New-ProtectionAlert
Этот командлет доступен только в PowerShell для соответствия требованиям безопасности & . Дополнительные сведения см. в разделе Соответствие требованиям безопасности & PowerShell.
Используйте командлет New-ProtectionAlert для создания политик оповещений в Портал соответствия требованиям Microsoft Purview. Политики оповещений содержат условия, определяющие действия пользователей, которые необходимо отслеживать, и параметры уведомлений для оповещений и записей по электронной почте в Портал соответствия требованиям Microsoft Purview.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Описание
Чтобы использовать этот командлет в PowerShell для соответствия требованиям безопасности & , необходимо назначить разрешения. Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.
Примеры
Пример 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser [email protected] -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType NoneВ этом примере создается политика генерации оповещений, которая активирует оповещение каждый раз, когда кто-либо в организации удаляет поиск контента в Портал соответствия требованиям Microsoft Purview.
Параметры
-AggregationType
Параметр AggregationType указывает, как политика предупреждений отправляет предупреждения при возникновении нескольких случаев отслеживаемой активности. Допустимые значения:
- Нет: оповещения активируются для каждого вхождения действия.
- SimpleAggregation: оповещения активируются на основе объема действий в заданном временном окне (значения параметров Threshold и TimeWindow). Это значение используется по умолчанию.
- AnomalousAggregation: оповещения активируются, когда объем действия достигает необычных уровней (значительно превышает обычный базовый план, установленный для действия). Обратите внимание, что установка базовых показателей Microsoft 365 может занять до 7 дней. В период расчета базового уровня не создаются предупреждения об активности.
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
Параметр AlertBy указывает область для агрегированных политик оповещений. Допустимые значения определяются значением параметра ThreatType:
- Действие. Допустимые значения: User или $null (пустое значение, которое является значением по умолчанию). Если вы не используете значение User, политика предупреждений распространяется на всю организацию.
- Вредоносная программа: допустимые значения: Mail.Recipient или Mail.ThreatName.
Этот параметр невозможно использовать, когда параметру AggregationType задано значение None (предупреждения отправляются о каждом случае активности).
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
Параметр Category указывает категорию для политики оповещений. Допустимые значения:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Другие
- PrivacyManagement
- Контроль
- ThreatManagement
Когда происходит активность, которая соответствует условиям политики предупреждений, категория создаваемого предупреждения определяется этим параметром. Это позволяет отслеживать предупреждения, которые относятся к одной категории, и управлять ими.
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
Параметр Comment указывает необязательный комментарий. Если вы указываете значение, содержащее пробелы, заключите его в кавычки ("), например:" Это примечание администратора ".
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ Fill CustomProperties Description }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Параметр Description задает описание политики предупреждений. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Параметр Disabled включает или выключает политику предупреждений. Допустимые значения:
- $true: политика оповещений отключена.
- $false: политика оповещений включена. Это значение используется по умолчанию.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
Параметр Filter использует синтаксис OPATH для фильтрации результатов по указанным свойствам и значениям. Для критериев поиска используется следующий синтаксис: "Property -ComparisonOperator 'Value'".
- Заключите весь фильтр OPATH в двойные кавычки "". Если фильтр содержит системные значения (например,
$true,$falseили$null), используйте одиночные кавычки ' '. Хотя этот параметр является строкой (а не системным блоком), вы также можете использовать фигурные скобки { }, но только если фильтр не содержит переменные. - Property — это свойство с поддержкой фильтрации.
- ComparisonOperator — это оператор сравнения OPATH (например
-eq, для равных и-likeдля сравнения строк). Подробнее об операторах сравнения см. в статье about_Comparison_Operators. - Value — это значение свойства для поиска. Заключите текстовые значения и переменные в одиночные кавычки (
'Value'или'$Variable'). Если значение переменной содержит одиночные кавычки, необходимо определить (избежать) одиночные кавычки, чтобы правильно развернуть переменную. Например, вместо'$User'используйте'$($User -Replace "'","''")'. Не заключайте целые числа или системные значения в кавычки (например, используйте500,$true,$false, или$nullвместо них).
Можно связать несколько условий поиска вместе с помощью логического -and оператора (например, "Criteria1 -and Criteria2").
Подробные сведения о фильтрах OPATH в Exchange см. в разделе Дополнительные сведения о синтаксисе OPATH.
Фильтруемые свойства:
Действие
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Вредоносная программа
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Параметр Name определяет уникальное имя политики предупреждений. Если значение содержит пробелы, его необходимо заключить в кавычки (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
Параметр NotificationCulture определяет язык или языковой стандарт уведомлений.
Допустимые входные данные для этого параметра — это поддерживаемое значение кода языка и региональных параметров из класса Microsoft платформа .NET Framework CultureInfo. Например, da-DK для датского языка или ja-JP для японского. Дополнительные сведения см. в разделе Класс CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Параметр NotifyUser задает SMTP-адрес пользователя, который получает уведомления о действиях, отслеживаемых политикой предупреждений. Вы можете указать несколько значений, разделив их запятыми.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
Параметр NotifyUserOnFilterMatch указывает, следует ли активировать оповещение для одного события, если политика оповещений настроена для агрегированного действия. Допустимые значения:
- $true. Несмотря на то, что оповещение настроено для агрегированного действия, во время сопоставления действия активируется уведомление (в основном, раннее предупреждение).
- $false: оповещения активируются в соответствии с указанным типом агрегирования. Это значение используется по умолчанию.
Этот параметр невозможно использовать, когда параметру AggregationType задано значение None (предупреждения отправляются о каждом случае активности).
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
Параметр NotifyUserSuppressionExpiryDate указывает, следует ли временно приостановить отправку уведомлений согласно политике предупреждений. До указанного времени приостанавливается отправка уведомлений об обнаруженных действий.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
Параметр NotifyUserThrottleThreshold задает максимальное количество уведомлений для политики предупреждений за период, указанный параметром NotifyUserThrottleWindow. После достижения этого числа отправка уведомлений об активности приостанавливается. Допустимые значения:
- Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
- Значение $null. Это значение по умолчанию (без максимального количества уведомлений для предупреждения).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
Параметр NotifyUserThrottleWindow задает интервал времени в минутах, используемый параметром NotifyUserThrottleThreshold. Допустимые значения:
- Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
- Значение $null. Это значение по умолчанию (без периода для регулирования количества уведомлений).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Параметр Operation указывает действия, отслеживаемые политикой оповещений. Список доступных действий см. на вкладке Проверенные действия в разделе Проверенные действия.
Хотя этот параметр технически способен принимать несколько значений, разделенных запятыми, несколько значений не работают.
Этот параметр можно использовать, только когда параметру ThreatType задано значение Activity.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Параметр Severity задает серьезность обнаруженного действия. Допустимые значения:
- Низкий (это значение по умолчанию)
- Средняя
- Высокая
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
Параметр ThreatType задает тип действий, которые отслеживаются политикой предупреждений. Допустимые значения:
- Действие
- Вредоносная программа
Значение, выбираемое для этого параметра, определяет значения, которые вы можете задавать параметрам AlertBy, Filter и Operation.
Это значение невозможно изменить после создания политики предупреждений.
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Параметр Threshold указывает количество обнаружений, которые активируют политику оповещений в течение периода времени, заданного параметром TimeWindow. Значение должно быть целым числом не менее 3.
Этот параметр можно использовать, только когда параметру AggregationType задано значение SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Параметр TimeWindow задает период в минутах для количества обнаруженных действий, указанного параметром Threshold. Значение должно быть целым числом больше 60 (один час).
Этот параметр можно использовать, только когда параметру AggregationType задано значение SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Параметр WhatIf не работает в PowerShell для соответствия требованиям безопасности & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |