Condividi tramite


New-ProtectionAlert

Questo cmdlet è disponibile solo in PowerShell conformità alla sicurezza & . Per altre informazioni, vedere PowerShell conformità alla sicurezza&.

Usare il cmdlet New-ProtectionAlert per creare criteri di avviso nel Portale di conformità di Microsoft Purview. I criteri di avviso contengono condizioni che definiscono le attività utente da monitorare e le opzioni di notifica per gli avvisi e le voci di posta elettronica nel Portale di conformità di Microsoft Purview.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Descrizione

Per usare questo cmdlet in Security & Compliance PowerShell, è necessario disporre delle autorizzazioni. Per ulteriori informazioni, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.

Esempio

Esempio 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

Questo esempio crea un criterio di avviso che attiva un avviso ogni volta che un utente dell'organizzazione elimina una ricerca contenuto nel Portale di conformità di Microsoft Purview.

Parametri

-AggregationType

Il parametro AggregationType specifica il modo in cui il criterio di avviso attiva gli avvisi in caso di più occorrenze di un'attività monitorata. I valori validi sono:

  • Nessuno: vengono attivati avvisi per ogni occorrenza dell'attività.
  • SimpleAggregation: gli avvisi vengono attivati in base al volume di attività in un determinato intervallo di tempo (i valori dei parametri Threshold e TimeWindow). Questo è il valore predefinito.
  • AnomalousAggregation: gli avvisi vengono attivati quando il volume di attività raggiunge livelli insoliti (supera notevolmente la linea di base normale stabilita per l'attività). Si noti che possono essere necessari fino a 7 giorni prima che Microsoft 365 stabilisca la baseline. Durante il periodo di calcolo della baseline, non viene generato alcun avviso per l'attività.
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

Il parametro AlertBy consente di specificare l'ambito per i criteri di avviso aggregati. I valori validi sono determinati dal valore dal parametro ThreatType:

  • Attività: i valori validi sono User o $null (vuoto, ovvero il valore predefinito). Se non si usa il valore User, l'ambito del criterio di avviso si riferisce all'intera organizzazione.
  • Malware: i valori validi sono Mail.Recipient o Mail.ThreatName.

Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

Questo parametro è riservato all'uso interno da parte di Microsoft.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

Il parametro Category consente di specificare una categoria per i criteri di avviso. I valori validi sono:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • Mailflow
  • Altri
  • PrivacyManagement
  • Supervisione
  • ThreatManagement

Quando si verifica un'attività che soddisfa le condizioni del criterio di avviso, l'avviso generato è contrassegnato con la categoria specificata da questo parametro. In questo modo è possibile controllare e gestire gli avvisi che hanno la stessa impostazione di categoria

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

Il parametro Comment consente di specificare un commento facoltativo. Se si specifica un valore che contiene degli spazi, è necessario racchiuderlo tra virgolette ("); ad esempio: "Questa è una nota per amministratori".

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.

  • I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi: -Confirm:$false.
  • La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Il parametro Description consente di specificare una descrizione per il criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Il parametro Disabled consente di attivare o disattivare il criterio di avviso. I valori validi sono:

  • $true: i criteri di avviso sono disabilitati.
  • $false: i criteri di avviso sono abilitati. Questo è il valore predefinito.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

Il parametro Filter usa la sintassi OPATH per filtrare i risultati in base alle proprietà e ai valori specificati. I criteri di ricerca usano la sintassi "Property -ComparisonOperator 'Value'".

  • Racchiudere l'intero filtro OPATH tra virgolette doppie " ". Se il filtro contiene valori di sistema (ad esempio, $true, $falseo $null), usare le virgolette singole ''. Sebbene questo parametro sia una stringa (non un blocco di sistema), è anche possibile usare le parentesi graffe { }, ma solo se il filtro non contiene variabili.
  • La proprietà è una proprietà filtrabile.
  • ComparisonOperator è un operatore di confronto OPATH, ad esempio -eq per equals e -like per il confronto di stringhe. Per ulteriori informazioni sugli operatori di confronto, vedere about_Comparison_Operators.
  • Il valore è il valore della proprietà da cercare. Racchiudere valori di testo e variabili tra virgolette singole ('Value' o '$Variable'). Se un valore variabile contiene virgolette singole, è necessario identificare (escape) le virgolette singole per espandere correttamente la variabile. Ad esempio, invece di '$User', usare '$($User -Replace "'","''")'. Non racchiudere valori interi o di sistema tra virgolette, ad esempio usare 500, $true, $falseo $null .

È possibile concatenare più criteri di ricerca usando l'operatore logico -and , "Criteria1 -and Criteria2"ad esempio .

Per informazioni dettagliate sui filtri OPATH in Exchange, vedere Informazioni aggiuntive sulla sintassi OPATH.

Le proprietà filtrabili sono:

Attività

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Malware

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Posta:Direzione
  • Posta elettronica:Da
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Posta elettronica:Lingua
  • Posta elettronica:Destinatario
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Posta:Oggetto
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Il parametro Name specifica il nome univoco del criterio di avviso. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

Il parametro NotificationCulture consente di specificare la lingua o le impostazioni internazionali da utilizzare per le notifiche.

L'input valido per questo parametro è un valore di codice delle impostazioni cultura supportato dalla classe CultureInfo di Microsoft .NET Framework. Ad esempio, da-DK per il danese o ja-JP per il giapponese. Per altre informazioni, vedere Classe CultureInfo.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

Il parametro NotifyUser consente di specificare l'indirizzo SMTP dell'utente che riceve i messaggi di notifica relativi al criterio di avviso. È possibile specificare più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

Il parametro NotifyUserOnFilterMatch specifica se attivare un avviso per un singolo evento quando i criteri di avviso sono configurati per l'attività aggregata. I valori validi sono:

  • $true: anche se l'avviso è configurato per l'attività aggregata, viene attivata una notifica durante una corrispondenza per l'attività (in pratica, un avviso anticipato).
  • $false: gli avvisi vengono attivati in base al tipo di aggregazione specificato. Questo è il valore predefinito.

Non è possibile utilizzare questo parametro quando il valore del parametro AggregationType è None (gli avvisi vengono attivati per ogni occorrenza dell'attività).

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

Il parametro NotifyUserSuppressionExpiryDate consente di specificare se sospendere temporaneamente le notifiche del criterio di avviso. Fino all'ora-data specificata, non vengono inviate notifiche per le attività rilevate.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. In quest'ultimo caso, racchiudere il valore tra virgolette ("), ad esempio, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

Il parametro NotifyUserThrottleThreshold consente di specificare il numero massimo di notifiche del criterio di avviso nel periodo di tempo specificato dal parametro NotifyUserThrottleWindow. Una volta raggiunto il numero massimo di notifiche nel periodo di tempo, non vengono inviate altre notifiche per l'avviso. I valori validi sono:

  • Un numero intero.
  • Il valore $null. Questo è il valore predefinito (nessun numero massimo di notifiche per un avviso).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

Il parametro NotifyUserThrottleWindow specifica l'intervallo di tempo in minuti usato dal parametro NotifyUserThrottleThreshold. I valori validi sono:

  • Un numero intero.
  • Il valore $null. Questo è il valore predefinito (nessun intervallo per la limitazione delle richieste di notifica).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Il parametro Operation consente di specificare le attività monitorate dai criteri di avviso. Per l'elenco delle attività disponibili, vedere la scheda Attività controllate in Attività controllate.

Sebbene questo parametro sia tecnicamente in grado di accettare più valori separati da virgole, più valori non funzionano.

È possibile utilizzare questo parametro solo quando il valore del parametro ThreatType è Activity.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Il parametro Severity consente di specificare la gravità del rilevamento. I valori validi sono:

  • Basso (questo è il valore predefinito)
  • Medio
  • Alto
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

Il parametro ThreatType specifica il tipo di attività che vengono monitorate dal criterio di avviso. I valori validi sono:

  • Attività
  • Malware

Il valore selezionato per questo parametro determina i valori che è possibile utilizzare per i parametri AlertBy, Filter, e Operation.

Non è possibile modificare questo valore dopo aver creato il criterio di avviso.

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Il parametro Threshold consente di specificare il numero di rilevamenti che attivano i criteri di avviso entro il periodo di tempo specificato dal parametro TimeWindow. Un valore valido è un numero intero maggiore o uguale a 3.

È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

Il parametro TimeWindow consente di specificare l'intervallo di tempo in minuti per un numero di rilevamenti specificato dal parametro Threshold. Un valore valido è un numero intero maggiore di 60 (un'ora).

È possibile utilizzare questo parametro solo quando il valore del parametro AggregationType è SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

L'opzione WhatIf non funziona in PowerShell per la conformità alla sicurezza & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance