es möglich sich Sammlungsstatistiken und eine Vorschau der Daten anzeigen zu lassen sowie bei Bedarf eine Anpassung der Sammlungsanfrage durchzuführen.
Committen der Sammlung in einen Überprüfungssatz
Als nächsten Schritt werden die gesammelten Daten in einen Überprüfungssatz committed. Dies ist ein sicherer Speicherort innerhalb von Azure Storage und stellt sicher, dass die Daten nicht mehr geändert werden können. Auch die Sammlung selbst, die committed wurde, kann nun nicht mehr geändert werden.
Beim Hinzufügen in einen Überprüfungssatz wird bereits ein initiales Prozessieren der Daten vorgenommen, wie eine erneute Indizierung, eine hashwertbasierte Deduplizierung, das Auflösen von Microsoft basierten Verschlüsselungen und mehr.
Es ist zudem möglich Daten, die nicht aus Office 365 stammen, einem Überprüfungssatz hinzuzufügen.
Überprüfen und analysieren Sie Daten in einem Prüfdateisatz
Innerhalb des Überprüfungssatz können die Daten angezeigt und mithilfe verschiedener Tools weiter analysiert werden, um die Datenmenge auf das für den Fall relevante zu reduzieren. Zu den Tools gehören Funktionen zum:
- Gruppierung und Anzeigen von Dokumenten,
- Abfragen und Filter erstellen,
- Tags erstellen und verwenden,
- Dokumente mit Anmerkungen versehen und bearbeiten,
- Falldaten analysieren
Falldaten exportieren und herunterladen
Zuletzt können ausgewählte Daten aus dem Überprüfungssatz exportiert werden. Zusätzlich zu den exportierten Datendateien enthält der Inhalt des Exportpakets auch einen Exportbericht (i.e. Metadatenbericht), einen Zusammenfassungsbericht und einen Fehlerbericht.
Quellen
- https://learn.microsoft.com/de-de/purview/ediscovery
- https://learn.microsoft.com/de-de/purview/ediscovery-create-and-manage-cases
- https://learn.microsoft.com/de-de/purview/ediscovery-overview
- https://learn.microsoft.com/de-de/purview/ediscovery-standard-get-started
- https://learn.microsoft.com/de-de/purview/ediscovery-cloud-attachments
