New-ProtectionAlert
このコマンドレットは、セキュリティ & コンプライアンス PowerShell でのみ使用できます。 詳細については、「 セキュリティ & コンプライアンス PowerShell」を参照してください。
New-ProtectionAlert コマンドレットを使用して、Microsoft Purview コンプライアンス ポータルにアラート ポリシーを作成します。 アラート ポリシーには、監視するユーザー アクティビティを定義する条件と、Microsoft Purview コンプライアンス ポータル内の電子メール アラートとエントリの通知オプションが含まれます。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
構文
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] 説明
セキュリティ & コンプライアンス PowerShell でこのコマンドレットを使用するには、アクセス許可を割り当てる必要があります。 詳細については、「Microsoft Purview コンプライアンス センターのアクセス許可」 を参照してください。
例
例 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType Noneこの例では、organizationの誰かがMicrosoft Purview コンプライアンス ポータルのコンテンツ検索を削除するたびにアラートをトリガーするアラート ポリシーを作成します。
パラメーター
-AggregationType
AggregationType パラメーターは、アラート ポリシーが監視対象アクティビティが複数発生した場合にアラート ポリシーがどのようにアラートをトリガーするかを指定します。 有効な値は次のとおりです。
- None: アラートは発生するすべてのアクティビティに対してトリガーされます。
- SimpleAggregation: アラートは、特定の時間枠に発生したアクティビティの量に基づいてトリガーされます (Threshold および TimeWindow のパラメーターの値)。 これは既定の値です。
- AnomalousAggregation: アラートは、アクティビティの量が異常なレベルに達したとき (そのアクティビティに対して確立した標準のベースラインを大幅に超えたとき) にトリガーされます。 Microsoft 365 がベースラインを確立するまでに最大 7 日かかる場合があることに注意してください。 ベースラインの計算期間中、アクティビティのアラートは生成されません。
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
AlertBy パラメーターは、集計されたアラート ポリシーのスコープを指定します。 有効な値は ThreatType パラメーターの値によって決まります。
- Activity: 有効な値は User または $null (既定値の空白) です。 値 User を使用しない場合、アラート ポリシーの適用範囲は組織全体です。
- Malware: 有効な値は Mail.Recipient または Mail.ThreatName です。
AggregationType パラメーターの値が None (発生するアクティビティすべてに対してアラートがトリガーされる) の場合、このパラメーターは使用できません。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
このパラメーターは、Microsoft の内部使用のために予約されています。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
Category パラメーターは、アラート ポリシーのカテゴリを指定します。 有効な値は次のとおりです。
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Others
- PrivacyManagement
- 監督
- ThreatManagement
アラート ポリシーの条件と一致するアクティビティが発生すると、生成されたアラートは、このパラメーターで指定されたカテゴリにタグ付けされます。 これにより、カテゴリの設定が同じアラートを追跡および管理することができます。
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
Comment パラメーターで、オプションのコメントを指定します。 スペースを含む値を指定する場合は、次のように値を二重引用符 (") で囲んでください。"これは管理者メモです。"
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
Confirm スイッチは、確認プロンプトを表示するか非表示にするかを指定します。 このスイッチがコマンドレットにどのような影響を与えるかは、先に進む前にコマンドレットで確認が必要となるかどうかで決まります。
- 破壊的なコマンドレット (Remove-* コマンドレットなど) には、続行する前にコマンドの確認を強制する組み込みの一時停止があります。 これらのコマンドレットでは、正確な構文
-Confirm:$falseを使用して、確認プロンプトを省略できます。 - 他のほとんどのコマンドレット (New-* コマンドレットや Set-* コマンドレットなど) には、一時停止が組み込まれています。 これらのコマンドレットの場合、値なしで Confirm スイッチを指定すると、先に進む前に、一時停止してコマンドを確認する必要があります。
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ Fill CustomProperties Description }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
Description パラメーターでは、アラート ポリシーの説明テキストを指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
Disabled パラメーターで、アラート ポリシーを有効または無効にできます。 有効な値は次のとおりです。
- $true: アラート ポリシーは無効になっています。
- $false: アラート ポリシーは有効になっています。 これは既定の値です。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
Filter パラメーターは、OPATH 構文を使用して、指定したプロパティと値で結果をフィルター処理します。 検索条件は構文"Property -ComparisonOperator 'Value'"を使用します。
- OPATH フィルター全体を二重引用符 " " で囲みます。 フィルターにシステム値 (例えば、
$true、$false、または$null) が含まれている場合は、代わりに単一引用符 ' ' を使用します。 このパラメーターは文字列 (システム ブロックではありません) ですが、波かっこ { } を使用することもできますが、これはフィルターに変数が含まれていない場合のみです。 - Property はフィルタリング可能なプロパティです。
- ComparisonOperator は OPATH 比較演算子です (たとえば
-eq、等しい場合や-like文字列比較の場合)。 比較演算子の詳細については、「about_Comparison_Operators」を参照してください。 - Value は、検索するプロパティ値です。 テキスト値と変数を一重引用符 (
'Value'または'$Variable') で囲みます。 変数値に一重引用符が含まれている場合、変数を正しく展開するには、一重引用符を識別する (エスケープする) 必要があります。 たとえば、'$User'の代わりに'$($User -Replace "'","''")'を使用します。 整数またはシステム値を引用符で囲まないでください (代わりに、500、$true、$falseなど$null)。
論理 -and 演算子 (例: ) を使用して、 "Criteria1 -and Criteria2"複数の検索条件を連結できます。
Exchange の OPATH フィルターの詳細については、「 その他の OPATH 構文情報」を参照してください。
フィルター可能なプロパティは次のとおりです。
アクティビティ
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
マルウェア
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Fill LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
Name パラメーターは、アラート ポリシーの一意の名前を指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
NotificationCulture パラメーターは、通知に使用される言語またはロケールを指定します。
このパラメーターの正しい入力は、Microsoft .NET Framework CultureInfo クラスでサポートされているカルチャ コード値です。 たとえば、デンマーク語の場合には da-DK、日本語の場合には ja-JP となります。 詳細については、「CultureInfo クラス」を参照してください。
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
NotifyUser パラメーターは、アラート ポリシーの通知メッセージを受信するユーザーの SMTP アドレスを指定します。 複数の値をコンマで区切って指定できます。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
NotifyUserOnFilterMatch パラメーターは、アラート ポリシーが集計アクティビティ用に構成されている場合に、1 つのイベントに対してアラートをトリガーするかどうかを指定します。 有効な値は次のとおりです。
- $true: 集計されたアクティビティにアラートを設定しているにもかかわらず、アクティビティの照合中に通知がトリガーされます (基本的には、早期警告)。
- $false: アラートは指定した集計の種類に応じてトリガーされます。 これは既定の値です。
AggregationType パラメーターの値が None (発生するアクティビティすべてに対してアラートがトリガーされる) の場合、このパラメーターは使用できません。
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
NotifyUserSuppressionExpiryDate パラメーターは、アラート ポリシーの通知を一時的に中断するかどうかを指定します。 指定した日時まで、検出したアクティビティに対して通知は送信されません。
コマンドを実行するコンピューターの [地域のオプション] 設定で定義されている短い日付形式を使用します。 たとえば、短い日付形式 mm/dd/yyyy を使用するようにコンピューターが構成されている場合は、「09/01/2018」と入力して 2018 年 9 月 1 日を指定します。 日付のみを入力したり、日付と時刻を入力することもできます。 日付と時刻を入力する場合は、値を引用符 (”) で囲む必要があります (例: "09/01/2018 5:00 PM")。
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
NotifyUserThrottleThreshold パラメーターは、NotifyUserThrottleWindow パラメーターで指定した期間内のアラート ポリシー通知の最大数を指定します。 期間内の通知の最大数に達すると、アラートの通知は送信されなくなります。 有効な値は次のとおりです。
- SyncSchedule パラメーターは、??? を指定します。このパラメーターの有効な値は次のとおりです。
- 値 $null。 これは既定値 (アラート通知数の上限なし) です。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
NotifyUserThrottleWindow パラメーターは、NotifyUserThrottleThreshold パラメーターによって使用される時間間隔を分単位で指定します。 有効な値は次のとおりです。
- SyncSchedule パラメーターは、??? を指定します。このパラメーターの有効な値は次のとおりです。
- 値 $null。 これは既定値 (通知調整の間隔なし) です。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
Operation パラメーターは、アラート ポリシーによって監視されるアクティビティを指定します。 使用可能なアクティビティの一覧については、監査されたアクティビティの [監査済みアクティビティ] タブ を参照してください。
このパラメーターは、技術的にはコンマで区切られた複数の値を受け入れることができますが、複数の値は機能しません。
このパラメーターは、ThreatType パラメーターの値が Activity の場合のみ使用できます。
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
Severity パラメーターは、検出の重要度を指定します。 有効な値は次のとおりです。
- 低 (これが既定値です)
- 中
- 高
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
ThreatType パラメーターは、アラート ポリシーが監視するアクティビティの種類を指定します。 有効な値は次のとおりです。
- アクティビティ
- マルウェア
このパラメーターに対して選択する値は、AlertBy、Filter、Operation パラメーターに使用できる値を決定します。
アラート ポリシーの作成後は、この値を変更できません。
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
Threshold パラメーターは、TimeWindow パラメーターで指定された期間内にアラート ポリシーをトリガーする検出の数を指定します。 有効な値は、3 以上の整数です。
このパラメーターは、AggregationType パラメーターの値が SimpleAggregation の場合のみ使用できます。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
TimeWindow パラメーターは、Threshold パラメーターで指定した検出数の期間 (分単位) を指定します。 有効な値は、60 以上 (1 時間) の整数です。
このパラメーターは、AggregationType パラメーターの値が SimpleAggregation の場合のみ使用できます。
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Fill UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Fill VolumeThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
WhatIf スイッチは、セキュリティ & コンプライアンス PowerShell では機能しません。
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |