次の方法で共有


New-ProtectionAlert

このコマンドレットは、セキュリティ & コンプライアンス PowerShell でのみ使用できます。 詳細については、「 セキュリティ & コンプライアンス PowerShell」を参照してください。

New-ProtectionAlert コマンドレットを使用して、Microsoft Purview コンプライアンス ポータルにアラート ポリシーを作成します。 アラート ポリシーには、監視するユーザー アクティビティを定義する条件と、Microsoft Purview コンプライアンス ポータル内の電子メール アラートとエントリの通知オプションが含まれます。

以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。

構文

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

説明

セキュリティ & コンプライアンス PowerShell でこのコマンドレットを使用するには、アクセス許可を割り当てる必要があります。 詳細については、「Microsoft Purview コンプライアンス センターのアクセス許可」 を参照してください。

例 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

この例では、organizationの誰かがMicrosoft Purview コンプライアンス ポータルのコンテンツ検索を削除するたびにアラートをトリガーするアラート ポリシーを作成します。

パラメーター

-AggregationType

AggregationType パラメーターは、アラート ポリシーが監視対象アクティビティが複数発生した場合にアラート ポリシーがどのようにアラートをトリガーするかを指定します。 有効な値は次のとおりです。

  • None: アラートは発生するすべてのアクティビティに対してトリガーされます。
  • SimpleAggregation: アラートは、特定の時間枠に発生したアクティビティの量に基づいてトリガーされます (Threshold および TimeWindow のパラメーターの値)。 これは既定の値です。
  • AnomalousAggregation: アラートは、アクティビティの量が異常なレベルに達したとき (そのアクティビティに対して確立した標準のベースラインを大幅に超えたとき) にトリガーされます。 Microsoft 365 がベースラインを確立するまでに最大 7 日かかる場合があることに注意してください。 ベースラインの計算期間中、アクティビティのアラートは生成されません。
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

AlertBy パラメーターは、集計されたアラート ポリシーのスコープを指定します。 有効な値は ThreatType パラメーターの値によって決まります。

  • Activity: 有効な値は User または $null (既定値の空白) です。 値 User を使用しない場合、アラート ポリシーの適用範囲は組織全体です。
  • Malware: 有効な値は Mail.Recipient または Mail.ThreatName です。

AggregationType パラメーターの値が None (発生するアクティビティすべてに対してアラートがトリガーされる) の場合、このパラメーターは使用できません。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

このパラメーターは、Microsoft の内部使用のために予約されています。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

Category パラメーターは、アラート ポリシーのカテゴリを指定します。 有効な値は次のとおりです。

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Others
  • PrivacyManagement
  • 監督
  • ThreatManagement

アラート ポリシーの条件と一致するアクティビティが発生すると、生成されたアラートは、このパラメーターで指定されたカテゴリにタグ付けされます。 これにより、カテゴリの設定が同じアラートを追跡および管理することができます。

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

Comment パラメーターで、オプションのコメントを指定します。 スペースを含む値を指定する場合は、次のように値を二重引用符 (") で囲んでください。"これは管理者メモです。"

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

Confirm スイッチは、確認プロンプトを表示するか非表示にするかを指定します。 このスイッチがコマンドレットにどのような影響を与えるかは、先に進む前にコマンドレットで確認が必要となるかどうかで決まります。

  • 破壊的なコマンドレット (Remove-* コマンドレットなど) には、続行する前にコマンドの確認を強制する組み込みの一時停止があります。 これらのコマンドレットでは、正確な構文-Confirm:$falseを使用して、確認プロンプトを省略できます。
  • 他のほとんどのコマンドレット (New-* コマンドレットや Set-* コマンドレットなど) には、一時停止が組み込まれています。 これらのコマンドレットの場合、値なしで Confirm スイッチを指定すると、先に進む前に、一時停止してコマンドを確認する必要があります。
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ Fill CustomProperties Description }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

Description パラメーターでは、アラート ポリシーの説明テキストを指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

Disabled パラメーターで、アラート ポリシーを有効または無効にできます。 有効な値は次のとおりです。

  • $true: アラート ポリシーは無効になっています。
  • $false: アラート ポリシーは有効になっています。 これは既定の値です。
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

Filter パラメーターは、OPATH 構文を使用して、指定したプロパティと値で結果をフィルター処理します。 検索条件は構文"Property -ComparisonOperator 'Value'"を使用します。

  • OPATH フィルター全体を二重引用符 " " で囲みます。 フィルターにシステム値 (例えば、$true$false、または $null) が含まれている場合は、代わりに単一引用符 ' ' を使用します。 このパラメーターは文字列 (システム ブロックではありません) ですが、波かっこ { } を使用することもできますが、これはフィルターに変数が含まれていない場合のみです。
  • Property はフィルタリング可能なプロパティです。
  • ComparisonOperator は OPATH 比較演算子です (たとえば -eq 、等しい場合や -like 文字列比較の場合)。 比較演算子の詳細については、「about_Comparison_Operators」を参照してください。
  • Value は、検索するプロパティ値です。 テキスト値と変数を一重引用符 ('Value'または'$Variable') で囲みます。 変数値に一重引用符が含まれている場合、変数を正しく展開するには、一重引用符を識別する (エスケープする) 必要があります。 たとえば、'$User'の代わりに'$($User -Replace "'","''")'を使用します。 整数またはシステム値を引用符で囲まないでください (代わりに、 500$true$falseなど $null )。

論理 -and 演算子 (例: ) を使用して、 "Criteria1 -and Criteria2"複数の検索条件を連結できます。

Exchange の OPATH フィルターの詳細については、「 その他の OPATH 構文情報」を参照してください。

フィルター可能なプロパティは次のとおりです。

アクティビティ

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

マルウェア

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Direction
  • Mail:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Mail:Language
  • Mail:Recipient
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Subject
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Fill LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

Name パラメーターは、アラート ポリシーの一意の名前を指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

NotificationCulture パラメーターは、通知に使用される言語またはロケールを指定します。

このパラメーターの正しい入力は、Microsoft .NET Framework CultureInfo クラスでサポートされているカルチャ コード値です。 たとえば、デンマーク語の場合には da-DK、日本語の場合には ja-JP となります。 詳細については、「CultureInfo クラス」を参照してください。

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

NotifyUser パラメーターは、アラート ポリシーの通知メッセージを受信するユーザーの SMTP アドレスを指定します。 複数の値をコンマで区切って指定できます。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

NotifyUserOnFilterMatch パラメーターは、アラート ポリシーが集計アクティビティ用に構成されている場合に、1 つのイベントに対してアラートをトリガーするかどうかを指定します。 有効な値は次のとおりです。

  • $true: 集計されたアクティビティにアラートを設定しているにもかかわらず、アクティビティの照合中に通知がトリガーされます (基本的には、早期警告)。
  • $false: アラートは指定した集計の種類に応じてトリガーされます。 これは既定の値です。

AggregationType パラメーターの値が None (発生するアクティビティすべてに対してアラートがトリガーされる) の場合、このパラメーターは使用できません。

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

NotifyUserSuppressionExpiryDate パラメーターは、アラート ポリシーの通知を一時的に中断するかどうかを指定します。 指定した日時まで、検出したアクティビティに対して通知は送信されません。

コマンドを実行するコンピューターの [地域のオプション] 設定で定義されている短い日付形式を使用します。 たとえば、短い日付形式 mm/dd/yyyy を使用するようにコンピューターが構成されている場合は、「09/01/2018」と入力して 2018 年 9 月 1 日を指定します。 日付のみを入力したり、日付と時刻を入力することもできます。 日付と時刻を入力する場合は、値を引用符 (”) で囲む必要があります (例: "09/01/2018 5:00 PM")。

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

NotifyUserThrottleThreshold パラメーターは、NotifyUserThrottleWindow パラメーターで指定した期間内のアラート ポリシー通知の最大数を指定します。 期間内の通知の最大数に達すると、アラートの通知は送信されなくなります。 有効な値は次のとおりです。

  • SyncSchedule パラメーターは、??? を指定します。このパラメーターの有効な値は次のとおりです。
  • 値 $null。 これは既定値 (アラート通知数の上限なし) です。
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

NotifyUserThrottleWindow パラメーターは、NotifyUserThrottleThreshold パラメーターによって使用される時間間隔を分単位で指定します。 有効な値は次のとおりです。

  • SyncSchedule パラメーターは、??? を指定します。このパラメーターの有効な値は次のとおりです。
  • 値 $null。 これは既定値 (通知調整の間隔なし) です。
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

Operation パラメーターは、アラート ポリシーによって監視されるアクティビティを指定します。 使用可能なアクティビティの一覧については、監査されたアクティビティの [監査済みアクティビティ] タブ 参照してください。

このパラメーターは、技術的にはコンマで区切られた複数の値を受け入れることができますが、複数の値は機能しません。

このパラメーターは、ThreatType パラメーターの値が Activity の場合のみ使用できます。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

Severity パラメーターは、検出の重要度を指定します。 有効な値は次のとおりです。

  • 低 (これが既定値です)
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

ThreatType パラメーターは、アラート ポリシーが監視するアクティビティの種類を指定します。 有効な値は次のとおりです。

  • アクティビティ
  • マルウェア

このパラメーターに対して選択する値は、AlertBy、Filter、Operation パラメーターに使用できる値を決定します。

アラート ポリシーの作成後は、この値を変更できません。

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

Threshold パラメーターは、TimeWindow パラメーターで指定された期間内にアラート ポリシーをトリガーする検出の数を指定します。 有効な値は、3 以上の整数です。

このパラメーターは、AggregationType パラメーターの値が SimpleAggregation の場合のみ使用できます。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

TimeWindow パラメーターは、Threshold パラメーターで指定した検出数の期間 (分単位) を指定します。 有効な値は、60 以上 (1 時間) の整数です。

このパラメーターは、AggregationType パラメーターの値が SimpleAggregation の場合のみ使用できます。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Fill UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Fill VolumeThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

WhatIf スイッチは、セキュリティ & コンプライアンス PowerShell では機能しません。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance