Partager via


New-ProtectionAlert

Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.

Utilisez l’applet de commande New-ProtectionAlert pour créer des stratégies d’alerte dans le portail de conformité Microsoft Purview. Les stratégies d’alerte contiennent des conditions qui définissent les activités de l’utilisateur à surveiller, ainsi que les options de notification pour les alertes par e-mail et les entrées dans le portail de conformité Microsoft Purview.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.

Exemples

Exemple 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

Cet exemple crée une stratégie d’alerte qui déclenche une alerte chaque fois qu’un utilisateur du organization supprime une recherche de contenu dans le portail de conformité Microsoft Purview.

Paramètres

-AggregationType

Le paramètre AggregationType spécifie la façon dont la stratégie d’alerte déclenche des alertes pour plusieurs occurrences de l’activité surveillée. Les valeurs valides sont les suivantes :

  • Aucun : des alertes sont déclenchées pour chaque occurrence de l’activité.
  • SimpleAggregation : les alertes sont déclenchées en fonction du volume d’activité dans une fenêtre de temps donnée (valeurs des paramètres Threshold et TimeWindow). Il s’agit de la valeur par défaut.
  • AnomalieAggregation : les alertes sont déclenchées lorsque le volume d’activité atteint des niveaux inhabituels (qui dépassent considérablement la base de référence normale établie pour l’activité). Notez que l’établissement de la base de référence peut prendre jusqu’à 7 jours. Pendant la période de calcul de la ligne de base, aucune alerte n’est générée pour l’activité.
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

Le paramètre AlertBy spécifie l’étendue des stratégies d’alerte agrégées. Les valeurs valides sont déterminées par la valeur de paramètre ThreatType :

  • Activité : Les valeurs valides sont User ou $null (vide, qui est la valeur par défaut). Si vous n’utilisez pas la valeur User, l’étendue de la stratégie d’alerte est l’ensemble de l’organisation.
  • Programme malveillant : les valeurs valides sont Mail.Recipient ou Mail.ThreatName.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

Ce paramètre est réservé à l’usage interne chez Microsoft.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

Le paramètre Category spécifie une catégorie pour la stratégie d’alerte. Les valeurs valides sont les suivantes :

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Autres
  • ConfidentialitéGérer
  • Surveillance
  • ThreatManagement

Lorsqu’une activité qui répond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie qui est spécifiée par ce paramètre. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

Le paramètre Comment permet d’insérer un commentaire facultatif. Si la valeur que vous saisissez contient des espaces, placez-la entre guillemets ("). Par exemple : "Ceci est une note d’administration".

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Le paramètre Description spécifie un texte descriptif pour la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Le paramètre Disabled active ou désactive la stratégie d’alerte. Les valeurs valides sont les suivantes :

  • $true : la stratégie d’alerte est désactivée.
  • $false : la stratégie d’alerte est activée. Il s’agit de la valeur par défaut.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

Le paramètre Filter utilise la syntaxe OPATH pour filtrer les résultats en fonction des propriétés et valeurs spécifiées. Les critères de recherche utilisent la syntaxe "Property -ComparisonOperator 'Value'".

  • Placez l’ensemble du filtre OPATH entre guillemets doubles « ». Si le filtre contient des valeurs système (par exemple, $true, $falseou $null), utilisez plutôt des guillemets simples « ». Bien que ce paramètre soit une chaîne (et non un bloc système), vous pouvez également utiliser des accolades { }, mais uniquement si le filtre ne contient pas de variables.
  • Property est une propriété filtrable.
  • ComparisonOperator est un opérateur de comparaison OPATH (par exemple -eq pour des valeurs égales et -like pour la comparaison de chaînes). Pour plus d'informations sur les opérateurs de comparaison, reportez-vous à la rubrique about_Comparison_Operators.
  • Value est la valeur de propriété à rechercher. Placez les valeurs de texte et les variables entre guillemets simples ('Value' ou '$Variable'). Si une valeur de variable contient des guillemets simples, vous devez identifier (échappement) les guillemets simples pour développer la variable correctement. Par exemple, au lieu de '$User', utilisez '$($User -Replace "'","''")'. Ne placez pas entre guillemets les entiers ou les valeurs système (par exemple, utilisez 500, $true, $falseou $null à la place).

Vous pouvez chaîner plusieurs critères de recherche à l’aide de l’opérateur logique -and (par exemple, "Criteria1 -and Criteria2").

Pour plus d’informations sur les filtres OPATH dans Exchange, consultez Informations supplémentaires sur la syntaxe OPATH.

Les propriétés filtrables sont les suivantes :

Activité

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Programme malveillant

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Direction
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgspoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Language
  • Mail:Recipient
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Subject
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Le paramètre Name spécifie le nom unique de la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

Le paramètre NotificationCulture spécifie la langue ou les paramètres régionaux qui sont utilisés pour les notifications.

L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo de Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez CultureInfo, classe.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

Le paramètre NotifyUser spécifie l’adresse SMTP de l’utilisateur qui reçoit des messages de notification pour la stratégie d’alerte. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

Le paramètre NotifyUserOnFilterMatch spécifie s’il faut déclencher une alerte pour un événement unique lorsque la stratégie d’alerte est configurée pour une activité agrégée. Les valeurs valides sont les suivantes :

  • $true : même si l’alerte est configurée pour l’activité agrégée, une notification est déclenchée lors d’une correspondance pour l’activité (essentiellement, un avertissement précoce).
  • $false : les alertes sont déclenchées en fonction du type d’agrégation spécifié. Il s’agit de la valeur par défaut.

Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

Le paramètre NotifyUserSuppressionExpiryDate indique s’il faut suspendre temporairement les notifications de la stratégie d’alerte. Aucune notification n’est envoyée pour les activités détectées jusqu’à la date-heure spécifiée.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

Le paramètre NotifyUserThrottleThreshold spécifie le nombre maximal de notifications pour la stratégie d’alerte pendant la période de temps spécifiée par le paramètre NotifyUserThrottleWindow. Une fois que le nombre maximal de notifications est atteint pendant la période de temps, aucune autre notification n’est envoyée pour l’alerte. Les valeurs valides sont les suivantes :

  • Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
  • Valeur $null. Il s’agit de la valeur par défaut (aucun nombre maximal de notifications pour une alerte).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

Le paramètre NotifyUserThrottleWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre NotifyUserThrottleThreshold. Les valeurs valides sont les suivantes :

  • Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
  • Valeur $null. Il s’agit de la valeur par défaut (aucun intervalle pour la limitation de notifications).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Le paramètre Operation spécifie les activités supervisées par la stratégie d’alerte. Pour obtenir la liste des activités disponibles, consultez l’onglet Activités auditées dans Activités auditées.

Bien que ce paramètre soit techniquement capable d’accepter plusieurs valeurs séparées par des virgules, plusieurs valeurs ne fonctionnent pas.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre ThreatType est Activity.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Le paramètre Severity spécifie la gravité de la détection. Les valeurs valides sont les suivantes :

  • Faible (il s’agit de la valeur par défaut)
  • Moyen
  • Élevé
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

Le paramètre ThreatType spécifie le type d’activités supervisées par la stratégie d’alerte. Les valeurs valides sont les suivantes :

  • Activité
  • Programme malveillant

La valeur que vous sélectionnez pour ce paramètre détermine les valeurs que vous pouvez utiliser pour les paramètres AlertBy, Filter et Operation.

Vous ne pouvez pas modifier cette valeur après avoir créé la stratégie d’alerte.

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Le paramètre Threshold spécifie le nombre de détections qui déclenchent la stratégie d’alerte au cours de la période spécifiée par le paramètre TimeWindow. Une valeur valide est un nombre entier qui est supérieur ou égal à 3.

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

Le paramètre TimeWindow spécifie l’intervalle de temps en minutes du nombre de détections spécifié par le paramètre Threshold. Une valeur valide est un nombre entier qui est supérieur à 60 (une heure).

Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance