eDiscovery sul posto e Archiviazione sul posto nel nuovo Exchange - Parte 1

Articolo originale pubblicato giovedì 27 settembre 2012

Per soddisfare richieste di eDiscovery, le organizzazioni devono poter mantenere record di posta elettronica, eseguire ricerche nei record pertinenti e produrli per la revisione.

In Exchange Server 2010 e Office 365 Conservazione per controversia legale consente di mantenere gli elementi di posta elettronica. Quando un utente o un processo tenta di eliminare definitivamente un elemento, questo viene rimosso dalla visualizzazione dell'utente e spostato in una posizione inaccessibile nella cassetta postale. Quando inoltre un elemento viene modificato da un utente o da un processo, viene eseguita un'operazione di copia a operazione di scrittura (Copy-on-write, COW) e viene salvata una copia dell'elemento originale prima del commit della versione modificata, in modo da mantenere il contenuto originale. Il processo viene ripetuto per ogni modifica, mantenendo così una copia di tutte le versioni successive.

Utilizzando Ricerca in più cassette postali, un'altra novità di Exchange 2010, il personale delegato IT, dell'ufficio legale o delle risorse umane (indicato con il termine di responsabili dell'individuazione perché deve disporre di autorizzazioni Gestione individuazione) può eseguire ricerche nel contento delle cassette postali dell'intera organizzazione di Exchange 2010. I messaggi restituiti da una ricerca possono essere copiati in una cassetta postale di individuazione, ovvero un tipo speciale di cassetta postale con quote cassetta postale superiori e da cui non è possibile inviare o ricevere messaggi.

Novità di eDiscovery sul posto e Archiviazione sul posto in Exchange 2013

Dopo il rilascio di Exchange 2010 e Office 365, abbiamo ricevuto da organizzazioni di qualsiasi dimensione numerosi commenti e suggerimenti sui criteri di messaggistica e sulle funzionalità di conformità, tra cui l'archiviazione, eDiscovery e la conservazione. Nella pianificazione dell'evoluzione delle funzionalità di conformità, abbiamo tenuto conto di questi commenti e suggerimenti. Esaminiamo che cosa è cambiato.

• Un nuovo nome. Nel nuovo Exchange la funzionalità Ricerca in più cassette postali è indicata con il nome di eDiscovery sul posto.

• Un nuovo motore di ricerca. eDiscovery sul posto utilizza comunque gli indici di ricerca generati dalla ricerca di Exchange, ma in realtà la ricerca di Exchange è stata riorganizzata in modo da utilizzare Microsoft Search Foundation. Nelle versioni precedenti la funzione di indicizzazione del contenuto viene eseguita da Windows Search. Microsoft Search Foundation è una piattaforma di ricerca avanzata in cui sono state migliorate in modo significativo le prestazioni di indicizzazione e query e la funzionalità di ricerca.

• Un nuovo modo per mantenere i dati. Nella nuova versione di Exchange è possibile utilizzare Archiviazione sul posto per conservare il contenuto sottoposto a ricerca. Questa funzionalità è integrata con eDiscovery sul posto e consente di eseguire ricerche e conservare simultaneamente il contenuto utilizzando la stessa interfaccia intuitiva. L'integrazione della conservazione con eDiscovery consente di utilizzare una query per specificare cosa conservare. La riduzione del volume di dati mantenuti consente di ridurre il costo della revisione dei dati in un secondo momento.

• Una nuova interfaccia utente. Il nuovo Exchange presenta uno strumento di amministrazione unificata basato sul Web completamente nuovo, ovvero l'Interfaccia di amministrazione di Exchange. I responsabili dell'individuazione utilizzano la nuova procedura guidata di eDiscovery e archiviazione sul posto per eseguire ricerche eDiscovery.

• Statistiche di parole chiave. Dopo aver creato una ricerca eDiscovery sul posto, è possibile ottenere statistiche di parole chiave dettagliate in cui viene indicato il numero di elementi corrispondenti per ogni parola chiave. È possibile utilizzare queste informazioni per determinare se la query ha restituito il numero di messaggi stimati. A seconda che una query sia troppo o poco estesa, la ricerca può restituire un numero eccessivo o insufficiente di messaggi. Utilizzare queste informazioni per ottimizzare una query.

• Anteprima di ricerca eDiscovery. Dopo aver creato una ricerca eDiscovery, è possibile visualizzare rapidamente un'anteprima dei risultati della ricerca. I messaggi restituiti da ogni cassetta postale di origine vengono visualizzati nell'anteprima di ricerca. Una rapida visualizzazione in anteprima dei messaggi consente di verificare che la query abbia restituito il contenuto desiderato ed eventualmente ottimizzarla.

• Integrazione con il nuovo SharePoint. In Exchange è disponibile una funzionalità di eDiscovery e conservazione integrata con il nuovo SharePoint. Utilizzando Centro eDiscovery, è possibile eseguire ricerche sul posto in tutto il contenuto correlato a un caso e archiviarlo sul posto. Le ricerche possono essere eseguite in siti Web di SharePoint, documenti, condivisioni file indicizzate da SharePoint, contenuto di cassette postali in Exchange e contenuto di Lync archiviato proveniente da una singola posizione. È possibile esportare il contenuto associato al caso, inclusi file, elenchi, pagine Web e contenuto di cassette postali di Exchange. Il contenuto delle cassette postali viene esportato come file con estensione PST. Un manifesto XML conforme alla specifica EDRM (Electronic Discovery Reference Model) fornisce una panoramica delle informazioni esportate.

  Per eseguire ricerche nel contenuto di Exchange, in SharePoint viene utilizzata l'API di ricerca federata di Exchange. Indipendentemente dal fatto che la ricerca nel contenuto di Exchange venga eseguita dall'Interfaccia di amministrazione di Exchange oppure utilizzando SharePoint, vengono restituiti gli stessi risultati di ricerca. I nuovi SharePoint ed Exchange utilizzano entrambi lo stesso motore di indicizzazione e query sottostante, ovvero Microsoft Search Foundation, che consente di utilizzare la stessa query di ricerca per il contenuto sia di SharePoint che di Exchange.

Esecuzione di una ricerca eDiscovery sul posto

Esaminiamo in che modo un responsabile dell'individuazione esegue una ricerca eDiscovery sul posto.

Supponiamo che Robin lavori nell'ufficio legale dell'azienda di marketing Contoso, che riceve una richiesta dalla società Tailspin Toys per una campagna di marketing per un nuovo giocattolo in produzione. Contoso è rinominata per le campagne di marketing di giocattoli poiché si occupa principalmente di clienti che operano in questo settore. Si tratta di una grande occasione, ma è necessario anche procedere con cautela perché molti dei produttori di giocattoli clienti di Contoso sono anche concorrenti di Tailspin Toys. Poiché Contoso ha appena concluso una campagna di marketing di grande successo per un altro produttore di giocattoli, Wingtip Toys, Robin desidera verificare che non esista il rischio di divulgazione di informazioni riservate da un cliente all'altro tramite il proprio staff. A tale scopo, Robin desidera eseguire ricerche nella posta elettronica e nei documenti della propria società con il supporto dello staff legale per verificare che non vi siano potenziali problemi.

Per utilizzare eDiscovery sul posto, è necessario che un utente disponga della delega per il gruppo di ruoli Gestione individuazione. È possibile delegare il ruolo al personale dell'ufficio legale, di gestione della conformità o delle risorse umane autorizzato. Robin fa parte del personale dell'ufficio legale. La possibilità di disporre nel nuovo Exchange 2013 di ruoli con ambito consente ai professionisti IT di delegare le responsabilità relative alla gestione della conformità a persone come Robin senza concedere loro l'accesso completo a tutte le funzionalità server di Exchange.

Robin inizia passando innanzitutto all'Interfaccia di amministrazione di Exchange (Exchange Administration Center). La scheda Gestione conformità (Compliance Management) dell'Interfaccia di amministrazione di Exchange consente di gestire le funzionalità relative alla conformità nel nuovo Exchange. Poiché Robin non dispone di altri ruoli di amministratore di Exchange, può visualizzare solo l'interfaccia pertinente per il gruppo di ruoli Gestione individuazione. Nella scheda Gestione conformità (Compliance Management) può visualizzare solo eDiscovery e archiviazione sul posto (In-Place eDiscovery & Hold).

Figura 1: la scheda eDiscovery e archiviazione sul posto (In-Place eDiscovery & Hold) è accessibile per gli utenti con autorizzazioni delegate di Gestione individuazione

Facendo clic sul pulsante Aggiungi (Add) viene avviata la procedura guidata Nuova eDiscovery e archiviazione sul posto (New In-Place eDiscovery & Hold) in cui è possibile immettere un nome e una descrizione facoltativa della ricerca.

