Compartir a través de


New-ProtectionAlert

Este cmdlet solo está disponible en PowerShell de cumplimiento de seguridad & . Para obtener más información, consulte Security & Compliance PowerShell.

Use el cmdlet New-ProtectionAlert para crear directivas de alerta en el portal de cumplimiento Microsoft Purview. Las directivas de alerta contienen condiciones que definen las actividades de usuario que se van a supervisar y las opciones de notificación para las alertas y entradas de correo electrónico en el portal de cumplimiento Microsoft Purview.

Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.

Syntax

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para usar este cmdlet en PowerShell de cumplimiento de seguridad & , debe tener asignados permisos. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.

Ejemplos

Ejemplo 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

En este ejemplo se crea una directiva de alerta que desencadena una alerta cada vez que alguien de la organización elimina una búsqueda de contenido en el portal de cumplimiento Microsoft Purview.

Parámetros

-AggregationType

El parámetro AggregationType especifica cómo la directiva de alerta desencadena alertas para varias apariciones de la actividad supervisada. Los valores admitidos son:

  • Ninguno: se desencadenan alertas para cada aparición de la actividad.
  • SimpleAggregation: las alertas se desencadenan en función del volumen de actividad en un período de tiempo determinado (los valores de los parámetros Threshold y TimeWindow). Este es el valor predeterminado.
  • AnomalousAggregation: las alertas se desencadenan cuando el volumen de actividad alcanza niveles inusuales (supera en gran medida la línea base normal establecida para la actividad). Tenga en cuenta que Microsoft 365 puede tardar hasta 7 días en establecer la línea base. Durante el período de cálculo de línea base, no se genera ninguna alerta para la actividad.
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

El parámetro AlertBy especifica el ámbito de las directivas de alerta agregadas. Los valores válidos se determinan mediante el valor del parámetro ThreatType:

  • Actividad: los valores válidos son User o $null (en blanco, que es el valor predeterminado). Si no usa el valor User, el ámbito de la directiva de alertas es toda la organización.
  • Malware: los valores válidos son Mail.Recipient o Mail.ThreatName.

No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

Este parámetro está reservado para uso interno de Microsoft.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

El parámetro Category especifica una categoría para la directiva de alertas. Los valores admitidos son:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Otros
  • PrivacyManagement
  • Supervisión
  • ThreatManagement

Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta que se genera se etiqueta con la categoría especificada por este parámetro. Esto permite realizar un seguimiento y administrar las alertas que tienen la misma configuración de categoría

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

El parámetro Comment especifica un comentario opcional. Si especifica un valor que contenga espacios, escríbalo entre comillas ("), por ejemplo: "Esto es una nota del administrador".

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.

  • Los cmdlets destructivos (por ejemplo, cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta: -Confirm:$false.
  • La mayoría de los demás cmdlets (por ejemplo, los cmdlets New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

El parámetro Description especifica un texto descriptivo para la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

El parámetro Disabled habilita o deshabilita la directiva de alerta. Los valores admitidos son:

  • $true: la directiva de alertas está deshabilitada.
  • $false: la directiva de alertas está habilitada. Este es el valor predeterminado.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

El parámetro Filter usa la sintaxis de OPATH para filtrar los resultados por las propiedades y valores especificados. Los criterios de búsqueda usan la sintaxis "Property -ComparisonOperator 'Value'".

  • Incluya todo el filtro de OPATH entre comillas dobles " ". Si el filtro contiene valores del sistema (por ejemplo, , $true$falseo $null), use comillas simples ' ' en su lugar. Aunque este parámetro es una cadena (no un bloque del sistema), también puede usar llaves { }, pero solo si el filtro no contiene variables.
  • La propiedad es una propiedad filtrable.
  • ComparisonOperator es un operador de comparación de OPATH (por ejemplo -eq , para igual y -like para la comparación de cadenas). Para obtener más información sobre los operadores de comparación, consulte about_Comparison_Operators.
  • Value es el valor de propiedad que se va a buscar. Incluya valores de texto y variables entre comillas simples ('Value' o '$Variable'). Si un valor de variable contiene comillas simples, debe identificar (escape) las comillas simples para expandir la variable correctamente. Por ejemplo, en lugar de '$User', use '$($User -Replace "'","''")'. No incluya enteros ni valores del sistema entre comillas (por ejemplo, use 500, $true, $falseo $null en su lugar).

Puede encadenar varios criterios de búsqueda mediante el operador lógico -and (por ejemplo, "Criteria1 -and Criteria2").

Para obtener información detallada sobre los filtros de OPATH en Exchange, consulte Información adicional de la sintaxis de OPATH.

Las propiedades filtrables son:

Actividad

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Malware

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Direction
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Language
  • Mail:Recipient
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Subject
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

El parámetro Name especifica el nombre único de la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

El parámetro NotificationCulture especifica el idioma o configuración regional que se usa para las notificaciones.

La entrada válida para este parámetro es un valor de código de referencia cultural compatible de la clase CultureInfo de Microsoft .NET Framework. Por ejemplo, da-DK para danés o ja-JP para japonés. Para obtener más información, vea CultureInfo (clase).

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

El parámetro NotifyUser especifica la dirección SMTP del usuario que recibe los mensajes de notificación de la directiva de alerta. Puede especificar distintos valores separados por comas.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

El parámetro NotifyUserOnFilterMatch especifica si se desencadena una alerta para un único evento cuando la directiva de alertas está configurada para la actividad agregada. Los valores admitidos son:

  • $true: aunque la alerta está configurada para la actividad agregada, se desencadena una notificación durante una coincidencia para la actividad (básicamente, una advertencia temprana).
  • $false: las alertas se desencadenan según el tipo de agregación especificado. Este es el valor predeterminado.

No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

El parámetro NotifyUserSuppressionExpiryDate especifica si se van a suspender temporalmente las notificaciones de la directiva de alerta. Hasta la fecha y hora especificadas, no se envía ninguna notificación para actividades detectadas.

Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

El parámetro NotifyUserThrottleThreshold especifica el número máximo de notificaciones de la directiva de alerta dentro del período de tiempo especificado por el parámetro NotifyUserThrottleWindow. Cuando se alcanza el número máximo de notificaciones en el período de tiempo, no se envían más notificaciones para la alerta. Los valores válidos son:

  • El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
  • El valor $null. Este es el valor predeterminado (no hay ningún número máximo de notificaciones para una alerta).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

El parámetro NotifyUserThrottleWindow especifica el intervalo de tiempo en minutos que usa el parámetro NotifyUserThrottleThreshold. Los valores admitidos son:

  • El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
  • El valor $null. Es el valor predeterminado (ningún intervalo de límite de notificaciones).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

El parámetro Operation especifica las actividades que supervisa la directiva de alertas. Para obtener la lista de actividades disponibles, consulte la pestaña Actividades auditadas en Actividades auditadas.

Aunque este parámetro es técnicamente capaz de aceptar varios valores separados por comas, varios valores no funcionan.

Solo puede usar este parámetro cuando el parámetro ThreatType tiene el valor Activity.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

El parámetro Severity especifica la gravedad de la detección. Los valores admitidos son:

  • Bajo (este es el valor predeterminado)
  • Mediano
  • Alto
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

El parámetro ThreatType especifica el tipo de actividades que supervisa la directiva de alerta. Los valores admitidos son:

  • Actividad
  • Malware

El valor que seleccione para este parámetro determina los valores que puede usar para los parámetros AlertBy, Filter y Operation.

No se puede cambiar este valor después de crear la directiva de alerta.

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

El parámetro Threshold especifica el número de detecciones que desencadenan la directiva de alertas dentro del período de tiempo especificado por el parámetro TimeWindow. Un valor válido es un entero que es mayor o igual que 3.

Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

El parámetro TimeWindow especifica el intervalo de tiempo en minutos del número de detecciones especificado por el parámetro Threshold. Un valor válido es un entero que es mayor que 60 (una hora).

Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

El modificador WhatIf no funciona en PowerShell de cumplimiento de seguridad & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance