New-ProtectionAlert
このコマンドレットは、セキュリティ/コンプライアンス PowerShell でのみ使用できます。 詳細については、「セキュリティ/コンプライアンス PowerShell」を参照してください。
New-ProtectionAlert コマンドレットを使用して、Microsoft Purview コンプライアンス ポータルとMicrosoft Defender ポータルでアラート ポリシーを作成します。 アラート ポリシーには、監視するユーザー アクティビティを定義する条件と、電子メール アラートとエントリの通知オプションが含まれています。
注意
コマンドレットは使用できますが、エンタープライズ ライセンスをお持ちでない場合は、次のエラーが表示されます。
高度なアラート ポリシーを作成するには、Office 365 E5 サブスクリプション、またはOffice 365脅威インテリジェンスを使用したOffice 365 E3 サブスクリプション、またはorganizationの EquivioAnalytics アドオン サブスクリプションをOffice 365する必要があります。 現在のサブスクリプションでは、1 つのイベント アラートのみを作成できます。
コマンド内で -AggregationType None と -Operation を指定することで、このエラーを回避できます。
詳細については、「 Microsoft 365 のアラート ポリシー」を参照してください。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] セキュリティ/コンプライアンス PowerShell でこのコマンドレットを使用するには、アクセス許可が割り当てられている必要があります。 詳細については、「Microsoft Purview コンプライアンス センターのアクセス許可」 を参照してください。
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType Noneこの例では、organizationの誰かがMicrosoft Purview コンプライアンス ポータルのコンテンツ検索を削除するたびにアラートをトリガーするアラート ポリシーを作成します。
AggregationType パラメーターは、アラート ポリシーが監視対象アクティビティが複数発生した場合にアラート ポリシーがどのようにアラートをトリガーするかを指定します。 有効な値は次のとおりです。
- None: アラートは発生するすべてのアクティビティに対してトリガーされます。
- SimpleAggregation: アラートは、特定の時間枠に発生したアクティビティの量に基づいてトリガーされます (Threshold および TimeWindow のパラメーターの値)。 これは既定の値です。
- AnomalousAggregation: アラートは、アクティビティの量が異常なレベルに達したとき (そのアクティビティに対して確立した標準のベースラインを大幅に超えたとき) にトリガーされます。 Microsoft 365 がベースラインを確立するまでに最大 7 日かかる場合があることに注意してください。 ベースラインの計算期間中、アクティビティのアラートは生成されません。
| 型: | AlertAggregationType |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
AlertBy パラメーターは、集計されたアラート ポリシーのスコープを指定します。 有効な値は ThreatType パラメーターの値によって決まります。
- Activity: 有効な値は User または $null (既定値の空白) です。 値 User を使用しない場合、アラート ポリシーの適用範囲は組織全体です。
- Malware: 有効な値は Mail.Recipient または Mail.ThreatName です。
AggregationType パラメーターの値が None (発生するアクティビティすべてに対してアラートがトリガーされる) の場合、このパラメーターは使用できません。
| 型: | MultiValuedProperty |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
このパラメーターは、Microsoft の内部使用のために予約されています。
| 型: | MultiValuedProperty |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Category パラメーターは、アラート ポリシーのカテゴリを指定します。 有効な値は次のとおりです。
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Others
- PrivacyManagement
- 監督
- ThreatManagement
アラート ポリシーの条件と一致するアクティビティが発生すると、生成されたアラートは、このパラメーターで指定されたカテゴリにタグ付けされます。 これにより、カテゴリの設定が同じアラートを追跡および管理することができます。
| 型: | AlertRuleCategory |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Comment パラメーターで、オプションのコメントを指定します。 スペースを含む値を指定する場合は、次のように値を二重引用符 (") で囲んでください。"これは管理者メモです。"
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Confirm スイッチは、確認プロンプトを表示するか非表示にするかを指定します。 このスイッチがコマンドレットにどのような影響を与えるかは、先に進む前にコマンドレットで確認が必要となるかどうかで決まります。
- データを破壊するコマンドレット (たとえば、Remove- コマンドレット) には、先に進む前にユーザーにそのコマンドの確認を強制する組み込みの一時停止があります。 これらのコマンドレットでは、正確な構文
-Confirm:$falseを使用して、確認プロンプトを省略できます。 - 他のほとんどのコマンドレット (たとえば、New-* や Set-* コマンドレット) には、組み込みの一時停止はありません。 これらのコマンドレットの場合、値なしで Confirm スイッチを指定すると、先に進む前に、一時停止してコマンドを確認する必要があります。
| 型: | SwitchParameter |
| Aliases: | cf |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill CorrelationPolicyId Description }}
| 型: | System.Guid |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill CustomProperties Description }}
| 型: | PswsHashtable |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Description パラメーターでは、アラート ポリシーの説明テキストを指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Disabled パラメーターで、アラート ポリシーを有効または無効にできます。 有効な値は次のとおりです。
- $true: アラート ポリシーは無効になっています。
- $false: アラート ポリシーは有効になっています。 これは既定の値です。
| 型: | Boolean |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Filter パラメーターは、OPATH 構文を使用して、指定したプロパティと値で結果をフィルター処理します。 検索条件は構文"Property -ComparisonOperator 'Value'"を使用します。
- OPATH フィルター全体を二重引用符 " " で囲みます。 フィルターにシステム値 (例えば、
$true、$false、または$null) が含まれている場合は、代わりに単一引用符 ' ' を使用します。 このパラメーターは文字列 (システム ブロックではありません) ですが、波かっこ { } を使用することもできますが、これはフィルターに変数が含まれていない場合のみです。 - Property はフィルタリング可能なプロパティです。
- ComparisonOperator は OPATH 比較演算子です (たとえば、文字列比較の場合は等号と
-likeの-eq)。 比較演算子の詳細については、「about_Comparison_Operators」を参照してください。 - Value は、検索するプロパティ値です。 テキスト値と変数を一重引用符 (
'Value'または'$Variable') で囲みます。 変数値に一重引用符が含まれている場合、変数を正しく展開するには、一重引用符を識別する (エスケープする) 必要があります。 たとえば、'$User'の代わりに'$($User -Replace "'","''")'を使用します。 整数またはシステム値を引用符で囲まないでください (たとえば、代わりに500、$true、$false、または$nullを使用します)。
論理 -and 演算子 (たとえば、 "Criteria1 -and Criteria2") を使用して、複数の検索条件を連結できます。
Exchange の OPATH フィルターの詳細については、「 その他の OPATH 構文情報」を参照してください。
フィルター可能なプロパティは次のとおりです。
アクティビティ
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
マルウェア
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Mail:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Mail:Language
- Mail:Recipient
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill LogicalOperationName Description }}
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Name パラメーターは、アラート ポリシーの一意の名前を指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
| 型: | String |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
NotificationCulture パラメーターは、通知に使用される言語またはロケールを指定します。
このパラメーターの正しい入力は、Microsoft .NET Framework CultureInfo クラスでサポートされているカルチャ コード値です。 たとえば、デンマーク語の場合には da-DK、日本語の場合には ja-JP となります。 詳細については、「CultureInfo クラス」を参照してください。
| 型: | CultureInfo |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill NotificationEnabled Description }}
| 型: | Boolean |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
NotifyUser パラメーターは、アラート ポリシーの通知メッセージを受信するユーザーの SMTP アドレスを指定します。 複数の値をコンマで区切って指定できます。
| 型: | MultiValuedProperty |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
NotifyUserOnFilterMatch パラメーターは、アラート ポリシーが集計アクティビティ用に構成されている場合に、1 つのイベントに対してアラートをトリガーするかどうかを指定します。 有効な値は次のとおりです。
- $true: 集計されたアクティビティにアラートを設定しているにもかかわらず、アクティビティの照合中に通知がトリガーされます (基本的には、早期警告)。
- $false: アラートは指定した集計の種類に応じてトリガーされます。 これは既定の値です。
AggregationType パラメーターの値が None (発生するアクティビティすべてに対してアラートがトリガーされる) の場合、このパラメーターは使用できません。
| 型: | Boolean |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
NotifyUserSuppressionExpiryDate パラメーターは、アラート ポリシーの通知を一時的に中断するかどうかを指定します。 指定した日時まで、検出したアクティビティに対して通知は送信されません。
コマンドを実行するコンピューターの [地域のオプション] 設定で定義されている短い日付形式を使用します。 たとえば、コンピューターが短い日付形式 MM/dd/yyyy を使用するように構成されている場合は、「2018 年 9 月 1 日」と入力して、2018 年 9 月 1 日を指定します。 日付のみを入力したり、日付と時刻を入力することもできます。 日付と時刻を入力する場合は、値を引用符 (”) で囲む必要があります (例: "09/01/2018 5:00 PM")。
| 型: | DateTime |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
NotifyUserThrottleThreshold パラメーターは、NotifyUserThrottleWindow パラメーターで指定した期間内のアラート ポリシー通知の最大数を指定します。 期間内の通知の最大数に達すると、アラートの通知は送信されなくなります。 有効な値は次のとおりです。
- SyncSchedule パラメーターは、??? を指定します。このパラメーターの有効な値は次のとおりです。
- 値 $null。 これは既定値 (アラート通知数の上限なし) です。
| 型: | Int32 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
NotifyUserThrottleWindow パラメーターは、NotifyUserThrottleThreshold パラメーターによって使用される時間間隔を分単位で指定します。 有効な値は次のとおりです。
- SyncSchedule パラメーターは、??? を指定します。このパラメーターの有効な値は次のとおりです。
- 値 $null。 これは既定値 (通知調整の間隔なし) です。
| 型: | Int32 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Operation パラメーターは、アラート ポリシーによって監視されるアクティビティを指定します。 使用可能なアクティビティの一覧については、「監査されたアクティビティ」の「 監査されたアクティビティ」タブを参照してください。
このパラメーターは、技術的にはコンマで区切られた複数の値を受け入れることができますが、複数の値は機能しません。
このパラメーターは、ThreatType パラメーターの値が Activity の場合のみ使用できます。
| 型: | MultiValuedProperty |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}
| 型: | MultiValuedProperty |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}
| 型: | MultiValuedProperty |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}
| 型: | System.UInt64 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Severity パラメーターは、検出の重要度を指定します。 有効な値は次のとおりです。
- 低 (これが既定値です)
- 中
- 高
| 型: | RuleSeverity |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
ThreatType パラメーターは、アラート ポリシーが監視するアクティビティの種類を指定します。 有効な値は次のとおりです。
- アクティビティ
- マルウェア
このパラメーターに対して選択する値は、AlertBy、Filter、Operation パラメーターに使用できる値を決定します。
アラート ポリシーの作成後は、この値を変更できません。
| 型: | ThreatAlertType |
| 配置: | Named |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
Threshold パラメーターは、TimeWindow パラメーターで指定された期間内にアラート ポリシーをトリガーする検出の数を指定します。 有効な値は、3 以上の整数です。
このパラメーターは、AggregationType パラメーターの値が SimpleAggregation の場合のみ使用できます。
| 型: | Int32 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
TimeWindow パラメーターは、Threshold パラメーターで指定した検出数の期間 (分単位) を指定します。 有効な値は、60 以上 (1 時間) の整数です。
このパラメーターは、AggregationType パラメーターの値が SimpleAggregation の場合のみ使用できます。
| 型: | Int32 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill UseCreatedDateTime Description }}
| 型: | System.Boolean |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
{{ Fill VolumeThreshold Description }}
| 型: | System.UInt64 |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |
WhatIf スイッチは、セキュリティ/コンプライアンス PowerShell では機能しません。
| 型: | SwitchParameter |
| Aliases: | wi |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
| 適用対象: | Security & Compliance |