Freigeben über


New-ProtectionAlert

Dieses Cmdlet ist nur in PowerShell zur Sicherheitskonformität & verfügbar. Weitere Informationen finden Sie unter Security & Compliance PowerShell.

Verwenden Sie das Cmdlet New-ProtectionAlert, um Warnungsrichtlinien im Microsoft Purview-Complianceportal zu erstellen. Warnungsrichtlinien enthalten Bedingungen, die die zu überwachenden Benutzeraktivitäten sowie die Benachrichtigungsoptionen für E-Mail-Warnungen und Einträge im Microsoft Purview-Complianceportal definieren.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Syntax

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Beschreibung

Um dieses Cmdlet in PowerShell für Sicherheitskonformität & verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Beispiele

Beispiel 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

In diesem Beispiel wird eine Warnungsrichtlinie erstellt, die eine Warnung auslöst, wenn jemand im organization eine Inhaltssuche im Microsoft Purview-Complianceportal löscht.

Parameter

-AggregationType

Der Parameter AggregationType gibt an, wie die Warnungsrichtlinie Warnungen für mehrere Instanzen von überwachter Aktivität auslöst. Gültige Werte sind:

  • None: Warnungen werden für jedes Vorkommen der Aktivität ausgelöst.
  • SimpleAggregation: Warnungen werden abhängig vom Umfang der Aktivität in einem bestimmten Zeitfenster (die Werte der Parameter Threshold und TimeWindow) ausgelöst. Dies ist der Standardwert.
  • AnomalousAggregation: Warnungen werden ausgelöst, wenn der Umfang der Aktivität ungewöhnliche Level erreicht (überschreitet die normale Basislinie, die für die Aktivität eingerichtet ist, erheblich). Beachten Sie, dass es bis zu 7 Tage dauern kann, bis Microsoft 365 die Baseline festgelegt hat. Während der Berechnungsphase für die Basislinie werden keine Warnungen für Aktivitäten generiert.
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

Der AlertBy-Parameter gibt den Bereich für aggregierte Warnungsrichtlinien an. Gültige Werte werden durch den Parameterwert ThreatType bestimmt:

  • Aktivität: Gültige Werte sind User oder $null (der Standardwert ist leer). Wenn der Wert User nicht verwendet wird, ist der Umfang der Warnungsrichtlinie die gesamte Organisation.
  • Schadsoftware: Gültige Werte sind Mail.Recipient oder Mail.ThreatName.

Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

Der Parameter Category gibt eine Kategorie für die Warnungsrichtlinie an. Gültige Werte sind:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Sonstige
  • PrivacyManagement
  • Aufsicht
  • ThreatManagement

Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der Kategorie markiert, die durch diesen Parameter angegeben ist. So können Sie Warnungen nachverfolgen und verwalten, die die gleiche Kategorie-Einstellung haben.

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

Der „Comment“-Parameter gibt einen optionalen Kommentar an. Wenn Sie einen Wert angeben, der Leerzeichen enthält, setzen Sie den Wert in Anführungszeichen ("), z. B. "This is an admin note".

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.

  • Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen: -Confirm:$false.
  • Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Der Parameter Description gibt eine Beschreibung für die Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Der Parameter Disabled aktiviert oder deaktiviert die Warnungsrichtlinie. Gültige Werte sind:

  • $true: Die Warnungsrichtlinie ist deaktiviert.
  • $false: Die Warnungsrichtlinie ist aktiviert. Dies ist der Standardwert.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

Der Parameter Filter verwendet die OPATH-Syntax, um die Ergebnisse nach den angegebenen Eigenschaften und Werten zu filtern. Das Suchkriterium verwendet die Syntax "Property -ComparisonOperator 'Value'".

  • Schließen Sie den gesamten OPATH-Filter in doppelte Anführungszeichen " ein. Wenn der Filter Systemwerte enthält (z. B. $true, $falseoder $null), verwenden Sie stattdessen einfache Anführungszeichen ''. Obwohl dieser Parameter eine Zeichenfolge ist (kein Systemblock), können Sie auch geschweifte Klammern { } verwenden, jedoch nur, wenn der Filter keine Variablen enthält.
  • Eigenschaft ist eine filterbare Eigenschaft.
  • ComparisonOperator ist ein OPATH-Vergleichsoperator (z. B -eq . für gleich und -like für den Zeichenfolgenvergleich). Weitere Informationen über Vergleichsoperatoren finden Sie unter about_Comparison_Operators.
  • Wert ist der zu suchende Eigenschaftswert. Fügen Sie Textwerte und Variablen in einfache Anführungszeichen ('Value' oder '$Variable') ein. Wenn ein Variablenwert einfache Anführungszeichen enthält, müssen Sie die einfachen Anführungszeichen identifizieren (escape), um die Variable korrekt zu erweitern. Sie können z. B. '$($User -Replace "'","''")' anstelle von '$User' verwenden. Schließen Sie keine ganzen Zahlen oder Systemwerte in Anführungszeichen ein (verwenden Sie stattdessen beispielsweise 500$true, $false oder $null).

Sie können mehrere Suchkriterien mithilfe des logischen -and Operators verketten (z. B "Criteria1 -and Criteria2". ).

Ausführliche Informationen zu OPATH-Filtern in Exchange finden Sie unter Zusätzliche Informationen zur OPATH-Syntax.

Die filterbaren Eigenschaften sind:

Aktivität

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Schadsoftware

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Richtung
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Sprache
  • Mail:Empfänger
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Betreff
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Der Parameter Name gibt den eindeutigen Namen der neuen Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

Der Parameter NotificationCulture gibt die Sprache oder das Gebietsschema für Warnungen an.

Gültige Eingabe für diesen Parameter ist ein unterstützter Kulturcodewert aus der Microsoft .NET Framework CultureInfo-Klasse. Beispiel: da-DK für Dänisch oder ja-JP für Japanisch. Weitere Informationen finden Sie unter CultureInfo-Klasse.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

Der Parameter NotifyUser gibt die SMTP-Adresse des Benutzers an, der Benachrichtigungen für die Warnungsrichtlinie erhält. Es können mehrere Werte durch Kommata getrennt angegeben werden.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

Der Parameter NotifyUserOnFilterMatch gibt an, ob eine Warnung für ein einzelnes Ereignis ausgelöst werden soll, wenn die Warnungsrichtlinie für aggregierte Aktivitäten konfiguriert ist. Gültige Werte sind:

  • $true: Obwohl die Warnung für aggregierte Aktivität konfiguriert ist, wird eine Benachrichtigung während einer Übereinstimmung für die Aktivität (im Grunde eine frühzeitige Warnung) ausgelöst.
  • $false: Warnungen werden entsprechend des angegebenen Aggregationstyps ausgelöst. Dies ist der Standardwert.

Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

Der Parameter NotifyUserSuppressionExpiryDate gibt an, ob Benachrichtigungen für die Warnungsrichtlinie vorübergehend unterbrochen werden. Bis zum angegebenen Datum und der Uhrzeit werden keine Benachrichtigungen für erkannte Aktivitäten gesendet.

Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

Der Parameter NotifyUserThrottleThreshold gibt die maximale Anzahl an Benachrichtigungen für die Warnungsrichtlinie innerhalb des vom Parameter NotifyUserThrottleWindow angegebenen Zeitraums an. Sobald die maximale Anzahl von Benachrichtigungen im Zeitraum erreicht wurde, werden keine Benachrichtigungen mehr für die Warnung gesendet. Gültige Werte sind:

  • Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
  • Der Wert $null. Dies ist der Standardwert (keine maximale Anzahl von Benachrichtigungen für eine Warnung).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

Der Parameter NotifyUserThrottleWindow gibt das Zeitintervall in Minuten an, das vom NotifyUserThrottleThreshold-Parameter verwendet wird. Gültige Werte sind:

  • Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
  • Der Wert $null. Dies ist der Standardwert (kein Intervall für Benachrichtigungseinschränkung).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Der Parameter Operation gibt die Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Eine Liste der verfügbaren Aktivitäten finden Sie auf der Registerkarte Überwachte Aktivitäten unter Überwachte Aktivitäten.

Obwohl dieser Parameter technisch gesehen mehrere durch Kommas getrennte Werte akzeptieren kann, funktionieren mehrere Werte nicht.

Sie können diesen Parameter nur verwenden, wenn der Parameter ThreatType den Wert Activity hat.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Der Parameter Severity gibt den Schweregrad der Erkennung an. Gültige Werte sind:

  • Niedrig (Dies ist der Standardwert)
  • Mittel
  • Hoch
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

Der Parameter ThreatType gibt den Typ der Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Gültige Werte sind:

  • Aktivität
  • Schadsoftware

Der Wert, den Sie für diesen Parameter auswählen, bestimmt die Werte, die Sie für die Parameter AlertBy, Filter und Operation verwenden können.

Sie können diesen Wert nach dem Erstellen der Warnungsrichtlinie nicht mehr ändern.

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Der Parameter Threshold gibt die Anzahl der Erkennungen an, die die Warnungsrichtlinie innerhalb des durch den TimeWindow-Parameter angegebenen Zeitraums auslösen. Ein gültiger Wert ist eine ganze Zahl, die größer als oder gleich 3 ist.

Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

Der Parameter TimeWindow gibt das durch den Parameter Threshold verwendete Zeitintervall in Minuten an. Ein gültiger Wert ist eine ganze Zahl, die größer als 60 (eine Stunde) ist.

Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

Der WhatIf-Schalter funktioniert in PowerShell für Sicherheitskonformität & nicht.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance