Set-ProtectionAlert
Esse cmdlet está disponível apenas no PowerShell de Conformidade de Segurança & . Para obter mais informações, confira PowerShell de Conformidade de Segurança&.
Use o cmdlet Set-ProtectionAlert para modificar políticas de alerta no portal de conformidade do Microsoft Purview.
Observação: você não pode usar esse cmdlet para editar políticas de alerta padrão. Você só pode modificar alertas criados usando o cmdlet New-ProtectionAlert.
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Syntax
Set-ProtectionAlert
[-Identity] <ComplianceRuleIdParameter>
[-AggregationType <AlertAggregationType>]
[-AlertBy <MultiValuedProperty>]
[-AlertFor <MultiValuedProperty>]
[-Category <AlertRuleCategory>]
[-Comment <String>]
[-Confirm]
[-Description <String>]
[-Disabled <Boolean>]
[-Filter <String>]
[-NotificationCulture <CultureInfo>]
[-NotificationEnabled <Boolean>]
[-NotifyUser <MultiValuedProperty>]
[-NotifyUserOnFilterMatch <Boolean>]
[-NotifyUserSuppressionExpiryDate <DateTime>]
[-NotifyUserThrottleThreshold <Int32>]
[-NotifyUserThrottleWindow <Int32>]
[-Operation <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
[-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
[-Severity <RuleSeverity>]
[-Threshold <Int32>]
[-TimeWindow <Int32>]
[-VolumeThreshold <System.UInt64>]
[-WhatIf]
[<CommonParameters>]
Description
Para usar esse cmdlet no PowerShell de Conformidade de Segurança & , você precisa receber permissões. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.
Exemplos
Exemplo 1
Set-ProtectionAlert -Identity "Content search deleted" -Severity High
Este exemplo define a gravidade da detecção como Alta para a política de alerta especificada.
Exemplo 2
Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120
Este exemplo modifica um alerta para que, embora esteja configurado para atividade agregada, uma notificação é disparada durante uma correspondência para a atividade. Um limite de 10 detecções e um TimeWindow de duas horas também são configurados no mesmo comando.
Parâmetros
-AggregationType
O parâmetro AggregationType especifica como a política de alerta dispara alertas para várias ocorrências de atividade monitorada. Os valores válidos são:
- Nenhum: alertas são disparados para cada ocorrência da atividade.
- SimpleAggregation: os alertas são disparados com base no volume de atividade em uma determinada janela de tempo (os valores dos parâmetros Threshold e TimeWindow). Esse é o valor padrão.
- AnomalousAggregation: os alertas são disparados quando o volume de atividade atinge níveis incomuns (excede muito a linha de base normal estabelecida para a atividade). Observe que pode levar até 7 dias para o Microsoft 365 estabelecer a linha de base. Durante o período de cálculo da linha de base, nosso sistema não gera nenhum alerta para a atividade.
Type: | AlertAggregationType |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertBy
O parâmetro AlertBy especifica o escopo para políticas de alerta agregadas. Os valores válidos são determinados pelo valor do parâmetro ThreatType:
- Atividade: os valores válidos são Usuário ou $null (em branco, que é o valor padrão). Se você não usa o valor User, o escopo da política de alerta consiste na organização inteira.
- Malware: os valores válidos são Mail.Recipient ou Mail.ThreatName.
Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-AlertFor
Esse parâmetro está reservado para uso interno da Microsoft.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Category
O parâmetro Category especifica uma categoria para a política de alerta. Os valores válidos são:
- AccessGovernance
- ComplianceManager
- DataGovernance
- MailFlow
- Outros
- PrivacyManagement
- Supervisão
- ThreatManagement
Quando ocorre uma atividade que atenda às condições da política de alerta, o alerta gerado é marcado com a categoria especificada por esse parâmetro. Isso permite controlar e gerenciar alertas que apresentam a mesma configuração de categoria
Type: | AlertRuleCategory |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Comment
O parâmetro Comment especifica um comentário opcional. Se você especificar um valor que contenha espaços, coloque-o entre aspas ("), por exemplo: “Está é uma observação de administrador”.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Confirm
A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.
- Cmdlets destrutivos (por exemplo, cmdlets Remove-*) têm uma pausa interna que força você a reconhecer o comando antes de prosseguir. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata:
-Confirm:$false
. - A maioria dos outros cmdlets (por exemplo, cmdlets New-* e Set-*) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Description
O parâmetro Description especifica um texto descritivo para a política de alerta. Se o valor contiver espaços, coloque-o entre aspas (").
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Disabled
O parâmetro Disabled habilita ou desabilita a política de alerta. Os valores válidos são:
- $true: a política de alerta está desabilitada.
- $false: a política de alerta está habilitada. Esse é o valor padrão.
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Filter
O parâmetro Filter usa a sintaxe OPATH para filtrar os resultados pelas propriedades e valores especificados. Os critérios de pesquisa usam a sintaxe "Property -ComparisonOperator 'Value'"
.
- Inclua todo o filtro OPATH nas aspas duplas " ". Se o filtro contiver valores do sistema (por exemplo,
$true
,$false
ou$null
), use aspas individuais ' ' em vez disso. Embora esse parâmetro seja uma cadeia de caracteres (não um bloco do sistema), você também pode usar chaves { }, mas somente se o filtro não contiver variáveis. - A propriedade é uma propriedade filtrada.
- ComparisonOperator é um operador de comparação OPATH (por exemplo
-eq
, para iguais e-like
para comparação de cadeia de caracteres). Para obter mais informações sobre operadores de comparação, consulte about_Comparison_Operators. - Valor é o valor da propriedade a ser pesquisado. Inclua valores e variáveis de texto em aspas individuais (
'Value'
ou'$Variable'
). Se um valor variável contiver aspas individuais, você precisará identificar (escapar) as aspas individuais para expandir a variável corretamente. Por exemplo, em vez de'$User'
, use'$($User -Replace "'","''")'
. Não inclua inteiros ou valores do sistema entre aspas (por exemplo, use500
,$true
,$false
ou$null
em vez disso).
Você pode encadear vários critérios de pesquisa usando o -and
operador lógico (por exemplo, "Criteria1 -and Criteria2"
).
Para obter informações detalhadas sobre filtros OPATH no Exchange, consulte Informações adicionais de sintaxe OPATH.
As propriedades filtradas são:
Atividade
- Activity.ClientIp
- Activity.CreationTime
- Activity.Item
- Activity.ItemType
- Activity.Operation
- Activity.ResultStatus
- Activity.Scope
- Activity.SiteUrl
- Activity.SourceFileExtension
- Activity.SourceFileName
- Activity.TargetUserOrGroupType
- Activity.UserAgent
- Activity.UserId
- Activity.UserType
- Activity.Workload
Malware
- Mail:AttachmentExtensions
- Mail:AttachmentNames
- Mail:CreationTime
- Mail:DeliveryStatus
- Mail:Direction
- Email:From
- Mail:FromDomain
- Mail:InternetMessageId
- Mail:IsIntraOrgSpoof
- Mail:IsMalware
- Mail:IsSpam
- Mail:IsThreat
- Email:Language
- Email:Destinatário
- Mail:Scl
- Mail:SenderCountry
- Mail:SenderIpAddress
- Mail:Subject
- Mail:TenantId
- Mail:ThreatName
Mail:ThreatName
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Identity
O parâmetro Identity especifica a política de alerta que você deseja modificar. É possível usar qualquer valor que identifique a política de alerta com exclusividade. Por exemplo:
- Nome
- DN (nome diferenciado)
- GUID
Type: | ComplianceRuleIdParameter |
Position: | 1 |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationCulture
O parâmetro NotificationCulture especifica o idioma ou local usado para notificações.
A entrada válida para esse parâmetro é um valor de código de cultura com suporte da classe Microsoft .NET Framework CultureInfo. Por exemplo, da-DK para dinamarquês ou ja-JP para japonês. Para obter mais informações, consulte Classe CultureInfo.
Type: | CultureInfo |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotificationEnabled
{{ Fill NotificationEnabled Description }}
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUser
Esse parâmetro está reservado para uso interno da Microsoft.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserOnFilterMatch
O parâmetro NotifyUserOnFilterMatch especifica se deve disparar um alerta para um único evento quando a política de alerta estiver configurada para atividade agregada. Os valores válidos são:
- $true: embora o alerta esteja configurado para atividade agregada, uma notificação é disparada durante uma correspondência para a atividade (basicamente, um aviso antecipado).
- $false: os alertas são disparados de acordo com o tipo de agregação especificado. Esse é o valor padrão.
Não é possível usar este parâmetro, quando o valor do parâmetro AggregationType for None (os alertas são disparados para todas as ocorrências da atividade).
Type: | Boolean |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserSuppressionExpiryDate
O parâmetro NotifyUserSuppressionExpiryDate especifica se é necessário suspender temporariamente as notificações da política de alerta. O sistema não envia nenhuma notificação de atividades detectadas, até a Data/Hora especificada.
Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, coloque o valor entre aspas ("), por exemplo, "01/09/2018 17:00".
Type: | DateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleThreshold
O parâmetro NotifyUserThrottleThreshold especifica o número máximo de notificações da política de alerta, dentro do período de tempo especificado pelo parâmetro NotifyUserThrottleWindow. O sistema deixa de enviar notificações do alerta, após alcançar o número máximo de notificações no período de tempo. Os valores válidos são:
- O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
- O valor $null. Esse é o valor padrão (não há número máximo de notificações para um alerta).
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-NotifyUserThrottleWindow
O parâmetro NotifyUserThrottleWindow especifica o intervalo de tempo em minutos usado pelo parâmetro NotifyUserThrottleThreshold. Os valores válidos são:
- O parâmetro SyncSchedule especifica ???. Os valores válidos para este parâmetro são:
- O valor $null. Esse é o valor padrão (não há intervalos para a limitação de notificação).
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Operation
O parâmetro Operação especifica as atividades monitoradas pela política de alerta. Para obter a lista de atividades disponíveis, consulte a guia Atividades auditadas em Atividades auditadas.
Embora esse parâmetro seja tecnicamente capaz de aceitar vários valores separados por vírgulas, vários valores não funcionam.
Você só poderá usar esse parâmetro quando o parâmetro ThreatType tiver o valor Activity.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypes
{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypes Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesForCounting
{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypesForCounting Description }}
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-PrivacyManagementScopedSensitiveInformationTypesThreshold
{{ Preencher PrivacidadeManagementScopedSensitiveInformationTypesThreshold Description }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Severity
O parâmetro Severity especifica a severidade da detecção. Os valores válidos são:
- Baixo (esse é o valor padrão)
- Médio
- Alto
Type: | RuleSeverity |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-Threshold
O parâmetro Threshold especifica o número de detecções que disparam a política de alerta (dentro do período de tempo especificado pelo parâmetro TimeWindow). O valor válido é um número inteiro maior do que ou igual a 3.
Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-TimeWindow
O parâmetro TimeWindow especifica o intervalo de tempo, em minutos, para o número de detecções especificado pelo parâmetro Threshold. O valor válido é um número inteiro maior do que 60 (uma hora).
Você só poderá usar esse parâmetro quando o valor do parâmetro AggregationType for SimpleAggregation.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-VolumeThreshold
{{ Preencher Descrição do VolumeThreshold }}
Type: | System.UInt64 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
-WhatIf
A opção WhatIf não funciona no PowerShell de Conformidade de Segurança & .
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Security & Compliance |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de