Office365のセキュリティセンター内にある電子情報開示では、有事が発生した際にフォレンジック対応処理として、データの保全やそのデータの検索などを行うことができます。
しかしながら、この検索機能、かなり癖があるので利用時には要注意。
独特なワードブレイカーの動作に惑わされないようにしながら検索を行う必要があります。
例えば、以下のような添付ファイルの付いたメールを検索してみましょう。
電子情報開示を開きます。
ケースの作成などが最初にあるのですが、そんなに難しくないので割愛し、検索機能まで飛びましょう。
まずはコンテンツにヒットするようにすべてのケース コンテンツを対象としました。
そして、まずはテキストファイルの中身を全文字検索してみます。
結果は以下の通り。右ペインの0 アイテムとなっているように、ヒットしませんでした。
続いて、Bodyプロパティからいろはにほへとを検索。
明示的にBodyプロパティがあるとはどこにも書いていないのですが、メール本文またはメールの添付ファイルがヒットするようになるプロパティです。
これでも残念ながらヒットは0件。
もう内部テキストをヒットさせられる気がしないので、添付ファイル名で検索を行ってみました。
検索文字は新しいテキスト。 添付ファイル名は「新しいテキスト ドキュメント (2).txt」なので、部分一致すれば検索されます。が、残念なことにこれもヒットせず。
残念過ぎるので「新しいテキスト ドキュメント (2).txt」で検索してみるも、、、
ヒットしない涙
結果、この添付ファイルは引っ掛けることができませんでした。
どうも日本語文字のヒットはかなり難しいワードブレイカーが働いているようです。
もう少しパターンを増やして検討するのは必要だとは思いますが、ヒットしやすいもの、しにくいものを意識して、何をもって検索していくのかを検討するのが良いのかと思います。
余談ですが、時間で検索を行う場合の時間設定はUTCですので、注意してくださいね。
音楽:heaven's not enough