New-ProtectionAlert
Esse cmdlet está disponível apenas no PowerShell de Conformidade de Segurança & . Para obter mais informações, confira PowerShell de Conformidade de Segurança&.
Use o cmdlet New-ProtectionAlert para criar políticas de alerta no portal de conformidade do Microsoft Purview. As políticas de alerta contêm condições que definem as atividades do usuário a serem monitoradas e as opções de notificação para alertas de email e entradas no portal de conformidade do Microsoft Purview.
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Syntax
New-ProtectionAlert
-Category <AlertRuleCategory>
-Name <String>
-NotifyUser <MultiValuedProperty>
-ThreatType <ThreatAlertType>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Comment <String>]
[-Confirm]
[-CorrelationPolicyId <System.Guid>]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-LogicalOperationName <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-CustomProperties <PswsHashtable>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-UseCreatedDateTime <System.Boolean>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>] Description
Para usar esse cmdlet no PowerShell de Conformidade de Segurança & , você precisa receber permissões. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.
Exemplos
Exemplo 1
New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType NoneEste exemplo cria uma política de alerta que dispara um alerta sempre que qualquer pessoa na organização exclui uma Pesquisa de Conteúdo no portal de conformidade do Microsoft Purview.
Parâmetros
-AggregationType
O parâmetro AggregationType especifica como a política de alerta dispara alertas para várias ocorrências de atividade monitorada. Os valores válidos são:
- Nenhum: alertas são disparados para cada ocorrência da atividade.
- SimpleAggregation: os alertas são disparados com base no volume de atividade em uma determinada janela de tempo (os valores dos parâmetros Threshold e TimeWindow). Esse é o valor padrão.
- AnomalousAggregation: os alertas são disparados quando o volume de atividade atinge níveis incomuns (excede muito a linha de base normal estabelecida para a atividade). Observe que pode levar até 7 dias para o Microsoft 365 estabelecer a linha de base. Durante o período de cálculo da linha de base, nosso sistema não gera nenhum alerta para a atividade.
| Type: | AlertAggregationType |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertBy
O parâmetro AlertBy especifica o escopo para políticas de alerta agregadas. Os valores válidos são determinados pelo valor do parâmetro ThreatType:
- Atividade: os valores válidos são Usuário ou $null (em branco, que é o valor padrão). Se você não usa o valor User, o escopo da política de alerta consiste na organização inteira.
- Malware: os valores válidos são Mail.Recipient ou Mail.ThreatName.
Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-AlertFor
Esse parâmetro está reservado para uso interno da Microsoft.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Category
O parâmetro Category especifica uma categoria para a política de alerta. Os valores válidos são:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Outros
- PrivacyManagement
- Supervisão
- ThreatManagement
Quando ocorre uma atividade que atenda às condições da política de alerta, o alerta gerado é marcado com a categoria especificada por esse parâmetro. Isso permite controlar e gerenciar alertas que apresentam a mesma configuração de categoria
| Type: | AlertRuleCategory |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Comment
O parâmetro Comment especifica um comentário opcional. Se você especificar um valor que contenha espaços, coloque-o entre aspas ("), por exemplo: “Está é uma observação de administrador”.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Confirm
A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.
- Cmdlets destrutivos (por exemplo, cmdlets Remove-*) têm uma pausa interna que força você a reconhecer o comando antes de prosseguir. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata:
-Confirm:$false. - A maioria dos outros cmdlets (por exemplo, cmdlets New-* e Set-*) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CorrelationPolicyId
{{ Fill CorrelationPolicyId Description }}
| Type: | System.Guid |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-CustomProperties
{{ Preencher Descrição customProperties }}
| Type: | PswsHashtable |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Description
O parâmetro Description especifica um texto descritivo para a política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Disabled
O parâmetro Disabled habilita ou desabilita a política de alerta. Os valores válidos são:
- $true: a política de alerta está desabilitada.
- $false: a política de alerta está habilitada. Esse é o valor padrão.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Filter
O parâmetro Filter usa a sintaxe OPATH para filtrar os resultados pelas propriedades e valores especificados. Os critérios de pesquisa usam a sintaxe "Property -ComparisonOperator 'Value'".
- Inclua todo o filtro OPATH nas aspas duplas " ". Se o filtro contiver valores do sistema (por exemplo,
$true,$falseou$null), use aspas individuais ' ' em vez disso. Embora esse parâmetro seja uma cadeia de caracteres (não um bloco do sistema), você também pode usar chaves { }, mas somente se o filtro não contiver variáveis. - A propriedade é uma propriedade filtrada.
- ComparisonOperator é um operador de comparação OPATH (por exemplo
-eq, para iguais e-likepara comparação de cadeia de caracteres). Para obter mais informações sobre operadores de comparação, consulte about_Comparison_Operators. - Valor é o valor da propriedade a ser pesquisado. Inclua valores e variáveis de texto em aspas individuais (
'Value'ou'$Variable'). Se um valor variável contiver aspas individuais, você precisará identificar (escapar) as aspas individuais para expandir a variável corretamente. Por exemplo, em vez de'$User', use'$($User -Replace "'","''")'. Não inclua inteiros ou valores do sistema entre aspas (por exemplo, use500,$true,$falseou$nullem vez disso).
Você pode encadear vários critérios de pesquisa usando o operador lógico -and (por exemplo, "Criteria1 -and Criteria2").
Para obter informações detalhadas sobre filtros OPATH no Exchange, consulte Informações adicionais de sintaxe OPATH.
As propriedades filtradas são:
Atividade
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Malware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Email:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Email:Language
- Email:Destinatário
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-LogicalOperationName
{{ Preencher LogicalOperationName Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Name
O parâmetro Name especifica o nome exclusivo da política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationCulture
O parâmetro NotificationCulture especifica o idioma ou local usado para notificações.
A entrada válida para esse parâmetro é um valor de código de cultura com suporte da classe Microsoft .NET Framework CultureInfo. Por exemplo, da-DK para dinamarquês ou ja-JP para japonês. Para obter mais informações, consulte Classe CultureInfo.
| Type: | CultureInfo |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUser
O parâmetro NotifyUser especifica o endereço SMTP do usuário que recebe mensagens de notificação da política de alerta. Vários valores, separados por vírgulas, podem ser especificados.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
O parâmetro NotifyUserOnFilterMatch especifica se deve disparar um alerta para um único evento quando a política de alerta estiver configurada para atividade agregada. Os valores válidos são:
- $true: embora o alerta esteja configurado para atividade agregada, uma notificação é disparada durante uma correspondência para a atividade (basicamente, um aviso antecipado).
- $false: os alertas são disparados de acordo com o tipo de agregação especificado. Esse é o valor padrão.
Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
O parâmetro NotifyUserSuppressionExpiryDate especifica se é necessário suspender temporariamente as notificações da política de alerta. O sistema não envia nenhuma notificação de atividades detectadas, até a Data/Hora especificada.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
O parâmetro NotifyUserThrottleThreshold especifica o número máximo de notificações da política de alerta, dentro do período de tempo especificado pelo parâmetro NotifyUserThrottleWindow. O sistema deixa de enviar notificações do alerta, após alcançar o número máximo de notificações no período de tempo. Os valores válidos são:
- O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
- O valor $null. Esse é o valor padrão (não há número máximo de notificações para um alerta).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
O parâmetro NotifyUserThrottleWindow especifica o intervalo de tempo em minutos usado pelo parâmetro NotifyUserThrottleThreshold. Os valores válidos são:
- O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
- O valor $null. Esse é o valor padrão (não há intervalos para a limitação de notificação).
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Operation
O parâmetro Operação especifica as atividades monitoradas pela política de alerta. Para obter a lista de atividades disponíveis, consulte a guia Atividades auditadas em Atividades auditadas.
Embora esse parâmetro seja tecnicamente capaz de aceitar vários valores separados por vírgulas, vários valores não funcionam.
Você só poderá usar esse parâmetro quando o parâmetro ThreatType tiver o valor Activity.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypes Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypesForCounting Description }}
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypesThreshold Description }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Severity
O parâmetro Severity especifica a severidade da detecção. Os valores válidos são:
- Baixo (esse é o valor padrão)
- Médio
- Alto
| Type: | RuleSeverity |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-ThreatType
O parâmetro ThreatType especifica o tipo de atividades monitoradas pela política de alerta. Os valores válidos são:
- Atividade
- Malware
O valor selecionado para esse parâmetro determina os valores que você pode usar para os parâmetros AlertBy, Filter e Operation.
Você não pode alterar esse valor depois de criar a política de alerta.
| Type: | ThreatAlertType |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-Threshold
O parâmetro Threshold especifica o número de detecções que disparam a política de alerta dentro do período de tempo especificado pelo parâmetro TimeWindow. O valor válido é um número inteiro maior do que ou igual a 3.
Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-TimeWindow
O parâmetro TimeWindow especifica o intervalo de tempo, em minutos, para o número de detecções especificado pelo parâmetro Threshold. O valor válido é um número inteiro maior do que 60 (uma hora).
Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-UseCreatedDateTime
{{ Use UseCreatedDateTime Description }}
| Type: | System.Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-VolumeThreshold
{{ Preencher Descrição do VolumeThreshold }}
| Type: | System.UInt64 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
-WhatIf
A opção WhatIf não funciona no PowerShell de Conformidade de Segurança & .
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Security & Compliance |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de