Microsoft 365 Advanced eDiscovery
L’eDiscovery (Electronic Discovery) è il processo che, nell’ambito dell’informatica forense, permette di cercare e individuare dati informatici presenti in archivi digitali. L’attività di eDiscovery è richiesta nei casi di indagine ove informazioni e prove digitali di tipo documentale, possono essere individuate all’interno di sistemi informatici per poi essere utilizzate come prove informatiche. L’eDiscovery quindi si occupa della ricerca di informazioni memorizzate in formato digitale.
Figura 1 – eDiscovery (Electronic Discovery)
Perché affidarsi all’eDiscovery?
Come potete ben capire, il dato digitale si presta molto di più alla ricerca automatizzata rispetto alla stessa tipologia di operazione all’interno di documenti cartacei. Mentre i documenti cartacei dobbiamo ispezionarli singolarmente e dobbiamo avere un elevato livello di attenzione, i dati digitali possiamo analizzarli mediante uno strumento efficacissimo quale la ricerca per parola chiave.
Oltre a tutto ciò, un documento cartaceo può potenzialmente essere distrutto senza lasciare tracce, per esempio bruciando o macerando il documento. Il dato digitale è molto più difficile da distruggere nel momento in cui se ne perde il controllo, con la conseguenza che tracce di un documento informatico possono essere rinvenute anche in aree del disco cancellate. Dunque per distruggere del tutto un dato informatico è necessario procedere con la distruzione fisica o logica (tramite tecniche di wiping) dei supporti che hanno fatto transitare quel dato.
Nel processo di eDiscovery, i dati contenuti all’interno dei sistemi informatici possono potenzialmente essere analizzati per poi essere utilizzati come prova in formato digitale. Di seguito alcuni esempi di dati che possono essere analizzati:
- documenti di testo
- fogli di calcolo
- presentazioni
- immagini
- video
- immagini
- voci di calendario
- contatti
- database
- chat
- file audio
- pagine web e siti internet
- programmi informatici
- progetti
- e più in generale ogni altro tipo di documento
In particolar modo le e-mail sono spesso utilizzate come prove, a favore o contro una parte, in tutti gli ambiti del diritto. A differenza delle lettere cartacee, le e-mail non hanno un costo di invio e gli utilizzatori tendono ad archiviare e conservare ogni singolo messaggio di posta ricevuto o inviato, comprese magari le bozze. Qui entra in gioco l’eDiscovery che diventa uno strumento fondamentale al fine di individuare tutte queste tracce, utili per documentare attività illecite.
Come si svolgono le operazioni di eDiscovery?
Alla base di ogni processo di eDiscovery devono esserci tecniche di Informatica forense, ovvero la scienza che si occupa del trattamento del dato informatico che può essere utilizzato come prova all’interno di un processo. Di seguito la lista di processi di eDiscovery:
- Identificazione
- Preservazione
- Collezione
- Lavorazione
- Revisione
- Produzione
eDiscovery in Microsoft 365
eDiscovery è una funzionalità di Microsoft 365 che consente di identificare e fornire informazioni che riguardano eventuali casi legali che potrebbero essere in corso all’interno dell’organizzazione. Gli amministratori della compliance possono decidere e controllare le utenze in grado di creare e gestire i casi di eDiscovery nell’ambiente, i servizi di Microsoft 365 all’interno dei quali si possono cercare informazioni tramite eDiscovery sono i seguenti:
- Mailbox di Exchange Online
- Gruppi di Microsoft 365
- SharePoint Online
- OneDrive
- Microsoft Teams
- Skype for Business
Ci sono 3 componenti principali di eDiscovery disponibili nel Security and Compliance Center di Microsoft 365:
- eDiscovery Holds (Core eDiscover)
- Content Search
- Advanced eDiscovery
Della piattaforma Content Search e eDiscovery Holds abbiamo già parlato nell’articolo Cercare documenti ed e-mails in Microsoft 365 con il Content Search e Come funziona eDiscovery in Microsoft 365, la cui lettura è consigliata al fine di comprendere appieno le procedure spiegate in questo articolo.
Con il core eDiscovery è possibile applicare “holds” alle location di Microsoft 365, eseguire ricerche di elementi rilevanti per un determinato caso, ed esportare i risultati di qualsiasi ricerca effettuata.
Advanced eDiscovery
La soluzione di Advanced eDiscovery in Microsoft 365 è basata sulle funzionalità di Core eDiscovery e Analytics esistenti. Advanced eDiscovery offre un flusso di lavoro end-to-end per conservare, raccogliere, analizzare, esaminare ed esportare contenuti importanti per indagini interne ed esterne all’organizzazione. È possibile gestire senza problemi i workflow di eDiscovery identificando le persone interessate e le origini dei loro dati, è possibile applicare senza problemi gli “hold” per preservare i dati e quindi gestire il processo di comunicazione della conservazione legale. Raccogliendo i dati dall’origine, è possibile cercare nella piattaforma live di Microsoft 365 per trovare rapidamente ciò di cui si ha bisogno. Funzionalità intelligenti di machine learning come il “deep indexing”, il “threading delle e-mail” e il “near duplicate detection” aiutano a ridurre grandi volumi di dati a un set di dati pertinente.
Advanced eDiscovery offre funzionalità aggiuntive che permettono di eseguire le seguenti operazioni:
- Possibilità di aggiungere dei “custodi”: questi saranno utenti che avranno il diritto di “ownership” su contenuti rilevanti del case di eDiscovery
- Possibilità di gestire le “Comunicazioni” in modo da automatizzare le notifiche degli “hold” legali.
- Possibilità di aggiunta dei risultati delle singole “Content Search” nei “Review Sets“: questi Set possono essere monitorati con tool di analytics avanzati tra cui rilevamenti dei temi, e-mail, identificazione del thread e rilevamento duplicati.
- Visualizzazione elenco di job contenuti in case di eDiscovery, nonché lo status e le date di creazione e completamento dei case.
- Possibilità di utilizzo di funzionalità aggiuntive, tab delle informazioni dei case: questo tab consente ai manager di eDiscovery di modificare in modo agevole le informazioni di base dei case. Il Tab di “Access and Permissions” permette di aggiungere o rimuovere permessi di “responsabile”.
Architettura Advanced eDiscovery Microsoft 365
Vediamo nelle immagini sottostanti le differenti tipologie di architetture di Advanced eDiscovery:
Figura 2 – Work flow in a Single-Geo environment
Figura 3 – Work flow in a Multi-Geo environment
Figura 4 – Data flow in Advanced eDiscovery
Vediamo gli step necessari alla configurazione di Advanced eDiscovery.
Di che tipologia di licensing ho bisogno?
-
Organization Subscription
- Microsoft 365 E5 or Office 365 E5 subscription
- Microsoft 365 E3 subscription with E5 Compliance add-on
- Microsoft 365 E3 subscription with E5 eDiscovery and Audit add-on
-
Per-user licensing: Per poter aggiungere un utente come “Custode” in un Advanced eDiscovery case, a questo utente deve essere assegnata una delle seguenti licenze, a seconda del tipo di licensing presente nel Tenant:
- Microsoft 365: Gli utenti devono avere assegnata una licenza Microsoft 365 E5, una E5 Compliance add-on, oppure una E5 eDiscovery e Audit add-on.
- Office365: Gli utenti devono avere una licenza di Office 365 E5
Assegnazione permission eDiscovery
Per avere la possibilità di accedere ad Advanced eDiscovery oppure di essere aggiunto come membro di un caso di Advanced eDiscovery, un’utente deve avere i permessi appropriati. Nello specifico, un’utente deve essere aggiunto come membro del gruppo “eDiscovery Manager” nel centro di Security & Compliance. I membri di questo gruppo possono creare e gestire case di Advanced eDiscovery, possono aggiungere o rimuovere membri, mettere in hold contenuti, gestire le notifiche di legal hold, creare e modificare ricerche associate ad un case, aggiungere risultati di ricerche ad un “review set”, analizzare i dati di un “review set”, esportare e scaricare da un Advanced eDiscovery case.
Andate su https://protection.office.com/permissions
Figura 5 – Permissions eDiscovery Manager
Figura 6 – Aggiunta membri eDiscovery Administrator
Figura 7 – Aggiunta membri eDiscovery Administrator
Figura 8 – Aggiunta membri eDiscovery Manager
Ci sono due sottogruppi all’interno del gruppo “eDiscovery manager”; la differenza tra questi sottogruppi dipende dall’ambito:
- eDiscovery Manager: Può vedere e gestire i case di Advanced eDiscovery creati o dei quali è membro. Se un altro eDiscovery Manager crea un case ma non aggiunge un secondo eDiscovery manager come membro di questo case, il secondo eDiscovery manager non avrà la possibilità di vedere o gestire il case nell’interfaccia di Advanced eDiscovery. In generale, la maggior parte delle persone nell’Organizzazione può essere aggiunta al sottogruppo “eDiscovery Manager”.
-
eDiscovery Administrator: Ha la gestione di tutti i tipi di task di management che ha anche l’eDiscovery Manager. In aggiunta un eDiscovery Administrator può:
- Vedere tutti i case elencati nell’interfaccia di Advanced eDiscovery.
- Gestire qualsiasi case dell’Organizzazione dopo aver aggiunto se stesso come membro del case.
- Accedere ed esportare i dati di qualsiasi case dell’Organizzazione.
Configurazione Global Settings per Advanced eDiscovery
L’ultimo step da completare prima che gli utenti dell’Organizzazione possano iniziare a creare e utilizzare i case di Advanced eDiscovery è quello di completare le impostazioni globali di Advanced eDiscovery. Attualmente l’unica impostazione globale da definire è quella che viene definita “attorney-client privilege detection“. Questa opzione abilita l’esecuzione del modello “attorney-client privilege detection” nel momento dell’analisi dei dati in un “review set”. Questo modello utilizza il machine learning per determinare la probabilità che un documento contenga contenuto di natura legale. Confronta inoltre gli autori del documento, confronta questi autori con un elenco di avvocati (questo viene inviato nel momento della configurazione del modello) per determinare se all’interno del documento ci sono o meno autori/partecipanti avvocati.
Figura 9 – Esempio di metadata con indicazione di documento con contenuti legali
Per abilitare questo modello è necessario recarsi su Advanced eDiscovery – Microsoft 365 compliance
Figura 10 – Configurazione Global Analyctis Settings
Figura 11 – Gestione Modello “attorney-client privilege” settings
Figura 12 – Abilitazione Modello “attorney-client privilege”
Figura 13 – Upload lista di avvocati (non obbligatorio)
Vediamo un esempio di creazione di un case di Advanced eDiscovery
Figura 14 – Creazione nuovo case
Figura 15 – Scegliendo “Case Information” possiamo modificare le info del case, salvare, chiudere oppure eliminare il case appena creato
Figura 16 – Configurazione utenti con permessi sul case
Figura 17 – Lista membri con relative permission (roles)
Figura 18 – Lista possibili permessi (roles)
Figura 19 – Aggiunta sorgente dati e i “custodi” dei documenti
Nell’immagine soprastante andiamo sul tab dedicato all’aggiunta delle sorgenti di dati; qui vedete la dicitura “custodians” (custodi). In eDiscovery un custode è una persona che ha il controllo amministrativo di un documento o di un file elettronico che potrebbe essere pertinente alla causa. È inoltre possibile aggiungere origini dati che non sono associate a un utente specifico, ma che potrebbero essere rilevanti per il caso.
Di seguito sono riportate alcune operazioni che possono essere eseguite (o che è possibile eseguire) quando si aggiungono i “custodians” ad un caso:
- I dati nella mailbox di Exchange del custode, nell’account OneDrive e in tutti i gruppi di Microsoft teams o Yammer a cui il custode è membro possono essere “contrassegnati” come dati di custodia nel caso.
- I dati del custode vengono reindicizzati (tramite un processo denominato Advanced Indexing). Questo consente di ottimizzare la ricerca nel passaggio successivo.
- È possibile applicare un’esenzione ai dati del custode. Questo consente di conservare i dati che potrebbero essere rilevanti per il caso durante l’inchiesta.
- È possibile associare altre origini dati a un custode (ad esempio, è possibile associare un sito di SharePoint o un gruppo di Microsoft 365 a un custode), in modo che i dati possano essere reindicizzati, conservati e ricercati, come i dati della cassetta postale o dell’account di OneDrive della banca depositaria.
- È possibile utilizzare communications Workflow in Advanced eDiscovery per inviare una notifica di legal hold ai depositari.
Figura 20 – Aggiungiamo i custodi e attendiamo la raccolta di informazioni sulle possibili “locations” in cui cercare
In questo esempio ho scelto 3 potenziali “custodi”, tutti hanno una mailbox su Exchange/Exchange Online, ma Bruce Banner ancora non ha iniziato ad usufruire del suo personal site di OneDrive (vedete immagine sottostante).
Figura 21 – Lista Personal Site Organizzazione Technical365
Figura 22 – Possibilità di aggiungere location per ogni custode
Figura 23 – Possibilità di aggiungere Location per ogni custode
Figura 24 – Esempio aggiunta Communication Site SharePoint Online dell’utente Peter Parker
Figura 25 – Aggiunta site Financial SharePoint Online utente Peter Parker
Figura 26 – Aggiunta location Team di Teams al quale fa parte l’utente Albano Lala
Figura 27 – Mettiamo in hold i potenziali documenti presenti nelle location dei custodi
Figura 28 – Attendiamo il completamento dell’operazione
Figura 29 – Riassunto custodi create
NB: Ci possono volere diverse ore perché un hold sia effettivo su tutte le locations dei custodi.
Figura 30 – Aggiungiamo location non legata a specifico custode
Figura 31 – Aggiunta location site SharePoint Online
Figura 32 – Configurazione Search delle location
Figura 33 – Selezione dei custodi delle location
Figura 34 – Selezione non custodian location
Figura 35 – Aggiunta parola chiave “test”
Figura 36 – Advanced eDiscovery Search creato
Figura 37 – Risultati Advanced eDiscovery Search con query “TEST”
Figura 38 – Preview dei risultati del search sulle location dei custodi indicate
Figura 39 – Statistiche Location
Figura 40 – Aggiungiamo i risultati ottenuti dal Advanced eDiscovery Search ad un “review set”
Figura 41 – Utilizziamo il review set creato precedentemente
NB: Quando aggiungiamo i dati ad un Review Set, gli item vengono copiati dalle loro location originarie in un repository presente nello storage di Azure. I dati in seguito sono reindicizzati nuovamente in modo da ottimizzare le future ricerche nel momento in cui si andrà a consultare i “review sets”. Esiste anche una tipologia “speciale” di Review Set definita Conversation Review Set. Questa tipologia di Review Set fornisce funzionalità di ricostruzione delle conversazioni al fine di esportare conversazioni in thread come quelle di Microsoft Teams.
Figura 42 – I job sul Review Set ancora in corso
Figura 43 – Esempio risultati “Review Set”
Figura 44 – Esempio risultati “Review Set”
CONCLUSIONI
L’eDiscovery (Electronic Discovery) è il processo che, nell’ambito dell’informatica forense, permette di cercare e individuare dati informatici presenti in archivi digitali. Microsoft 365 tramite gli strumenti integrati nella suite Security & Compliance ci permette di avere in un’unica interfaccia di gestione tutto quello che serve per l’Electronic Discovery, senza dunque avere la necessità di dover utilizzare strumenti di terze parti, che molto probabilmente non dispongono della stessa potenza di calcolo dei Datacenter della casa di RedMond.
Stay Tuned on ICTPower!!