Set-ProtectionAlert
Este cmdlet solo está disponible en PowerShell de cumplimiento de seguridad & . Para obtener más información, consulte Security & Compliance PowerShell.
Use el cmdlet Set-ProtectionAlert para modificar las directivas de alerta en el portal de cumplimiento Microsoft Purview.
Nota: No puede usar este cmdlet para editar las directivas de alerta predeterminadas. Solo puede modificar las alertas que ha creado mediante el cmdlet New-ProtectionAlert.
Para obtener más información acerca de los conjuntos de parámetros de la sección Sintaxis a continuación, vea Sintaxis del cmdlet de Exchange.
Syntax
Set-ProtectionAlert
[-Identity] <ComplianceRuleIdParameter>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Comment <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUser <MultiValuedProperty>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
Description
Para usar este cmdlet en PowerShell de cumplimiento de seguridad & , debe tener asignados permisos. Para obtener más información vea Permisos en el portal de cumplimiento de Microsoft Purview.
Ejemplos
Ejemplo 1
Set-ProtectionAlert -Identity "Content search deleted" -Severity High
En este ejemplo se establece la gravedad de la detección en Alta para la directiva de alertas especificada.
Ejemplo 2
Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120
En este ejemplo se modifica una alerta para que, aunque esté configurada para la actividad agregada, se desencadene una notificación durante una coincidencia para la actividad. También se configura un umbral de 10 detecciones y una ventana de tiempo de dos horas en el mismo comando.
Parámetros
-AggregationType
El parámetro AggregationType especifica cómo la directiva de alerta desencadena alertas para varias apariciones de la actividad supervisada. Los valores admitidos son:
- Ninguno: se desencadenan alertas para cada aparición de la actividad.
- SimpleAggregation: las alertas se desencadenan en función del volumen de actividad en un período de tiempo determinado (los valores de los parámetros Threshold y TimeWindow). Este es el valor predeterminado.
- AnomalousAggregation: las alertas se desencadenan cuando el volumen de actividad alcanza niveles inusuales (supera en gran medida la línea base normal establecida para la actividad). Tenga en cuenta que Microsoft 365 puede tardar hasta 7 días en establecer la línea base. Durante el período de cálculo de línea base, no se genera ninguna alerta para la actividad.
Type: | AlertAggregationType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertBy
El parámetro AlertBy especifica el ámbito de las directivas de alerta agregadas. Los valores válidos se determinan mediante el valor del parámetro ThreatType:
- Actividad: los valores válidos son User o $null (en blanco, que es el valor predeterminado). Si no usa el valor User, el ámbito de la directiva de alertas es toda la organización.
- Malware: los valores válidos son Mail.Recipient o Mail.ThreatName.
No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertFor
Este parámetro está reservado para uso interno de Microsoft.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Category
El parámetro Category especifica una categoría para la directiva de alertas. Los valores admitidos son:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Otros
- PrivacyManagement
- Supervisión
- ThreatManagement
Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta que se genera se etiqueta con la categoría especificada por este parámetro. Esto permite realizar un seguimiento y administrar las alertas que tienen la misma configuración de categoría
Type: | AlertRuleCategory |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Comment
El parámetro Comment especifica un comentario opcional. Si especifica un valor que contenga espacios, escríbalo entre comillas ("), por ejemplo: "Esto es una nota del administrador".
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Confirm
El modificador Confirm especifica si se debe mostrar u ocultar el mensaje de confirmación. Cómo afecta este modificador el cmdlet depende de si el cmdlet requiere confirmación antes de continuar.
- Los cmdlets destructivos (por ejemplo, cmdlets Remove-*) tienen una pausa integrada que obliga a confirmar el comando antes de continuar. Para estos cmdlets, puede omitir el mensaje de confirmación mediante esta sintaxis exacta:
-Confirm:$false
. - La mayoría de los demás cmdlets (por ejemplo, los cmdlets New-* y Set-*) no tienen una pausa integrada. En estos cmdlets, si se especifica el modificador Confirm sin ningún valor, se introduce una pausa que obliga a confirmar el comando antes de continuar.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Description
El parámetro Description especifica un texto descriptivo para la directiva de alerta. Si el valor contiene espacios, escriba el valor entre comillas (").
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Disabled
El parámetro Disabled habilita o deshabilita la directiva de alerta. Los valores admitidos son:
- $true: la directiva de alertas está deshabilitada.
- $false: la directiva de alertas está habilitada. Este es el valor predeterminado.
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Filter
El parámetro Filter usa la sintaxis de OPATH para filtrar los resultados por las propiedades y valores especificados. Los criterios de búsqueda usan la sintaxis "Property -ComparisonOperator 'Value'"
.
- Incluya todo el filtro de OPATH entre comillas dobles " ". Si el filtro contiene valores del sistema (por ejemplo, ,
$true
$false
o$null
), use comillas simples ' ' en su lugar. Aunque este parámetro es una cadena (no un bloque del sistema), también puede usar llaves { }, pero solo si el filtro no contiene variables. - La propiedad es una propiedad filtrable.
- ComparisonOperator es un operador de comparación de OPATH (por ejemplo
-eq
, para igual y-like
para la comparación de cadenas). Para obtener más información sobre los operadores de comparación, consulte about_Comparison_Operators. - Value es el valor de propiedad que se va a buscar. Incluya valores de texto y variables entre comillas simples (
'Value'
o'$Variable'
). Si un valor de variable contiene comillas simples, debe identificar (escape) las comillas simples para expandir la variable correctamente. Por ejemplo, en lugar de'$User'
, use'$($User -Replace "'","''")'
. No incluya enteros ni valores del sistema entre comillas (por ejemplo, use500
,$true
,$false
o$null
en su lugar).
Puede encadenar varios criterios de búsqueda mediante el -and
operador lógico (por ejemplo, "Criteria1 -and Criteria2"
).
Para obtener información detallada sobre los filtros de OPATH en Exchange, consulte Información adicional de la sintaxis de OPATH.
Las propiedades filtrables son:
Actividad
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Malware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
Mail:ThreatName
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Identity
El parámetro Identity especifica la directiva de alerta que quiere modificar. Puede usar cualquier valor que identifique de forma exclusiva la directiva de alerta. Por ejemplo:
- Nombre
- Nombre completo (DN)
- GUID
Type: | ComplianceRuleIdParameter |
Position: | 1 |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationCulture
El parámetro NotificationCulture especifica el idioma o configuración regional que se usa para las notificaciones.
La entrada válida para este parámetro es un valor de código de referencia cultural compatible de la clase CultureInfo de Microsoft .NET Framework. Por ejemplo, da-DK para danés o ja-JP para japonés. Para obtener más información, vea CultureInfo (clase).
Type: | CultureInfo |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUser
Este parámetro está reservado para uso interno de Microsoft.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
El parámetro NotifyUserOnFilterMatch especifica si se desencadena una alerta para un único evento cuando la directiva de alertas está configurada para la actividad agregada. Los valores admitidos son:
- $true: aunque la alerta está configurada para la actividad agregada, se desencadena una notificación durante una coincidencia para la actividad (básicamente, una advertencia temprana).
- $false: las alertas se desencadenan según el tipo de agregación especificado. Este es el valor predeterminado.
No puede usar este parámetro cuando el valor del parámetro AggregationType es None (se desencadenan alertas para todas las apariciones de la actividad).
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
El parámetro NotifyUserSuppressionExpiryDate especifica si se van a suspender temporalmente las notificaciones de la directiva de alerta. Hasta la fecha y hora especificadas, no se envía ninguna notificación para actividades detectadas.
Use el formato de fecha corta que se define en la opción Configuración regional en el equipo en el que se ejecuta el comando. Por ejemplo, si el equipo está configurado para usar el formato de fecha corta mm/dd/yyyy, escriba 09/01/2018 para especificar el 1 de septiembre de 2018. Puede escribir solo la fecha, o la fecha y la hora del día. Si escribe la fecha y la hora del día, encierre el valor entre comillas ("), por ejemplo, "01/09/2018 5:00 PM".
Type: | DateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
El parámetro NotifyUserThrottleThreshold especifica el número máximo de notificaciones de la directiva de alerta dentro del período de tiempo especificado por el parámetro NotifyUserThrottleWindow. Cuando se alcanza el número máximo de notificaciones en el período de tiempo, no se envían más notificaciones para la alerta. Los valores válidos son:
- El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
- El valor $null. Este es el valor predeterminado (no hay ningún número máximo de notificaciones para una alerta).
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
El parámetro NotifyUserThrottleWindow especifica el intervalo de tiempo en minutos que usa el parámetro NotifyUserThrottleThreshold. Los valores admitidos son:
- El parámetro SyncSchedule especifica ???. Los valores válidos para este parámetro son:
- El valor $null. Es el valor predeterminado (ningún intervalo de límite de notificaciones).
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Operation
El parámetro Operation especifica las actividades que supervisa la directiva de alertas. Para obtener la lista de actividades disponibles, consulte la pestaña Actividades auditadas en Actividades auditadas.
Aunque este parámetro es técnicamente capaz de aceptar varios valores separados por comas, varios valores no funcionan.
Solo puede usar este parámetro cuando el parámetro ThreatType tiene el valor Activity.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Severity
El parámetro Severity especifica la gravedad de la detección. Los valores admitidos son:
- Bajo (este es el valor predeterminado)
- Mediano
- Alto
Type: | RuleSeverity |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Threshold
El parámetro Threshold especifica el número de detecciones que desencadenan la directiva de alertas (dentro del período de tiempo especificado por el parámetro TimeWindow). Un valor válido es un entero que es mayor o igual que 3.
Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-TimeWindow
El parámetro TimeWindow especifica el intervalo de tiempo en minutos del número de detecciones especificado por el parámetro Threshold. Un valor válido es un entero que es mayor que 60 (una hora).
Solo puede usar este parámetro cuando el valor del parámetro AggregationType es SimpleAggregation.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-WhatIf
El modificador WhatIf no funciona en PowerShell de cumplimiento de seguridad & .
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |