Partilhar via


New-ActivityAlert

Esse cmdlet está disponível apenas no PowerShell de Conformidade de Segurança & . Para obter mais informações, confira PowerShell de Conformidade de Segurança&.

Use o cmdlet New-ActivityAlert para criar alertas de atividade no portal Microsoft 365 Defender ou no portal de conformidade do Microsoft Purview. Alertas de atividade enviam notificações por email quando os usuários executam atividades específicas no Microsoft 365.

Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.

Syntax

New-ActivityAlert
   -Multiplier <Double>
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Threshold <Int32>
   -TimeWindow <Int32>
   -Type <AlertType>
   [-Operation <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Condition <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-ScopeLevel <AlertScopeLevel>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]
New-ActivityAlert
   -Name <String>
   -NotifyUser <MultiValuedProperty>
   -Operation <MultiValuedProperty>
   [-Type <AlertType>]
   [-Category <AlertRuleCategory>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-EmailCulture <CultureInfo>]
   [-RecordType <AuditRecordType>]
   [-Severity <RuleSeverity>]
   [-UserId <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para usar esse cmdlet no PowerShell de Conformidade de Segurança & , você precisa receber permissões. Para obter mais informações, consulte Permissões no portal de Microsoft 365 Defender ou Permissões no portal de conformidade do Microsoft Purview.

Exemplos

Exemplo 1

New-ActivityAlert -Name "External Sharing Alert" -Operation sharinginvitationcreated -NotifyUser chrisda@contoso.com,michelle@contoso.com -UserId laura@contoso.com,julia@contoso.com -Description "Notification for external sharing events by laura@contoso.com and julia@contoso.com"

Este exemplo cria um novo alerta de atividade denominado Alerta de Compartilhamento Externo que tem as seguintes propriedades:

  • Operação: sharinginvitationcreated.
  • NotifyUser: chrisda@contoso.com e michelle@contoso.com.
  • UserId: laura@contoso.com e julia@contoso.com.
  • Descrição: Notificação para eventos de compartilhamento externo por laura@contoso.com e julia@contoso.com.

Parâmetros

-Category

O parâmetro Category especifica uma categoria para o alerta de atividade. Os valores válidos são:

  • Nenhum (esse é o valor padrão)
  • DataLossPrevention
  • ThreatManagement
  • DataGovernance
  • AccessGovernance
  • Outros
Type:AlertRuleCategory
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Condition

O parâmetro Condição especifica condições de filtro para agregação de eventos.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Confirm

A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.

  • Cmdlets destrutivos (por exemplo, cmdlets Remove-*) têm uma pausa interna que força você a reconhecer o comando antes de prosseguir. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata: -Confirm:$false.
  • A maioria dos outros cmdlets (por exemplo, cmdlets New-* e Set-*) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Description

O parâmetro Description especifica uma descrição opcional para o alerta de atividade. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Disabled

O parâmetro Disabled especifica se o alerta de atividade está habilitado ou desabilitado. Os valores válidos são:

  • $true: o alerta de atividade está desabilitado.
  • $false: o alerta de atividade está habilitado. Esse é o valor padrão.
Type:Boolean
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-EmailCulture

O parâmetro EmailCulture especifica o idioma das mensagens de email da notificação.

A entrada válida para esse parâmetro é um valor de código de cultura com suporte da classe Microsoft .NET Framework CultureInfo. Por exemplo, da-DK para dinamarquês ou ja-JP para japonês. Para obter mais informações, consulte Classe CultureInfo.

Type:CultureInfo
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Multiplier

O parâmetro Multiplicador especifica o número de eventos que disparam um alerta de atividade. O valor do parâmetro indica um multiplicador de um valor da linha de base.

Você só poderá usar este parâmetro com o parâmetro Type com o valor AnomalousAggregation.

Type:Double
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Name

O parâmetro Name especifica o nome exclusivo do alerta de atividade. O tamanho máximo é de 64 caracteres. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-NotifyUser

O parâmetro NotifyUser especifica os endereços de email das mensagens de notificação. Você pode especificar endereços de email internos e externos.

Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Operation

O parâmetro Operação especifica a atividade que dispara um alerta de atividade.

Um valor válido para esse parâmetro é uma atividade que está disponível no log de auditoria do Microsoft 365. Para obter uma descrição dessas atividades, consulte Atividades auditadas.

Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".

Não é possível usar esse parâmetro, se o valor do parâmetro Type for ElevationOfPrivilege.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-RecordType

O parâmetro RecordType especifica um rótulo de tipo de registro para o alerta de atividade. Para obter detalhes sobre os valores disponíveis, consulte AuditLogRecordType.

Você não pode usar esse parâmetro quando o valor do parâmetro Type for ElevationOfPrivilege.

Type:AuditRecordType
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-ScopeLevel

O parâmetro ScopeLevel especifica o escopo para alertas de atividade que usam os valores de parâmetro Type SimpleAggregation ou AnomalousAggregation. Os valores válidos são:

  • SingleUser (este é o valor padrão)
  • Allusers
Type:AlertScopeLevel
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Severity

O parâmetro Severity especifica um nível de severidade para o alerta de atividade. Os valores válidos são:

  • Nenhum
  • Baixo (esse é o valor padrão)
  • Médio
  • Alto
Type:RuleSeverity
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Threshold

O parâmetro Threshold especifica o número de eventos que disparam um alerta de atividade, no intervalo de tempo especificado pelo parâmetro TimeWindow. O valor mínimo para esse parâmetro é 3.

Você só poderá usar este parâmetro com o parâmetro Type com o valor SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-TimeWindow

O parâmetro TimeWindow especifica a janela de tempo, em minutos, usada pelo parâmetro Threshold.

Você só poderá usar este parâmetro com o parâmetro Type com o valor SimpleAggregation.

Type:Int32
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-Type

O parâmetro Type especifica o tipo de alerta. Os valores válidos são:

  • Personalizado: um alerta é criado para as atividades especificadas com o parâmetro Operação. Normalmente, não é necessário usar esse valor (se você não usar o parâmetro Type e especificar as atividades com o parâmetro Operations, o valor Custom será adicionado automaticamente à propriedade Type).
  • ElevationOfPrivilege: esse valor está sendo retirado.
  • SimpleAggregation: um alerta é criado com base nas atividades definidas pelos parâmetros Operação e Condição, no número de atividades especificadas pelo parâmetro Threshold e no período de tempo especificado pelo parâmetro TimeWindow.
  • AnomalousAggregation: um alerta é criado com base nas atividades definidas pelos parâmetros Operação e Condição e no número de atividades especificadas pelo parâmetro Multiplier.

Observação: Não é possível alterar o valor Type em um alerta de atividade existente.

Type:AlertType
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-UserId

O parâmetro UserId especifica quem você deseja monitorar.

  • Se você especificar o endereço de email de um usuário, receberá uma notificação por email quando o usuário executar a atividade especificada. Você pode especificar vários endereços de email separados por vírgulas.
  • Se esse parâmetro estiver em branco ($null), você receberá uma notificação por email quando algum usuário da organização realizar a atividade especificada.

Você pode usar esse parâmetro, somente quando os valores do parâmetro Type forem Custom ou ElevationOfPrivilege.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance

-WhatIf

A opção WhatIf não funciona no PowerShell de Conformidade de Segurança & .

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Security & Compliance