Figura 2: creazione di una ricerca eDiscovery sul posto mediante la procedura guidata Nuova eDiscovery e archiviazione sul posto (New In-Place eDiscovery & Hold) nell' Interfaccia di amministrazione di Exchange

Robin può eseguire una ricerca in tutte le cassette postali dell'organizzazione di Exchange o selezionare solo quelle desiderate.

Figura 3: specifica delle cassette postali in cui eseguire la ricerca (tutte o solo quelle desiderate)

Nella pagina Query di ricerca (Search query) Robin può selezionare l'opzione per restituire tutto il contenuto delle cassette postali o solo contenuto specifico. Robin desidera trovare contenuto specifico relativo al lavoro svolto tra i membri del suo staff e WingTip Toys. Ha la possibilità di eseguire una ricerca semplice immettendo solo poche parole chiave o eventualmente una ricerca più complessa con operatori booleani come AND, OR, parentesi e così via, in modo da poter essere più specifica. Questa soluzione le consente di risparmiare molto tempo. Poiché infatti sono presenti numerose cassette postali da più gigabyte, in questo modo è possibile ridurre la quantità di dati al minimo necessario per trovare le informazioni desiderate.

Figura 4: specifica di una query di ricerca con parole chiave, date di inizio e di fine, mittente e destinatari

Oltre a utilizzare la logica booleana, Robin utilizza anche l'operatore di prossimità (NEAR), che le consente di trovare parole vicine tra loro, nonché il carattere jolly. In questo caso Robin esegue una ricerca della parola wingtip vicina a toy con una prossimità di tre parole, nonché parole che iniziano con toy.

In questo caso specifico Robin desidera cercare queste parole chiave ovunque in un messaggio di posta elettronica, ma se desiderasse essere più specifica, ad esempio cercare una frase solo nell'oggetto di un messaggio, potrebbe digitare Oggetto: (Subject:) seguito dalla frase. A seconda di quanto desidera essere specifica, può creare query più o meno complesse. È possibile utilizzare diverse centinaia di parole chiave in una query.

Robin può anche scegliere tipi specifici di messaggi. In una cassetta postale di Exchange sono inclusi elementi di posta elettronica, ma anche elementi di calendario, attività, note e altri elementi correlati alla gestione delle informazioni personali. Il nuovo Exchange consente di eseguire ricerche in tutti questi elementi oppure di restringere l'ambito di una query a tipi di elementi specifici. Robin può selezionare la posta elettronica e anche le riunioni, in modo da individuare i dipendenti che hanno incontrato rappresentanti Wingtip, nonché leggere gli inviti alle riunioni per scoprire di cosa si è discusso.

Figura 5: selezione di tutti i tipi di messaggi oppure specifica dei tipi di messaggi in cui eseguire la ricerca

Dopo che Robin la creato una query per definire il contenuto desiderato, dispone di alcune opzioni per decidere come procedere con i risultati. Se ritiene che sia importante proteggere questo contenuto, ha la possibilità di conservarlo. Se il contenuto viene conservato, Exchange blocca automaticamente qualsiasi tentativo di modificare o eliminare i dati e archivia tali elementi in una cartella nascosta nella cassetta postale. Questa operazione è completamente invisibile agli utenti finali e pertanto non interrompe il flusso di lavoro giornaliero, ma consente di mantenere i dati importanti per un ripristino successivo.

Figura 6: conservazione dei risultati di ricerca mediante Archiviazione sul posto

Ci occuperemo in modo più dettagliato della funzionalità Archiviazione sul posto nella Parte 2 di questo post.

Robin fa clic su Fine (Finish). La ricerca verrà eseguita nelle cassette postali di Exchange 2013 e gli elementi verranno conservati.

Al termine della ricerca, Robin controlla le dimensioni totali e il numero di elementi per verificare che siano gestibili. In presenza di un milione di elementi, è probabile che la query sia troppo estesa. In assenza di elementi, è probabile invece che l'ambito della query sia troppo limitato. Se desidera approfondire i dettagli, può visualizzare le statistiche di ricerca per controllare esattamente in che modo ogni parola chiave ha contribuito al set di risultati globale. In questo modo dispone di tutte le informazioni necessarie per modificare le query e ottenere un set di risultati di dimensioni gestibili.

Figura 7: utilizzo della stima della ricerca e delle statistiche delle parole chiave per ottimizzare le query di ricerca

Dopo aver modificato la query, Robin può arrestare la ricerca e discutere con lo staff o con il consulente legale se la query è corretta. Può creare inoltre ulteriori ricerche eDiscovery e utilizzare parametri di query diversi.

Può scegliere infine di visualizzare un'anteprima dei messaggi restituiti dalla ricerca.

Figura 8: anteprima di ricerca eDiscovery per la visualizzazione dell'anteprima dei messaggi e la determinazione dell'efficacia della query

Nell'anteprima di ricerca eDiscovery vengono visualizzati il numero di messaggi e le dimensioni totali di ogni cassetta postale in cui è stata eseguita la ricerca. La funzionalità di anteprima è incorporata in Outlook Web App e mostra il messaggio nel formato nativo, senza modifiche.

Figura 9: nell'anteprima di ricerca eDiscovery viene visualizzata l'anteprima dinamica dei messaggi senza copiare i messaggi in una cassetta postale di individuazione

Robin può scorrere rapidamente tutti i risultati per visualizzare ulteriori elementi restituiti con la ricerca. Poiché utilizza l'anteprima di Outlook Web App ad alta fedeltà, può visualizzare anche gli allegati.

Dopo che Robin ha visualizzato l'anteprima di tutti i risultati e si considera soddisfatta, può creare una copia per visualizzarli successivamente oppure esportarli per consegnarli al consulente legale esterno. A tale scopo, fa semplicemente clic sul collegamento Copia risultati di ricerca (Copy search results).

Figura 10: copia dei messaggi restituiti dalla ricerca in una cassetta postale di individuazione

Quando Robin copia i messaggi in una cassetta postale di individuazione, può scegliere tra le opzioni seguenti:

• Includere gli elementi non ricercabili. Può scegliere se includere gli elementi "non ricercabili", ovvero elementi che il sistema di indicizzazione potrebbe non essere in grado di gestire, ad esempio un elemento danneggiato, un file zip allegato protetto da password o un elemento crittografato con un sistema diverso da Information Rights Management. La casella di controllo corrispondente a questa opzione le consente di includere questi elementi qualora desideri controllarli manualmente ed essere certa di non aver tralasciato alcun dato.
• Abilitare la deduplicazione. Poiché è comune che un messaggio di posta elettronica venga inviato a più persone, la deduplicazione consente di utilizzare una sola copia in modo da dover controllare meno messaggi.
• Abilitare la registrazione completa. Se lo desidera, Robin può creare un log completo dei risultati di ricerca, contenente un elenco completo di tutti gli elementi trovati. Questa opzione è particolarmente utile per la deduplicazione, poiché in tal caso viene mantenuta una sola copia di un messaggio inviato a più persone. Successivamente infatti potrebbe essere necessario sapere se una persona disponeva di tale messaggio nella posta in arrivo, se l'aveva contrassegnato come importante oppure se l'aveva spostato nella cartella degli elementi eliminati senza leggerlo. Nel log sono incluse tutte queste informazioni.
• Notifica via posta elettronica. Robin può scegliere inoltre se ricevere una notifica per posta elettronica al termine del processo di copia. Se i risultati della ricerca restituiscono 20-30 GB di dati, la copia in una cassetta postale di individuazione potrebbe richiedere tempo.

L'ultima operazione che dovrà essere eseguita da Robin sarà selezionare la cassetta postale di individuazione in cui inserire i risultati della ricerca.

Al termine della copia, Robin può verificare che l'operazione di copia sia stata completata e può utilizzare un collegamento alla cassetta postale in cui sono archiviati i risultati. Robin può ora passare alla copia dei risultati della ricerca per visualizzarli. In questa visualizzazione ha la possibilità di esaminare gli elementi, contrassegnare quelli importanti o spostare gli elementi non importanti nella cartella degli elementi eliminati in modo da rimuoverli dalla visualizzazione.

Se dopo aver concluso questa operazione Robin desidera condividere i risultati consolidati con un consulente esterno, può utilizzare il client Outlook per esportare l'elenco dei risultati consolidati in un file PST.

Abbiamo illustrato una panoramica delle funzionalità eDiscovery sul posto e Archiviazione sul posto disponibili nel nuovo Exchange. Nella Parte 2 di questo post, che verrà pubblicata a breve, esamineremo nei dettagli Archiviazione sul posto.

Bharat Suneja e Julian Zbogar-Smith

Questo è un post di blog localizzato. L'articolo originale è disponibile in In-Place eDiscovery and In-Place Hold in the New Exchange - Part I.