New-ActivityAlert
Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.
Utilisez l’applet de commande New-ActivityAlert pour créer des alertes d’activité dans le portail Microsoft 365 Defender ou le portail de conformité Microsoft Purview. Les alertes d’activité vous envoient des notifications par e-mail lorsque les utilisateurs effectuent des activités spécifiques dans Microsoft 365.
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntax
New-ActivityAlert
-Multiplier <Double>
-Name <String>
-NotifyUser <MultiValuedProperty>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Threshold <Int32>
-TimeWindow <Int32>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Operation <MultiValuedProperty>
[-Type <AlertType>]
[-Category <AlertRuleCategory>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] Description
Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou Autorisations dans le portail de conformité Microsoft Purview.
Exemples
Exemple 1
New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"L’exemple suivant crée une alerte d’activité nommée Alerte de partage externe qui contient les propriétés suivantes :
- Opération : sharinginvitationcreated.
- NotifyUser : chrisda@contoso.com et michelle@contoso.com.
- UserId : laura@contoso.com et julia@contoso.com.
- Description : notification pour les événements de partage externe par laura@contoso.com et julia@contoso.com.
Paramètres
-Category
Le paramètre Category spécifie une catégorie pour l’alerte d’activité. Les valeurs valides sont les suivantes :
- None (il s’agit de la valeur par défaut)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Autres
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Le paramètre Condition spécifie les conditions de filtre pour l’agrégation d’événements.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.
- Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte :
-Confirm:$false. - La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Le paramètre Description permet de fournir une description de l’alerte d’activité (facultatif). Si la valeur contient des espaces, placez-la entre guillemets (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Le paramètre Disabled indique si l’alerte d’activité est activée ou désactivée. Les valeurs valides sont les suivantes :
- $true : l’alerte d’activité est désactivée.
- $false : l’alerte d’activité est activée. Il s’agit de la valeur par défaut.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
Le paramètre EmailCulture spécifie la langue du message de notification.
L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez CultureInfo, classe.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Le paramètre Multiplier spécifie le nombre d’événements qui déclenchent une alerte d’activité. La valeur de ce paramètre indique un multiplicateur à partir d’une valeur de référence.
Vous pouvez utiliser ce paramètre uniquement si la valeur du paramètre Type est AnomalousAggregation.
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Le paramètre Name spécifie le nom unique de l’alerte d’activité. La longueur maximale est de 64 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
Le paramètre NotifyUser spécifie les adresses électroniques pour les messages de notification. Vous pouvez indiquer des adresses électroniques internes et externes.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Le paramètre Operation spécifie l’activité qui déclenche une alerte d’activité.
Une valeur valide pour ce paramètre est une activité disponible dans le journal d’audit Microsoft 365. Pour obtenir une description de ces activités, consultez Activités auditées.
Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".
Vous ne pouvez pas utiliser ce paramètre si la valeur du paramètre Type est ElevationOfPrivilege.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
Le paramètre RecordType indique le nom du type d’enregistrement de l’alerte d’activité. Pour plus d’informations sur les valeurs disponibles, consultez AuditLogRecordType.
Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre Type est ElevationOfPrivilege.
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
Le paramètre ScopeLevel spécifie l’étendue des alertes d’activité qui utilisent les valeurs de paramètre Type SimpleAggregation ou AnomalousAggregation. Les valeurs valides sont les suivantes :
- SingleUser (il s’agit de la valeur par défaut)
- AllUsers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Le paramètre Severity spécifie un niveau de gravité pour l’alerte d’activité. Les valeurs valides sont les suivantes :
- Aucun
- Faible (il s’agit de la valeur par défaut)
- Moyen
- Élevé
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Le paramètre Threshold spécifie le nombre d’événements qui déclenchent une alerte d’activité dans l’intervalle de temps spécifié par le paramètre TimeWindow. La valeur minimale de ce paramètre est 3.
Vous pouvez utiliser ce paramètre uniquement si la valeur du paramètre Type est SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
Le paramètre TimeWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre Threshold.
Vous pouvez utiliser ce paramètre uniquement si la valeur du paramètre Type est SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Type
Le paramètre Type spécifie le type d’alerte. Les valeurs valides sont les suivantes :
- Personnalisé : une alerte est créée pour les activités que vous spécifiez avec le paramètre Operation. En règle générale, vous n’avez pas besoin d’utiliser cette valeur (si vous n’utilisez pas le paramètre Type et que vous spécifiez les activités avec le paramètre Operations, la valeur Custom est automatiquement ajoutée à la propriété Type).
- ElevationOfPrivilege : cette valeur est en cours de mise hors service.
- SimpleAggregation : une alerte est créée en fonction des activités définies par les paramètres Operation et Condition, du nombre d’activités spécifiées par le paramètre Threshold et de la période spécifiée par le paramètre TimeWindow.
- AnomalousAggregation : une alerte est créée en fonction des activités définies par les paramètres Operation et Condition, et du nombre d’activités spécifiées par le paramètre Multiplicateur.
Remarque : Vous ne pouvez pas modifier la valeur Type dans une alerte d’activité existante.
| Type: | AlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
Le paramètre UserId spécifie qui vous voulez analyser.
- Si vous spécifiez l’adresse e-mail d’un utilisateur, vous recevrez une notification par courrier électronique lorsque l’utilisateur exécute l’activité spécifiée. Vous pouvez spécifier plusieurs adresses e-mail séparées par des virgules.
- Si ce paramètre est vide ($null), vous recevrez une notification par courrier électronique lorsqu’un utilisateur de votre organisation effectue l’activité spécifiée.
Vous pouvez utiliser ce paramètre uniquement si les valeurs du paramètre Type sont Custom ou ElevationOfPrivilege.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |