Set-ProtectionAlert
Cette cmdlet est disponible uniquement dans le Centre de conformité et sécurité PowerShell. Si vous souhaitez en savoir plus, veuillez consulter l’article Centre de conformité et sécurité PowerShell.
Utilisez l’applet de commande Set-ProtectionAlert pour modifier les stratégies d’alerte dans le portail de conformité Microsoft Purview.
Remarque : Vous ne pouvez pas utiliser cette applet de commande pour modifier les stratégies d’alerte par défaut. Vous pouvez uniquement modifier les alertes que vous avez créées à l’aide de l’applet de commande New-ProtectionAlert.
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntaxe
Set-ProtectionAlert
[-Identity] <ComplianceRuleIdParameter>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Comment <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUser <MultiValuedProperty>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Description
Pour pouvoir utiliser cette cmdlet dans le Centre de sécurité et de conformité PowerShell, des autorisations doivent vous être attribuées. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.
Exemples
Exemple 1
Set-ProtectionAlert -Identity "Content search deleted" -Severity HighCet exemple montre comment définir la gravité de la détection sur Élevée pour la stratégie d’alerte spécifiée.
Exemple 2
Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120Cet exemple montre comment modifier une alerte de sorte que même si elle est configurée pour l’activité agrégée, une notification est déclenchée pendant une correspondance pour l’activité. Un seuil de 10 détections et un TimeWindow de deux heures sont également configurés dans la même commande.
Paramètres
-AggregationType
Le paramètre AggregationType spécifie la façon dont la stratégie d’alerte déclenche des alertes pour plusieurs occurrences de l’activité surveillée. Les valeurs valides sont les suivantes :
- Aucun : des alertes sont déclenchées pour chaque occurrence de l’activité.
- SimpleAggregation : les alertes sont déclenchées en fonction du volume d’activité dans une fenêtre de temps donnée (les valeurs des paramètres Threshold et TimeWindow). Il s’agit de la valeur par défaut.
- AnomalieAggregation : les alertes sont déclenchées lorsque le volume d’activité atteint des niveaux inhabituels (qui dépassent considérablement la base de référence normale établie pour l’activité). Notez que l’établissement de la base de référence peut prendre jusqu’à 7 jours. Pendant la période de calcul de la ligne de base, aucune alerte n’est générée pour l’activité.
| Type: | AlertAggregationType |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-AlertBy
Le paramètre AlertBy spécifie l’étendue des stratégies d’alerte agrégées. Les valeurs valides sont déterminées par la valeur de paramètre ThreatType :
- Activité : Les valeurs valides sont User ou $null (vide, qui est la valeur par défaut). Si vous n’utilisez pas la valeur User, l’étendue de la stratégie d’alerte est l’ensemble de l’organisation.
- Programme malveillant : les valeurs valides sont Mail.Recipient ou Mail.ThreatName.
Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).
Remarque : Ce paramètre est requis pour afficher les entités dans les alertes. Sans elle, les alertes se déclenchent sans afficher les entités. Nous vous recommandons vivement de spécifier une valeur pour ce paramètre.
| Type: | MultiValuedProperty |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-AlertFor
Ce paramètre est réservé à l’usage interne chez Microsoft.
| Type: | MultiValuedProperty |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Category
Le paramètre Category spécifie une catégorie pour la stratégie d’alerte. Les valeurs valides sont les suivantes :
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Autres
- ConfidentialitéGérer
- Surveillance
- ThreatManagement
Lorsqu’une activité qui répond aux conditions de la stratégie d’alerte se produit, l’alerte générée est marquée avec la catégorie qui est spécifiée par ce paramètre. Cela vous permet de suivre et de gérer les alertes qui ont le même paramètre de catégorie
| Type: | AlertRuleCategory |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Comment
Le paramètre Comment permet d’insérer un commentaire facultatif. Si la valeur que vous saisissez contient des espaces, placez-la entre guillemets ("). Par exemple : "Ceci est une note d’administration".
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Confirm
Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.
- Les applets de commande destructrices (par exemple, les applets de commande Remove-*) comportent une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte :
-Confirm:$false. - La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n'ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
| Type: | SwitchParameter |
| Alias: | cf |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Description
Le paramètre Description spécifie un texte descriptif pour la stratégie d’alerte. Si la valeur contient des espaces, placez-la entre guillemets (").
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Disabled
Le paramètre Disabled active ou désactive la stratégie d’alerte. Les valeurs valides sont les suivantes :
- $true : la stratégie d’alerte est désactivée.
- $false : la stratégie d’alerte est activée. Il s’agit de la valeur par défaut.
| Type: | Boolean |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Filter
Le paramètre Filter utilise la syntaxe OPATH pour filtrer les résultats en fonction des propriétés et valeurs spécifiées. Les critères de recherche utilisent la syntaxe "Property -ComparisonOperator 'Value'".
- Placez l’ensemble du filtre OPATH entre guillemets doubles « ». Si le filtre contient des valeurs système (par exemple,
$true,$falseou$null), utilisez plutôt des guillemets simples « ». Bien que ce paramètre soit une chaîne (et non un bloc système), vous pouvez également utiliser des accolades { }, mais uniquement si le filtre ne contient pas de variables. - Property est une propriété filtrable.
- ComparisonOperator est un opérateur de comparaison OPATH (par exemple
-eq, pour des valeurs égales et-likepour la comparaison de chaînes). Pour plus d'informations sur les opérateurs de comparaison, reportez-vous à la rubrique about_Comparison_Operators. - Value est la valeur de propriété à rechercher. Placez les valeurs de texte et les variables entre guillemets simples (
'Value'ou'$Variable'). Si une valeur de variable contient des guillemets simples, vous devez identifier (échappement) les guillemets simples pour développer la variable correctement. Par exemple, au lieu de'$User', utilisez'$($User -Replace "'","''")'. Ne placez pas entre guillemets les entiers ou les valeurs système (par exemple, utilisez500,$true,$falseou$nullà la place).
Vous pouvez chaîner plusieurs critères de recherche à l’aide de l’opérateur -and logique (par exemple, "Criteria1 -and Criteria2").
Pour plus d’informations sur les filtres OPATH dans Exchange, consultez Informations supplémentaires sur la syntaxe OPATH.
Les propriétés filtrables sont les suivantes :
Activité
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Programme malveillant
- Mail :AttachmentExtensions
- Mail :AttachmentNames
- Mail :CreationTime
- Mail :DeliveryStatus
- Mail :Direction
- Mail :From
- Mail :FromDomain
- Mail :InternetMessageId
- Mail :IsIntraOrgspoof
- Mail :IsMalware
- Mail :IsSpam
- Mail :IsThreat
- Mail :Language
- Mail :Recipient
- Mail :Scl
- Mail :SenderCountry
- Mail :SenderIpAddress
- Mail :Subject
- Mail :TenantId
- Mail :ThreatName
Mail:ThreatName
| Type: | String |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Identity
Le paramètre Identity permet de définir la stratégie d’alerte à modifier. Vous pouvez utiliser n’importe quelle valeur qui permet d’identifier la stratégie d’alerte de manière unique. Par exemple :
- Nom
- Nom unique (DN)
- GUID
| Type: | ComplianceRuleIdParameter |
| Position: | 1 |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | True |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotificationCulture
Le paramètre NotificationCulture spécifie la langue ou les paramètres régionaux qui sont utilisés pour les notifications.
L’entrée valide pour ce paramètre est une valeur de code de culture prise en charge à partir de la classe CultureInfo de Microsoft .NET Framework. Par exemple, da-DK pour le danois ou ja-JP pour le japonais. Pour plus d’informations, consultez Classe CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotifyUser
Ce paramètre est réservé à l’usage interne chez Microsoft.
| Type: | MultiValuedProperty |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotifyUserOnFilterMatch
Le paramètre NotifyUserOnFilterMatch spécifie s’il faut déclencher une alerte pour un événement unique lorsque la stratégie d’alerte est configurée pour une activité agrégée. Les valeurs valides sont les suivantes :
- $true : même si l’alerte est configurée pour l’activité agrégée, une notification est déclenchée lors d’une correspondance pour l’activité (essentiellement, un avertissement précoce).
- $false : les alertes sont déclenchées en fonction du type d’agrégation spécifié. Il s’agit de la valeur par défaut.
Vous ne pouvez pas utiliser ce paramètre lorsque la valeur du paramètre AggregationType est None (les alertes sont déclenchées pour toutes les occurrences de l’activité).
| Type: | Boolean |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
Le paramètre NotifyUserSuppressionExpiryDate indique s’il faut suspendre temporairement les notifications de la stratégie d’alerte. Aucune notification n’est envoyée pour les activités détectées jusqu’à la date-heure spécifiée.
Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte MM/jj/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure de la journée, placez la valeur entre guillemets ("), par exemple, "01/09/2018 17:00".
| Type: | DateTime |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotifyUserThrottleThreshold
Le paramètre NotifyUserThrottleThreshold spécifie le nombre maximal de notifications pour la stratégie d’alerte pendant la période de temps spécifiée par le paramètre NotifyUserThrottleWindow. Une fois que le nombre maximal de notifications est atteint pendant la période de temps, aucune autre notification n’est envoyée pour l’alerte. Les valeurs valides sont les suivantes :
- Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
- Valeur $null. Il s’agit de la valeur par défaut (aucun nombre maximal de notifications pour une alerte).
| Type: | Int32 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-NotifyUserThrottleWindow
Le paramètre NotifyUserThrottleWindow spécifie l’intervalle de temps en minutes utilisé par le paramètre NotifyUserThrottleThreshold. Les valeurs valides sont les suivantes :
- Le paramètre SyncSchedule indique ???. Les valeurs valides pour ce paramètre sont les suivantes :
- Valeur $null. Il s’agit de la valeur par défaut (aucun intervalle pour la limitation de notifications).
| Type: | Int32 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Operation
Le paramètre Operation spécifie les activités supervisées par la stratégie d’alerte. Pour obtenir la liste des activités disponibles, consultez l’onglet Activités auditées dans Activités auditées.
Bien que ce paramètre soit techniquement capable d’accepter plusieurs valeurs séparées par des virgules, plusieurs valeurs ne fonctionnent pas.
Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre ThreatType est Activity.
| Type: | MultiValuedProperty |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Severity
Le paramètre Severity spécifie la gravité de la détection. Les valeurs valides sont les suivantes :
- Faible (il s’agit de la valeur par défaut)
- Moyen
- Élevé
| Type: | RuleSeverity |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-Threshold
Le paramètre Threshold spécifie le nombre de détections qui déclenchent la stratégie d’alerte (dans la période spécifiée par le paramètre TimeWindow). Une valeur valide est un nombre entier qui est supérieur ou égal à 3.
Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-TimeWindow
Le paramètre TimeWindow spécifie l’intervalle de temps en minutes du nombre de détections spécifié par le paramètre Threshold. Une valeur valide est un nombre entier qui est supérieur à 60 (une heure).
Vous pouvez utiliser ce paramètre uniquement lorsque la valeur du paramètre AggregationType est SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |
-WhatIf
Le commutateur WhatIf ne fonctionne pas dans le Centre de sécurité et de conformité PowerShell.
| Type: | SwitchParameter |
| Alias: | wi |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
| S’applique à: | Security & Compliance |