Compartilhar via


New-ProtectionAlert

Esse cmdlet está disponível apenas no PowerShell de Conformidade de Segurança & . Para obter mais informações, confira PowerShell de Conformidade de Segurança&.

Use o cmdlet New-ProtectionAlert para criar políticas de alerta no portal de conformidade do Microsoft Purview. As políticas de alerta contêm condições que definem as atividades do usuário a serem monitoradas e as opções de notificação para alertas de email e entradas no portal de conformidade do Microsoft Purview.

Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.

Syntax

New-ProtectionAlert
   -Category <AlertRuleCategory>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -ThreatType <ThreatAlertType>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Comment <String>]
   [-Confirm]
   [-CorrelationPolicyId <System.Guid>]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-LogicalOperationName <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-CustomProperties <PswsHashtable>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-UseCreatedDateTime <System.Boolean>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para usar esse cmdlet no PowerShell de Conformidade de Segurança & , você precisa receber permissões. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.

Exemplos

Exemplo 1

New-ProtectionAlert -Name "Content search deleted" -Category Others -NotifyUser admin@contoso.com -ThreatType Activity -Operation SearchRemoved -Description "Custom alert policy to track when content searches are deleted" -AggregationType None

Este exemplo cria uma política de alerta que dispara um alerta sempre que qualquer pessoa na organização exclui uma Pesquisa de Conteúdo no portal de conformidade do Microsoft Purview.

Parâmetros

-AggregationType

O parâmetro AggregationType especifica como a política de alerta dispara alertas para várias ocorrências de atividade monitorada. Os valores válidos são:

  • Nenhum: alertas são disparados para cada ocorrência da atividade.
  • SimpleAggregation: os alertas são disparados com base no volume de atividade em uma determinada janela de tempo (os valores dos parâmetros Threshold e TimeWindow). Esse é o valor padrão.
  • AnomalousAggregation: os alertas são disparados quando o volume de atividade atinge níveis incomuns (excede muito a linha de base normal estabelecida para a atividade). Observe que pode levar até 7 dias para o Microsoft 365 estabelecer a linha de base. Durante o período de cálculo da linha de base, nosso sistema não gera nenhum alerta para a atividade.
Type:AlertAggregationType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertBy

O parâmetro AlertBy especifica o escopo para políticas de alerta agregadas. Os valores válidos são determinados pelo valor do parâmetro ThreatType:

  • Atividade: os valores válidos são Usuário ou $null (em branco, que é o valor padrão). Se você não usa o valor User, o escopo da política de alerta consiste na organização inteira.
  • Malware: os valores válidos são Mail.Recipient ou Mail.ThreatName.

Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-AlertFor

Esse parâmetro está reservado para uso interno da Microsoft.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Category

O parâmetro Category especifica uma categoria para a política de alerta. Os valores válidos são:

  • AccessGovernance
  • ComplianceManager
  • DataGovernance
  • MailFlow
  • Outros
  • PrivacyManagement
  • Supervisão
  • ThreatManagement

Quando ocorre uma atividade que atenda às condições da política de alerta, o alerta gerado é marcado com a categoria especificada por esse parâmetro. Isso permite controlar e gerenciar alertas que apresentam a mesma configuração de categoria

Type:AlertRuleCategory
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Comment

O parâmetro Comment especifica um comentário opcional. Se você especificar um valor que contenha espaços, coloque-o entre aspas ("), por exemplo: “Está é uma observação de administrador”.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.

  • Cmdlets destrutivos (por exemplo, cmdlets Remove-*) têm uma pausa interna que força você a reconhecer o comando antes de prosseguir. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata: -Confirm:$false.
  • A maioria dos outros cmdlets (por exemplo, cmdlets New-* e Set-*) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CorrelationPolicyId

{{ Fill CorrelationPolicyId Description }}

Type:System.Guid
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-CustomProperties

{{ Preencher Descrição customProperties }}

Type:PswsHashtable
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

O parâmetro Description especifica um texto descritivo para a política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

O parâmetro Disabled habilita ou desabilita a política de alerta. Os valores válidos são:

  • $true: a política de alerta está desabilitada.
  • $false: a política de alerta está habilitada. Esse é o valor padrão.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Filter

O parâmetro Filter usa a sintaxe OPATH para filtrar os resultados pelas propriedades e valores especificados. Os critérios de pesquisa usam a sintaxe "Property -ComparisonOperator 'Value'".

  • Inclua todo o filtro OPATH nas aspas duplas " ". Se o filtro contiver valores do sistema (por exemplo, $true, $falseou $null), use aspas individuais ' ' em vez disso. Embora esse parâmetro seja uma cadeia de caracteres (não um bloco do sistema), você também pode usar chaves { }, mas somente se o filtro não contiver variáveis.
  • A propriedade é uma propriedade filtrada.
  • ComparisonOperator é um operador de comparação OPATH (por exemplo -eq , para iguais e -like para comparação de cadeia de caracteres). Para obter mais informações sobre operadores de comparação, consulte about_Comparison_Operators.
  • Valor é o valor da propriedade a ser pesquisado. Inclua valores e variáveis de texto em aspas individuais ('Value' ou '$Variable'). Se um valor variável contiver aspas individuais, você precisará identificar (escapar) as aspas individuais para expandir a variável corretamente. Por exemplo, em vez de '$User', use '$($User -Replace "'","''")'. Não inclua inteiros ou valores do sistema entre aspas (por exemplo, use 500, $true, $falseou $null em vez disso).

Você pode encadear vários critérios de pesquisa usando o operador lógico -and (por exemplo, "Criteria1 -and Criteria2").

Para obter informações detalhadas sobre filtros OPATH no Exchange, consulte Informações adicionais de sintaxe OPATH.

As propriedades filtradas são:

Atividade

  • Activity.ClientIp
  • Activity.CreationTime
  • Activity.Item
  • Activity.ItemType
  • Activity.Operation
  • Activity.ResultStatus
  • Activity.Scope
  • Activity.SiteUrl
  • Activity.SourceFileExtension
  • Activity.SourceFileName
  • Activity.TargetUserOrGroupType
  • Activity.UserAgent
  • Activity.UserId
  • Activity.UserType
  • Activity.Workload

Malware

  • Mail:AttachmentExtensions
  • Mail:AttachmentNames
  • Mail:CreationTime
  • Mail:DeliveryStatus
  • Mail:Direction
  • Email:From
  • Mail:FromDomain
  • Mail:InternetMessageId
  • Mail:IsIntraOrgSpoof
  • Mail:IsMalware
  • Mail:IsSpam
  • Mail:IsThreat
  • Email:Language
  • Email:Destinatário
  • Mail:Scl
  • Mail:SenderCountry
  • Mail:SenderIpAddress
  • Mail:Subject
  • Mail:TenantId
  • Mail:ThreatName
Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-LogicalOperationName

{{ Preencher LogicalOperationName Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

O parâmetro Name especifica o nome exclusivo da política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationCulture

O parâmetro NotificationCulture especifica o idioma ou local usado para notificações.

A entrada válida para esse parâmetro é um valor de código de cultura com suporte da classe Microsoft .NET Framework CultureInfo. Por exemplo, da-DK para dinamarquês ou ja-JP para japonês. Para obter mais informações, consulte Classe CultureInfo.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotificationEnabled

{{ Fill NotificationEnabled Description }}

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

O parâmetro NotifyUser especifica o endereço SMTP do usuário que recebe mensagens de notificação da política de alerta. Vários valores, separados por vírgulas, podem ser especificados.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserOnFilterMatch

O parâmetro NotifyUserOnFilterMatch especifica se deve disparar um alerta para um único evento quando a política de alerta estiver configurada para atividade agregada. Os valores válidos são:

  • $true: embora o alerta esteja configurado para atividade agregada, uma notificação é disparada durante uma correspondência para a atividade (basicamente, um aviso antecipado).
  • $false: os alertas são disparados de acordo com o tipo de agregação especificado. Esse é o valor padrão.

Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).

Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserSuppressionExpiryDate

O parâmetro NotifyUserSuppressionExpiryDate especifica se é necessário suspender temporariamente as notificações da política de alerta. O sistema não envia nenhuma notificação de atividades detectadas, até a Data/Hora especificada.

Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleThreshold

O parâmetro NotifyUserThrottleThreshold especifica o número máximo de notificações da política de alerta, dentro do período de tempo especificado pelo parâmetro NotifyUserThrottleWindow. O sistema deixa de enviar notificações do alerta, após alcançar o número máximo de notificações no período de tempo. Os valores válidos são:

  • O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
  • O valor $null. Esse é o valor padrão (não há número máximo de notificações para um alerta).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUserThrottleWindow

O parâmetro NotifyUserThrottleWindow especifica o intervalo de tempo em minutos usado pelo parâmetro NotifyUserThrottleThreshold. Os valores válidos são:

  • O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
  • O valor $null. Esse é o valor padrão (não há intervalos para a limitação de notificação).
Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

O parâmetro Operação especifica as atividades monitoradas pela política de alerta. Para obter a lista de atividades disponíveis, consulte a guia Atividades auditadas em Atividades auditadas.

Embora esse parâmetro seja tecnicamente capaz de aceitar vários valores separados por vírgulas, vários valores não funcionam.

Você só poderá usar esse parâmetro quando o parâmetro ThreatType tiver o valor Activity.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypes Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypesForCounting Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypesThreshold Description }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

O parâmetro Severity especifica a severidade da detecção. Os valores válidos são:

  • Baixo (esse é o valor padrão)
  • Médio
  • Alto
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ThreatType

O parâmetro ThreatType especifica o tipo de atividades monitoradas pela política de alerta. Os valores válidos são:

  • Atividade
  • Malware

O valor selecionado para esse parâmetro determina os valores que você pode usar para os parâmetros AlertBy, Filter e Operation.

Você não pode alterar esse valor depois de criar a política de alerta.

Type:ThreatAlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

O parâmetro Threshold especifica o número de detecções que disparam a política de alerta dentro do período de tempo especificado pelo parâmetro TimeWindow. O valor válido é um número inteiro maior do que ou igual a 3.

Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

O parâmetro TimeWindow especifica o intervalo de tempo, em minutos, para o número de detecções especificado pelo parâmetro Threshold. O valor válido é um número inteiro maior do que 60 (uma hora).

Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UseCreatedDateTime

{{ Use UseCreatedDateTime Description }}

Type:System.Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-VolumeThreshold

{{ Preencher Descrição do VolumeThreshold }}

Type:System.UInt64
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

A opção WhatIf não funciona no PowerShell de Conformidade de Segurança & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance