New-ActivityAlert
このコマンドレットは、セキュリティ & コンプライアンス PowerShell でのみ使用できます。 詳細については、「 セキュリティ & コンプライアンス PowerShell」を参照してください。
New-ActivityAlert コマンドレットを使用して、Microsoft 365 Defender ポータルまたはMicrosoft Purview コンプライアンス ポータルでアクティビティ アラートを作成します。 ユーザーがMicrosoft 365 で特定のアクティビティを実行すると、アクティビティ アラートから電子メール通知が送信されます。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
構文
New-ActivityAlert
-Multiplier <Double>
-Name <String>
-NotifyUser <MultiValuedProperty>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Threshold <Int32>
-TimeWindow <Int32>
-Type <AlertType>
[-Operation <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Condition <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-ScopeLevel <AlertScopeLevel>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] New-ActivityAlert
-Name <String>
-NotifyUser <MultiValuedProperty>
-Operation <MultiValuedProperty>
[-Type <AlertType>]
[-Category <AlertRuleCategory>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-EmailCulture <CultureInfo>]
[-RecordType <AuditRecordType>]
[-Severity <RuleSeverity>]
[-UserId <MultiValuedProperty>]
[-WhatIf]
[<CommonParameters>] 説明
セキュリティ & コンプライアンス PowerShell でこのコマンドレットを使用するには、アクセス許可を割り当てる必要があります。 詳細については、「Microsoft 365 Defender ポータルのアクセス許可」または「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。
例
例 1
New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"この例では、次のプロパティがある External Sharing Alert という名前の新しいアクティビティ アラートを作成します。
- 操作: sharinginvitationcreated
- NotifyUser: chrisda@contoso.com および michelle@contoso.com。
- UserId: laura@contoso.com および julia@contoso.com。
- 説明: および julia@contoso.comによるlaura@contoso.com外部共有イベントの通知。
パラメーター
-Category
Category パラメーターは、アクティビティ アラートのカテゴリを指定します。 有効な値は次のとおりです。
- None (これが既定値です)
- DataLossPrevention
- ThreatManagement
- DataGovernance
- AccessGovernance
- Others
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Condition
Condition パラメーターは、イベント集計のフィルター条件を指定します。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Confirm スイッチは、確認プロンプトを表示するか非表示にするかを指定します。 このスイッチがコマンドレットにどのような影響を与えるかは、先に進む前にコマンドレットで確認が必要となるかどうかで決まります。
- 破壊的なコマンドレット (Remove-* コマンドレットなど) には、続行する前にコマンドの確認を強制する組み込みの一時停止があります。 これらのコマンドレットでは、正確な構文
-Confirm:$falseを使用して、確認プロンプトを省略できます。 - 他のほとんどのコマンドレット (New-* コマンドレットや Set-* コマンドレットなど) には、一時停止が組み込まれています。 これらのコマンドレットの場合、値なしで Confirm スイッチを指定すると、先に進む前に、一時停止してコマンドを確認する必要があります。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Description パラメーターは、アクティビティ アラートの省略可能な説明を指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Disabled パラメーターは、アクティビティ アラートが有効であるか無効であるかを指定します。 有効な値は次のとおりです。
- $true: このアクティビティ アラートは無効です。
- $false: このアクティビティ アラートは有効です。 こちらが既定値です。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-EmailCulture
EmailCulture パラメーターは、通知の電子メール メッセージの言語を指定します。
このパラメーターの正しい入力は、Microsoft .NET Framework CultureInfo クラスでサポートされているカルチャ コード値です。 たとえば、デンマーク語の場合には da-DK、日本語の場合には ja-JP となります。 詳細については、「CultureInfo クラス」を参照してください。
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Multiplier
Multiplier パラメーターは、アクティビティ アラートをトリガーするイベントの数を指定します。 このパラメーターの値は、基準値の乗数を示します。
このパラメーターは Type パラメーター値が AnomalousAggregation の場合のみ使用できます。
| Type: | Double |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Name パラメーターは、アクティビティ アラートの一意の名前を指定します。 最大の長さは 64 文字です。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
NotifyUser パラメーターには、通知メッセージのメール アドレスを指定します。 内部および外部メール アドレスのどちらでも指定できます。
Update 値にスペースが含まれている場合、または引用符が必要な場合は、次の構文を使用します。 "Value1","Value2",..."ValueN"
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Operation パラメーターには、アクティビティ アラートをトリガーするアクティビティを指定します。
このパラメーターの有効な値は、Microsoft 365 監査ログで使用できるアクティビティです。 これらのアクティビティの説明については、「監査されるアクティビティ」を参照してください。
Update 値にスペースが含まれている場合、または引用符が必要な場合は、次の構文を使用します。 "Value1","Value2",..."ValueN"
Type パラメーター値が ElevationOfPrivilege の場合、このパラメーターは使用できません。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-RecordType
RecordType パラメーターは、アクティビティ アラートのレコードの種類のラベルを指定します。 使用可能な値の詳細については、「 AuditLogRecordType」を参照してください。
Type パラメーターの値が ElevationOfPrivilege の場合、このパラメーターは使用できません。
| Type: | AuditRecordType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ScopeLevel
ScopeLevel パラメーターは、Type パラメーター値 SimpleAggregation または AnomalousAggregation を使用するアクティビティ アラートの適用範囲を指定します。 有効な値は次のとおりです。
- SingleUser (これが既定値です)
- AllUsers
| Type: | AlertScopeLevel |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Severity パラメーターは、アクティビティ アラートの重大度レベルを指定します。 有効な値は次のとおりです。
- なし
- 低 (これが既定値です)
- 中
- 高
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Threshold パラメーターは、TimeWindow パラメーターで指定した期間内にアクティビティ アラートをトリガーするイベントの数を指定します。 このパラメーターの最小値は 3 です。
このパラメーターは Type パラメーター値が SimpleAggregation の場合のみ使用できます。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
TimeWindow パラメーターは、Threshold パラメーターで使用する時間枠 (分単位) を指定します。
このパラメーターは Type パラメーター値が SimpleAggregation の場合のみ使用できます。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Type
Type パラメーターは、アラートの種類を指定します。 有効な値は次のとおりです。
- Custom: Operation パラメーターで指定したアクティビティに対してアラートが作成されます。 通常、この値を使用する必要はありません (Type パラメーターを使用せず、Operations パラメーターでアクティビティを指定する場合、Custom の値が自動的に Type プロパティに追加されます)。
- ElevationOfPrivilege: この値は廃止されています。
- SimpleAggregation: アラートは、Operation および Condition パラメーターによって定義されたアクティビティ、Threshold パラメーターによって指定されたアクティビティの数、および TimeWindow パラメーターによって指定された期間に基づいて作成されます。
- AnomalousAggregation: アラートは、Operation および Condition パラメーターによって定義されたアクティビティと、Multiplier パラメーターによって指定されたアクティビティの数に基づいて作成されます。
注: 既存のアクティビティ アラートの Type 値を変更することはできません。
| Type: | AlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UserId
UserId パラメーターは、監視するユーザーを指定します。
- ユーザーのメール アドレスを指定すると、指定したアクティビティをユーザーが実行したときに電子メール通知を受信します。 複数のメール アドレスをコンマで区切って指定できます。
- このパラメーターが空白 ($null) の場合、指定したアクティビティを組織内のどのユーザーが実行しても、電子メール通知を受信します。
このパラメーターは Type パラメーター値が Custom または ElevationOfPrivilege の場合のみ使用できます。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
WhatIf スイッチは、セキュリティ & コンプライアンス PowerShell では機能しません。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |