Condividi tramite


New-ActivityAlert

Questo cmdlet è disponibile solo in PowerShell conformità alla sicurezza & . Per altre informazioni, vedere PowerShell conformità alla sicurezza&.

Usare il cmdlet New-ActivityAlert per creare avvisi attività nel portale di Microsoft 365 Defender o nel Portale di conformità di Microsoft Purview. Gli avvisi attività inviano notifiche tramite posta elettronica quando gli utenti eseguono attività specifiche in Microsoft 365.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Descrizione

Per usare questo cmdlet in Security & Compliance PowerShell, è necessario disporre delle autorizzazioni. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft 365 Defender o Autorizzazioni nel Portale di conformità di Microsoft Purview.

Esempio

Esempio 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

In questo esempio viene creato un nuovo avviso attività denominato Avviso condivisione esterna con le proprietà seguenti:

  • Operazione: sharinginvitationcreated.
  • NotifyUser: chrisda@contoso.com e michelle@contoso.com.
  • UserId: laura@contoso.com e julia@contoso.com.
  • Descrizione: notifica per gli eventi di condivisione esterna da laura@contoso.com e julia@contoso.com.

Parametri

-Category

Il parametro Category consente di specificare una categoria per l'avviso attività. I valori validi sono:

  • Nessuno (questo è il valore predefinito)
  • DataLossPrevention
  • ThreatManagement
  • DataGovernance
  • AccessGovernance
  • Altri
Type:AlertRuleCategory
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Condition

Il parametro Condition consente di specificare le condizioni di filtro per l'aggregazione di eventi.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.

  • I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi: -Confirm:$false.
  • La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Il parametro Description consente di specificare una descrizione facoltativa per l'avviso attività. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Il parametro Disabled consente di specificare se l'avviso attività è abilitato o disabilitato. I valori validi sono:

  • $true: l'avviso attività è disabilitato.
  • $false: l'avviso attività è abilitato. Questo è il valore predefinito.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-EmailCulture

Il parametro EmailCulture consente di specificare la lingua del messaggio di posta elettronica di notifica.

L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Multiplier

Il parametro Multiplier consente di specificare il numero di eventi che attivano un avviso di attività. Il valore di questo parametro indica un moltiplicatore da un valore di baseline.

È possibile utilizzare questo parametro solo quando il valore del parametro Type è AnomalousAggregation.

Type:Double
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Il parametro Name consente di specificare il nome univoco dell'avviso attività. La lunghezza massima è 64 caratteri. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

Il parametro NotifyUser consente di specificare gli indirizzi di posta elettronica dei destinatari delle e-mail di notifica. È possibile specificare indirizzi di posta elettronica interni ed esterni.

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Il parametro Operation consente di specificare l'attività che attiva un avviso di attività.

Un valore valido per questo parametro è un'attività disponibile nel log di controllo di Microsoft 365. Per una descrizione di queste attività, vedere Attività controllate.

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Non è possibile utilizzare questo parametro se il valore del parametro Type è ElevationOfPrivilege.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordType

Il parametro RecordType consente di specificare un'etichetta del tipo di record per l'avviso attività. Per informazioni dettagliate sui valori disponibili, vedere AuditLogRecordType.

Non è possibile utilizzare questo parametro se il valore del parametro Type è ElevationOfPrivilege.

Type:AuditRecordType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ScopeLevel

Il parametro ScopeLevel specifica l'ambito per gli avvisi di attività che usano i valori del parametro Type SimpleAggregation o AnomalousAggregation. I valori validi sono:

  • SingleUser (valore predefinito)
  • Allusers
Type:AlertScopeLevel
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Il parametro Severity consente di specificare un livello di gravità per l'avviso attività. I valori validi sono:

  • Nessuno
  • Basso (questo è il valore predefinito)
  • Medio
  • Alto
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Il parametro Threshold consente di specificare il numero che attivano un avviso attività nell'intervallo di tempo specificato dal parametro TimeWindow. Il valore minimo per questo parametro è 3.

È possibile utilizzare questo parametro solo quando il valore del parametro Type è SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti utilizzato dal parametro Threshold.

È possibile utilizzare questo parametro solo quando il valore del parametro Type è SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Type

Il parametro Type consente di specificare il tipo di avviso. I valori validi sono:

  • Personalizzato: viene creato un avviso per le attività specificate con il parametro Operation. In genere, non è necessario utilizzare questo valore (se non si usa il parametro Type e si specificano le attività con il parametro Operations, il valore Custom verrà aggiunto automaticamente alla proprietà Type).
  • ElevationOfPrivilege: questo valore viene ritirato.
  • SimpleAggregation: viene creato un avviso in base alle attività definite dai parametri Operation e Condition, al numero di attività specificate dal parametro Threshold e al periodo di tempo specificato dal parametro TimeWindow.
  • AnomalousAggregation: viene creato un avviso in base alle attività definite dai parametri Operation e Condition e al numero di attività specificate dal parametro Multiplier.

Nota: non è possibile modificare il valore Type in un avviso attività esistente.

Type:AlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserId

Il parametro UserId consente di specificare l'utente che si desidera monitorare.

  • Se si specifica un indirizzo di posta elettronica di un utente, si riceverà una notifica tramite e-mail quando l'utente esegue l'attività specificata. È possibile indicare più indirizzi di posta elettronica separati da virgole.
  • Se questo parametro è vuoto ($null), si riceverà una notifica tramite e-mail quando un utente dell'organizzazione esegue l'attività specificata.

È possibile utilizzare questo parametro solo quando i valori del parametro Type sono Custom o ElevationOfPrivilege.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

L'opzione WhatIf non funziona in PowerShell per la conformità alla sicurezza & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance