Come funziona eDiscovery in Microsoft 365

Essere soggetti ad un’azione legale non è mai un’esperienza piacevole, oltre che potenzialmente estremamente dispendiosa. Data l’ingente quantità di dati che giornalmente transitano all’interno delle infrastrutture informatiche di aziende, amministrazioni pubbliche e altri organi della società non ci deve sorprendere che i sistemi informatici sono spesso i primi tramite i quali si consumano potenziali illeciti o, al contrario, vengono acquisite le prove a sostegno delle posizioni di chi si deve difendere.

Oppure, ci si può trovare a dover rispondere ad un procedimento disciplinare interno all’organizzazione. In entrambi i casi, è necessario essere in grado di trovare con la massima accuratezza possibile le informazioni rilevanti alla nostra ricerca senza però violare la privacy dei soggetti dell’investigazione.

L’apertura di una controversia non all’organizzazione diritto di accedere al contenuto delle cassette postali dei collaboratori senza che sia stata data notifica ed in ogni caso deve essere limitato allo scopo prefissato: l’azienda deve seguire regole precise e le attività di ricerca devono essere ristrette a persone autorizzate e devono essere monitorate (deve essere garantita la tracciabilità dei controlli).

Vanno quindi esclusi strumenti quali reset della password (il controllo non può mai essere segreto) ed esportazione totale tramite PST (il controllo non può superare le finalità del trattamento) in quanto si configurerebbero dei reati per i quali si dovrà rispondere.

La raccolta di informazioni per questi scopi, all’interno dell’informatica forense, prende il nome di eDiscovery dall’unione di due parole: electronic dal nome del mezzo e discovery dall’attività di ricerca.

Microsoft 365 viene incontro a queste necessità tramite una piattaforma di eDiscovery integrata nel servizio che permettere la ricerca, la conservazione e l’esportazione delle informazioni nel rispetto delle normative sulla privacy.

L’accesso e le funzionalità della piattaforma di eDiscovery dipendono dalle licenze acquistate:

  • Qualunque licenza può effettuare la ricerca del contenuto
  • La licenza Office 365 E3 / Microsoft 365 E3 o superiore consente di inserire degli holds per preservare le informazioni ed effettuare le esportazioni delle informazioni.
  • La licenza Office 365 E5 / Microsoft 365 E5 dà accesso alle funzionalità di Advanced eDiscovery

L’offerta di eDiscovery in Microsoft 365 è basata su due tecnologie fondamentali: Content Search e gli eDiscovery Holds. Della piattaforma Content Search abbiamo già parlato nell’articolo Cercare documenti ed e-mails in Microsoft 365, la cui lettura è consigliata per poter comprendere appieno le procedure spiegate in questo articolo. Gli eDiscovery Holds sono un insieme di tecnologie tramite le quali viene preservato il contenuto (e ne vengono tracciate eventuali modifiche) all’interno della piattaforma Microsoft 365.

 

eDiscovery Holds – Exchange Online

Microsoft 365 non adotta la tecnologia classica dei backup, per cui non esiste una copia della mailbox archiviata da qualche parte nel cloud. Per preservare il contenuto delle cassette postali sottoposte ad un eDiscovery Hold viene utilizzata la cartella Recoverable Items: non è visibile all’utente e risiede nel non-IPM subtree della mailbox (una porzione della mailbox non accessibile agli utenti, ma solo ad Exchange Online).

Questo approccio presenta numerosi vantaggi rispetto ad un backup classico:

  • La cartella Recoverable Items è parte della mailbox
  • Il contenuto è indicizzato da Exchange Online di conseguenza è ricercabile dalle Content Search
  • La cartella Recoverable Items ha una propria quota e non consuma la quota dell’utente
  • Exchange Online, tramite gli holds può impedire che il contenuto venga cancellato dalla Recoverable Items
  • Exchange Online è in grado di tracciare le modifiche effettuate al contenuto delle mailbox tramite l’uso della Recoverable Items

In Figura 1 è rappresentata la struttura interna della Recoverable Items folder, con le sue sottocartelle:

  • Deletions: contiene tutti gli oggetti cancellati dalla cartella Deleted Items (il cestino). Questa cartella è accessibile in Outlook tramite la funzionalità “Recover Deleted Items
  • Versions: se un hold (oppure un retention tag) è attivo sulla mailbox una copia di tutti gli oggetti modificati viene archiviata in questa cartella tramite una tecnologia chiamata Copy-on-Write.
  • Purges: ospita tutti i messaggi che vengono cancellati dalla “Recover Deleted Items” quando la mailbox è sottoposta ad un Litigation Hold oppure è protetta da Single Item Recovery. Per impostazione predefinita tutte le mailbox in Exchange Online hanno abilitato il Single Item Recovery, con un periodo di retention di 14 giorni.
  • Audits: contiene i Mailbox Audit Logs. Per impostazione predefinita tutte le mailbox in Exchange Online hanno abilitato il Mailbox Audit Logging.
  • Discovery Holds: contiene tutti i messaggi cancellati (hard-deleted) e che sono sottoposti ad un eDiscovery Hold.
  • Calendar Logging: contiene traccia degli elementi di calendario modificati.

Esistono dei cicli di pulizia per queste sottocartelle, implementati tramite dei Managed Folder Assistants, che ad intervalli regolari eliminano tutti i messaggi che non sono soggetti ad un hold.

Figura 1 – Struttura Recoverable Items Folder

Gli eDiscovery Holds sono basati sulla stessa tecnologia degli In-Place Holds i quali però sono ormai deprecati: da Ottobre 2020 non è più possibile gestirli né tramite Exchange Control Panel né tramite PowerShell; è ragionevole aspettarsi che più avanti nel futuro essi verranno rimossi, quindi se avete degli In-Place Holds raccomando di rimuoverli oppure di migrarli alla nuova tecnologia.

Ad un livello funzionale, la retention degli elementi in Exchange Online è riassumibile come in Figura 2:

  1. Se durante il tempo in cui l’hold è applicato l’elemento viene modificato o cancellato, la versione originale viene preservata nella Recoverable Items.
  2. Se durante il tempo in cui l’hold è applicato l’elemento non viene modificato o cancellato esso rimane dov’è.

Fintanto che c’è un Retention period applicato alla mailbox (sia esso un Hold di un qualche tipo oppure un Retention tag) l’elemento viene preservato. Allo scadere del Retention period gli elementi riprendono il loro ciclo di vita usuale.

Figura 2 – Retention in EXO

Preservation Hold Library – SharePoint Online e OneDrive

SharePoint Online utilizza invece le Preservation Hold Libraries per preservare il contenuto soggetto ad holds. La Preservation Hold Library è accessibile solo ai Site Administrator (nel caso di OneDrive coincide con l’utente a cui il OneDrive è assegnato).

Se si tenta di modificare o cancellare un documento esistente oggetto di un hold, la versione originale viene copiata all’interno della Preservation Hold Library, in questo modo si può continuare a modificare il documento e viene garantita l’integrità della copia originale. Ogni 7 giorni un timer job rimuove dalla Preservation Hold Library qualsiasi oggetto che non ricade più nel perimetro dell’hold che è impostato sul sito.

Se invece il contenuto viene aggiunto all’interno di una document library dopo che è stato effettuato un hold, esso non viene copiato automaticamente all’interno della Preservation Hold Library ma solo quando viene cancellato. Le modifiche vengono tracciate tramite versioning di SharePoint (per impostazione predefinita le ultime 500 versioni). Nel momento in cui viene apposto un hold viene ignorato il limite massimo di versioni e vengono conservate tutte fino a quando il documento non viene eliminato. In quel momento tutte le versioni del documento vengono copiate nella Preservation Hold Library.

Nel caso dei query-based holds, tutti i files cancellati o modificati in una document library verranno copiati nella Preservation Hold Library e successivamente il timer job rimuoverà quelli che non soddisfano i parametri della ricerca.

I files rimossi dalla Preservation Hold Library vengono inviati al Second-stage recycle bin dove rimarranno per 93 giorni. È importante ricordarsi che il contenuto del Second-stage recycle bin non è indicizzato, pertanto non verrà trovato da una Content Search.

A livello funzionale, la retention degli elementi in SharePoint Online è riassumibile come in Figura 3:

  1. Se, durante il tempo in cui l’hold è applicato, l’elemento viene modificato o cancellato, una copia originale del documento viene inviata alla Preservation Hold Library
  2. Se, durante il tempo in cui l’hold è applicato, l’elemento non viene modificato o cancellato, esso rimane dov’è (fatta salva la distinzione tra documenti antecedenti all’hold e quelli creati successivamente)

Fintanto che c’è un Retention period applicato al site (sia esso un Hold di un qualche tipo oppure un Retention tag) l’elemento viene preservato. Allo scadere del Retention period gli elementi riprendono il loro ciclo di vita usuale.

Figura 3 – Retention in SharePoint Online

Creare un nuovo eDiscovery Case

Gli eDiscovery Case permettono di raggruppare un insieme di Holds e Content Search all’interno di un singolo contenitore, razionalizzando le operazioni necessarie alla raccolta di prove:

  1. Come prima operazione per preservare il contenuto degli oggetti di un’indagine viene apposto un hold per impedirne la modifica o la cancellazione.
  2. Successivamente si cercherà, all’interno del contenuto in hold, il materiale rilevante all’investigazione.
  3. Infine, si procede all’esportazione del contenuto.

Figura 4 – eDiscovery Workflow

Per creare un nuovo eDiscovery Case è sufficiente andare nel nuovo Compliance center tramite il link https://compliance.microsoft.com e portarsi su eDiscovery -> Core e premere “+ Create a case

Figura 5 – Creare un nuovo eDiscovery Case

Assegnare quindi un nome ed una descrizione al Case.

Figura 6 – Assegnare un nome al Case

Cliccando sul nome del case è possibile assegnare nuovi membri (persone che avranno accesso al contenuto del case), chiuderlo oppure eliminarlo.
Quando un caso viene chiuso, eventuali holds sul contenuto verranno rimossi, dopo un periodo di salvaguardia di 30 giorni (delay hold). Le altre operazioni sul Case come, ad esempio, la ricerca e l’esportazione del contenuto sono ancora possibili.
Quando invece un caso viene eliminato, oltre alla rimozione degli holds, verranno eliminate anche tutte le ricerche e tutti gli export. Assicurarsi di esportare e salvare in luogo sicuro i dati prima di eliminare un case.

Figura 7 – Gestire un eDiscovery Case

È ora possibile accedere al eDiscovery Case appena creato. Nella barra superiore si viene guidati nel workflow illustrato in precedenza.

Figura 8 – eDiscovery Case

Portandosi su Holds e premendo su “+ Create” si procederà alla creazione di un hold; è possibile creare più holds all’interno dello stesso case

Figura 9 – Creazione di un Hold

Assegnare un nome ed una descrizione all’ hold.

Figura 10 – Nome di un Hold

Decidere quali saranno le locations soggette ad hold, in questo esempio abbiamo inserito le mailbox di due utenti, i loro OneDrive e un sito di SharePoint a cui hanno accesso.

Figura 11 – Locations in hold

A questo punto abbiamo deciso di creare un query-based hold: solo il contenuto che soddisfa le condizioni di ricerca verrà sottoposto ad hold. È possibile mettere in hold l’intero contenuto delle locations senza specificare una query, in questo caso si parla di infinite holds.
Se si decide di procedere con un query-based hold è importante ricordare che, oltre al contenuto oggetto della query, anche tutti gli elementi non indicizzati saranno sottoposti ad hold.

Figura 12 – Query-base hold

Rivedere le selezioni effettuate e confermare la creazione del hold.

NOTA: Ci possono volere diverse ore perché un hold sia effettivo su tutte le locations.

Figura 13 – FInalizzazione hold

Si può ora procedere alla creazione di una Search. Il procedimento è identico a quanto trattato nell’articolo Cercare documenti ed e-mails in Microsoft 365, con una importante precisazione: se si sceglie di cercare nelle “Locations on hold“, la query di ricerca verrà concatenata con un operatore AND alla query dell’hold.
Se si sceglie invece di cercare in location specifiche oppure in tutte le locations la query dell’hold verrà ignorata, in tal caso però i risultati della ricerca non sono soggetti ad hold e sono quindi potenzialmente cancellabili o modificabili.
Come è possibile notare in Figura 14 anche gli elementi non indicizzati da Exchange Online sono stati inseriti tra i risultati della ricerca.

Figura 14 – Ricerca di elementi in hold

Una volta che si è soddisfatti del risultato della ricerca è possibile esportarne il contenuto, esattamente come per una normale Content Search

Figura 15 – Esportazione del contenuto

Conclusioni

La piattaforma di eDiscovery inclusa in Microsoft 365 è molto potente ed è un valido alleato anche nella spiacevole situazione di un contenzioso legale.

In questo articolo abbiamo trattato le funzionalità di Core eDiscovery e le basi delle tecnologie di Native Data Protection dell’ecosistema Microsoft 365.

Alla pagina eDiscovery in Microsoft 365 è disponibile la documentazione ufficiale mentre alle pagine Learn about retention for SharePoint and OneDrive e Learn about retention for Exchange sono affrontate in dettaglio le tecnologie alla base degli holds e delle altre funzionalità di Data Governance.
Nel blog di Joanne C Klein è disponibile, alla pagina What’s included in the preservation hold library in Sharepoint?, un elenco molto dettagliato di come viene archiviato il contenuto all’interno delle Preservation Hold Libraries.