Set-ProtectionAlert
Dieses Cmdlet ist nur in PowerShell zur Sicherheitskonformität & verfügbar. Weitere Informationen finden Sie unter Security & Compliance PowerShell.
Verwenden Sie das Cmdlet Set-ProtectionAlert, um Warnungsrichtlinien im Microsoft Purview-Complianceportal zu ändern.
Hinweis: Sie können dieses Cmdlet nicht zum Bearbeiten von Standardwarnungsrichtlinien verwenden. Sie können Warnungen nur ändern, die Sie mit dem Cmdlet New-ProtectionAlert erstellt haben.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Set-ProtectionAlert
[-Identity] <ComplianceRuleIdParameter>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Comment <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUser <MultiValuedProperty>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
Beschreibung
Um dieses Cmdlet in PowerShell für Sicherheitskonformität & verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.
Beispiele
Beispiel 1
Set-ProtectionAlert -Identity "Content search deleted" -Severity High
In diesem Beispiel wird der Schweregrad der Erkennung für die angegebene Warnungsrichtlinie auf Hoch festgelegt.
Beispiel 2
Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120
In diesem Beispiel wird eine Warnung so geändert, dass eine Benachrichtigung während einer Übereinstimmung für die Aktivität ausgelöst wird, obwohl sie für aggregierte Aktivitäten konfiguriert ist. Ein Schwellenwert von 10 Erkennungen und ein TimeWindow von zwei Stunden werden ebenfalls im gleichen Befehl konfiguriert.
Parameter
-AggregationType
Der Parameter AggregationType gibt an, wie die Warnungsrichtlinie Warnungen für mehrere Instanzen von überwachter Aktivität auslöst. Gültige Werte sind:
- None: Warnungen werden für jedes Vorkommen der Aktivität ausgelöst.
- SimpleAggregation: Warnungen werden abhängig vom Umfang der Aktivität in einem bestimmten Zeitfenster (die Werte der Parameter Threshold und TimeWindow) ausgelöst. Dies ist der Standardwert.
- AnomalousAggregation: Warnungen werden ausgelöst, wenn der Umfang der Aktivität ungewöhnliche Level erreicht (überschreitet die normale Basislinie, die für die Aktivität eingerichtet ist, erheblich). Beachten Sie, dass es bis zu 7 Tage dauern kann, bis Microsoft 365 die Baseline festgelegt hat. Während der Berechnungsphase für die Basislinie werden keine Warnungen für Aktivitäten generiert.
Type: | AlertAggregationType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertBy
Der AlertBy-Parameter gibt den Bereich für aggregierte Warnungsrichtlinien an. Gültige Werte werden durch den Parameterwert ThreatType bestimmt:
- Aktivität: Gültige Werte sind User oder $null (der Standardwert ist leer). Wenn der Wert User nicht verwendet wird, ist der Umfang der Warnungsrichtlinie die gesamte Organisation.
- Schadsoftware: Gültige Werte sind Mail.Recipient oder Mail.ThreatName.
Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertFor
Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Category
Der Parameter Category gibt eine Kategorie für die Warnungsrichtlinie an. Gültige Werte sind:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Sonstige
- PrivacyManagement
- Aufsicht
- ThreatManagement
Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der Kategorie markiert, die durch diesen Parameter angegeben ist. So können Sie Warnungen nachverfolgen und verwalten, die die gleiche Kategorie-Einstellung haben.
Type: | AlertRuleCategory |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Comment
Der „Comment“-Parameter gibt einen optionalen Kommentar an. Wenn Sie einen Wert angeben, der Leerzeichen enthält, setzen Sie den Wert in Anführungszeichen ("), z. B. "This is an admin note".
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Confirm
Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.
- Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen:
-Confirm:$false
. - Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Description
Der Parameter Description gibt eine Beschreibung für die Warnungsrichtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Disabled
Der Parameter Disabled aktiviert oder deaktiviert die Warnungsrichtlinie. Gültige Werte sind:
- $true: Die Warnungsrichtlinie ist deaktiviert.
- $false: Die Warnungsrichtlinie ist aktiviert. Dies ist der Standardwert.
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Filter
Der Parameter Filter verwendet die OPATH-Syntax, um die Ergebnisse nach den angegebenen Eigenschaften und Werten zu filtern. Das Suchkriterium verwendet die Syntax "Property -ComparisonOperator 'Value'"
.
- Schließen Sie den gesamten OPATH-Filter in doppelte Anführungszeichen " ein. Wenn der Filter Systemwerte enthält (z. B.
$true
,$false
oder$null
), verwenden Sie stattdessen einfache Anführungszeichen ''. Obwohl dieser Parameter eine Zeichenfolge ist (kein Systemblock), können Sie auch geschweifte Klammern { } verwenden, jedoch nur, wenn der Filter keine Variablen enthält. - Eigenschaft ist eine filterbare Eigenschaft.
- ComparisonOperator ist ein OPATH-Vergleichsoperator (z. B
-eq
. für gleich und-like
für den Zeichenfolgenvergleich). Weitere Informationen über Vergleichsoperatoren finden Sie unter about_Comparison_Operators. - Wert ist der zu suchende Eigenschaftswert. Fügen Sie Textwerte und Variablen in einfache Anführungszeichen (
'Value'
oder'$Variable'
) ein. Wenn ein Variablenwert einfache Anführungszeichen enthält, müssen Sie die einfachen Anführungszeichen identifizieren (escape), um die Variable korrekt zu erweitern. Sie können z. B.'$($User -Replace "'","''")'
anstelle von'$User'
verwenden. Schließen Sie keine ganzen Zahlen oder Systemwerte in Anführungszeichen ein (verwenden Sie stattdessen beispielsweise500
$true
,$false
oder$null
).
Sie können mehrere Suchkriterien mithilfe des -and
logischen Operators verketten (z. B "Criteria1 -and Criteria2"
. ).
Ausführliche Informationen zu OPATH-Filtern in Exchange finden Sie unter Zusätzliche Informationen zur OPATH-Syntax.
Die filterbaren Eigenschaften sind:
Aktivität
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Schadsoftware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Richtung
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Sprache
- Mail:Empfänger
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Betreff
- Mail:TenantId
- Mail:ThreatName
Mail:ThreatName
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Identity
Der Parameter Identity gibt die zu ändernde Warnungsrichtlinie an. Sie können einen beliebigen Wert verwenden, der die Warnungsrichtlinie eindeutig identifiziert. Beispiel:
- Name
- Distinguished Name (DN)
- GUID
Type: | ComplianceRuleIdParameter |
Position: | 1 |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationCulture
Der Parameter NotificationCulture gibt die Sprache oder das Gebietsschema für Warnungen an.
Gültige Eingabe für diesen Parameter ist ein unterstützter Kulturcodewert aus der Microsoft .NET Framework CultureInfo-Klasse. Beispiel: da-DK für Dänisch oder ja-JP für Japanisch. Weitere Informationen finden Sie unter CultureInfo-Klasse.
Type: | CultureInfo |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUser
Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
Der Parameter NotifyUserOnFilterMatch gibt an, ob eine Warnung für ein einzelnes Ereignis ausgelöst werden soll, wenn die Warnungsrichtlinie für aggregierte Aktivitäten konfiguriert ist. Gültige Werte sind:
- $true: Obwohl die Warnung für aggregierte Aktivität konfiguriert ist, wird eine Benachrichtigung während einer Übereinstimmung für die Aktivität (im Grunde eine frühzeitige Warnung) ausgelöst.
- $false: Warnungen werden entsprechend des angegebenen Aggregationstyps ausgelöst. Dies ist der Standardwert.
Dieser Parameter kann nicht verwendet werden, wenn der Parameterwert AggregationTypeNone ist (Warnungen werden für jedes Vorkommen der Aktivität ausgelöst).
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
Der Parameter NotifyUserSuppressionExpiryDate gibt an, ob Benachrichtigungen für die Warnungsrichtlinie vorübergehend unterbrochen werden. Bis zum angegebenen Datum und der Uhrzeit werden keine Benachrichtigungen für erkannte Aktivitäten gesendet.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie das Datum und die Uhrzeit eingeben, setzen Sie das den Wert in Anführungszeichen ("), z. B. "09.01.2018 17:00".
Type: | DateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
Der Parameter NotifyUserThrottleThreshold gibt die maximale Anzahl an Benachrichtigungen für die Warnungsrichtlinie innerhalb des vom Parameter NotifyUserThrottleWindow angegebenen Zeitraums an. Sobald die maximale Anzahl von Benachrichtigungen im Zeitraum erreicht wurde, werden keine Benachrichtigungen mehr für die Warnung gesendet. Gültige Werte sind:
- Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
- Der Wert $null. Dies ist der Standardwert (keine maximale Anzahl von Benachrichtigungen für eine Warnung).
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
Der Parameter NotifyUserThrottleWindow gibt das Zeitintervall in Minuten an, das vom NotifyUserThrottleThreshold-Parameter verwendet wird. Gültige Werte sind:
- Der SyncSchedule-Parameter gibt ??? an. Gültige Werte für diesen Parameter sind:
- Der Wert $null. Dies ist der Standardwert (kein Intervall für Benachrichtigungseinschränkung).
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Operation
Der Parameter Operation gibt die Aktivitäten an, die von der Warnungsrichtlinie überwacht werden. Eine Liste der verfügbaren Aktivitäten finden Sie auf der Registerkarte Überwachte Aktivitäten unter Überwachte Aktivitäten.
Obwohl dieser Parameter technisch gesehen mehrere durch Kommas getrennte Werte akzeptieren kann, funktionieren mehrere Werte nicht.
Sie können diesen Parameter nur verwenden, wenn der Parameter ThreatType den Wert Activity hat.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Severity
Der Parameter Severity gibt den Schweregrad der Erkennung an. Gültige Werte sind:
- Niedrig (Dies ist der Standardwert)
- Mittel
- Hoch
Type: | RuleSeverity |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Threshold
Der Parameter Threshold gibt die Anzahl der Erkennungen an, die die Warnungsrichtlinie auslösen (innerhalb des durch den TimeWindow-Parameter angegebenen Zeitraums). Ein gültiger Wert ist eine ganze Zahl, die größer als oder gleich 3 ist.
Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-TimeWindow
Der Parameter TimeWindow gibt das durch den Parameter Threshold verwendete Zeitintervall in Minuten an. Ein gültiger Wert ist eine ganze Zahl, die größer als 60 (eine Stunde) ist.
Sie können diesen Parameter nur verwenden, wenn der Parameter AggregationType den Wert SimpleAggregation hat.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-WhatIf
Der WhatIf-Schalter funktioniert in PowerShell für Sicherheitskonformität & nicht.
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |