Set-ProtectionAlert

Модуль:: ExchangePowerShell

Применяется к:: Security & Compliance

Этот командлет доступен только в PowerShell безопасности и соответствия требованиям. Дополнительные сведения см. в статье PowerShell безопасности и соответствия требованиям.

Используйте командлет Set-ProtectionAlert для изменения политик оповещений в Портал соответствия требованиям Microsoft Purview.

Примечание. Этот командлет нельзя использовать для изменения политик оповещений по умолчанию. Вы можете изменять только оповещения, созданные с помощью командлета New-ProtectionAlert.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Set-ProtectionAlert
   [-Identity] <ComplianceRuleIdParameter>
   [-AggregationType <AlertAggregationType>]
   [-AlertBy <MultiValuedProperty>]
   [-AlertFor <MultiValuedProperty>]
   [-Category <AlertRuleCategory>]
   [-Comment <String>]
   [-Confirm]
   [-Description <String>]
   [-Disabled <Boolean>]
   [-Filter <String>]
   [-NotificationCulture <CultureInfo>]
   [-NotificationEnabled <Boolean>]
   [-NotifyUser <MultiValuedProperty>]
   [-NotifyUserOnFilterMatch <Boolean>]
   [-NotifyUserSuppressionExpiryDate <DateTime>]
   [-NotifyUserThrottleThreshold <Int32>]
   [-NotifyUserThrottleWindow <Int32>]
   [-Operation <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypes <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesForCounting <MultiValuedProperty>]
   [-PrivacyManagementScopedSensitiveInformationTypesThreshold <System.UInt64>]
   [-Severity <RuleSeverity>]
   [-Threshold <Int32>]
   [-TimeWindow <Int32>]
   [-VolumeThreshold <System.UInt64>]
   [-WhatIf]
   [<CommonParameters>]

Описание

Чтобы использовать этот командлет в PowerShell безопасности и соответствия требованиям, вам должны быть назначены соответствующие разрешения. Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.

Примеры

Пример 1

Set-ProtectionAlert -Identity "Content search deleted" -Severity High

В этом примере для указанной политики оповещений для параметра Серьезность обнаружения устанавливается значение Высокий.

Пример 2

Set-ProtectionAlert -Identity "Content search deleted" -NotifyUserOnFilterMatch:$true -AggregationType SimpleAggregation -Threshold 10 -TimeWindow 120

В этом примере оповещение изменяется таким образом, что даже если оно настроено для агрегированного действия, уведомление активируется во время сопоставления действия. В той же команде также настраиваются пороговое значение в 10 обнаружений и значение TimeWindow в два часа.

Параметры

-AggregationType

Параметр AggregationType указывает, как политика предупреждений отправляет предупреждения при возникновении нескольких случаев отслеживаемой активности. Допустимые значения:

Нет: оповещения активируются для каждого вхождения действия.
SimpleAggregation: оповещения активируются в зависимости от объема действий в заданном временном окне (значения параметров Threshold и TimeWindow). Это значение используется по умолчанию.
AnomalousAggregation: оповещения активируются, когда объем действия достигает необычных уровней (значительно превышает обычный базовый план, установленный для действия). Обратите внимание, что установка базовых показателей Microsoft 365 может занять до 7 дней. В период расчета базового уровня не создаются предупреждения об активности.

Тип:	AlertAggregationType
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-AlertBy

Параметр AlertBy указывает область для агрегированных политик оповещений. Допустимые значения определяются значением параметра ThreatType:

Действие. Допустимые значения: User или $null (пустое значение, которое является значением по умолчанию). Если вы не используете значение User, политика предупреждений распространяется на всю организацию.
Вредоносная программа: допустимые значения: Mail.Recipient или Mail.ThreatName.

Этот параметр невозможно использовать, когда параметру AggregationType задано значение None (предупреждения отправляются о каждом случае активности).

Примечание. Этот параметр необходим для отображения сущностей в оповещениях. Без него оповещения активируются без отображения сущностей. Настоятельно рекомендуется указать значение для этого параметра.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-AlertFor

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Category

Параметр Category указывает категорию для политики оповещений. Допустимые значения:

AccessGovernance
ComplianceManager
DataGovernance
MailFlow
Другие
PrivacyManagement
Контроль
ThreatManagement

Когда происходит активность, которая соответствует условиям политики предупреждений, категория создаваемого предупреждения определяется этим параметром. Это позволяет отслеживать предупреждения, которые относятся к одной категории, и управлять ими.

Тип:	AlertRuleCategory
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Comment

Параметр Comment указывает необязательный комментарий. Если вы указываете значение, содержащее пробелы, заключите его в кавычки ("), например:" Это примечание администратора ".

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Confirm

Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.

Деструктивные командлеты (например, командлеты Remove-) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис: -Confirm:$false.
Большинство других командлетов (например, командлеты New- и Set-) не имеют встроенной паузы. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.

Тип:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Description

Параметр Description задает описание политики предупреждений. Если значение содержит пробелы, его необходимо заключить в кавычки (").

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Disabled

Параметр Disabled включает или выключает политику предупреждений. Допустимые значения:

$true: политика оповещений отключена.
$false: политика оповещений включена. Это значение используется по умолчанию.

Тип:	Boolean
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Filter

Параметр Filter использует синтаксис OPATH для фильтрации результатов по указанным свойствам и значениям. Для критериев поиска используется следующий синтаксис: "Property -ComparisonOperator 'Value'".

Заключите весь фильтр OPATH в двойные кавычки "". Если фильтр содержит системные значения (например, $true, $false или $null), используйте одиночные кавычки ' '. Хотя этот параметр является строкой (а не системным блоком), вы также можете использовать фигурные скобки { }, но только если фильтр не содержит переменные.
Property — это свойство с поддержкой фильтрации.
ComparisonOperator — это оператор сравнения OPATH (например -eq , для равных и -like для сравнения строк). Подробнее об операторах сравнения см. в статье about_Comparison_Operators.
Value — это значение свойства для поиска. Заключите текстовые значения и переменные в одиночные кавычки ('Value' или '$Variable'). Если значение переменной содержит одиночные кавычки, необходимо определить (избежать) одиночные кавычки, чтобы правильно развернуть переменную. Например, вместо '$User' используйте '$($User -Replace "'","''")'. Не заключайте целые числа или системные значения в кавычки (например, используйте 500, $true, $false, или $null вместо них).

Можно связать несколько условий -and поиска вместе с помощью логического оператора (например, "Criteria1 -and Criteria2").

Подробные сведения о фильтрах OPATH в Exchange см. в разделе Дополнительные сведения о синтаксисе OPATH.

Фильтруемые свойства:

Действие

Activity.ClientIp
Activity.CreationTime
Activity.Item
Activity.ItemType
Activity.Operation
Activity.ResultStatus
Activity.Scope
Activity.SiteUrl
Activity.SourceFileExtension
Activity.SourceFileName
Activity.TargetUserOrGroupType
Activity.UserAgent
Activity.UserId
Activity.UserType
Activity.Workload

Вредоносная программа

Mail:AttachmentExtensions
Mail:AttachmentNames
Mail:CreationTime
Mail:DeliveryStatus
Mail:Direction
Mail:From
Mail:FromDomain
Mail:InternetMessageId
Mail:IsIntraOrgSpoof
Mail:IsMalware
Mail:IsSpam
Mail:IsThreat
Mail:Language
Mail:Recipient
Mail:Scl
Mail:SenderCountry
Mail:SenderIpAddress
Mail:Subject
Mail:TenantId
Mail:ThreatName

Mail:ThreatName

Тип:	String
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Identity

Параметр Identity определяет политику предупреждений, которую требуется изменить. Вы можете использовать любой уникальный идентификатор политики. Например:

имя;
различающееся имя (DN);
GUID

Тип:	ComplianceRuleIdParameter
Position:	1
Default value:	None
Обязательно:	True
Принять входные данные конвейера:	True
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotificationCulture

Параметр NotificationCulture определяет язык или языковой стандарт уведомлений.

Допустимые входные данные для этого параметра — это поддерживаемое значение кода языка и региональных параметров из класса Microsoft платформа .NET Framework CultureInfo. Например, da-DK для датского языка или ja-JP для японского. Подробнее см. в разделе Класс CultureInfo.

Тип:	CultureInfo
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotificationEnabled

Тип:	Boolean
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUser

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserOnFilterMatch

Параметр NotifyUserOnFilterMatch указывает, следует ли активировать оповещение для одного события, если политика оповещений настроена для агрегированного действия. Допустимые значения:

$true. Несмотря на то, что оповещение настроено для агрегированного действия, во время сопоставления действия активируется уведомление (в основном, раннее предупреждение).
$false: оповещения активируются в соответствии с указанным типом агрегирования. Это значение используется по умолчанию.

Тип:	Boolean
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserSuppressionExpiryDate

Параметр NotifyUserSuppressionExpiryDate указывает, следует ли временно приостановить отправку уведомлений согласно политике предупреждений. До указанного времени приостанавливается отправка уведомлений об обнаруженных действий.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если на компьютере настроен короткий формат даты ММ/дд/гггг, введите 01.09.2018, чтобы указать 1 сентября 2018 г. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Тип:	DateTime
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserThrottleThreshold

Параметр NotifyUserThrottleThreshold задает максимальное количество уведомлений для политики предупреждений за период, указанный параметром NotifyUserThrottleWindow. После достижения этого числа отправка уведомлений об активности приостанавливается. Допустимые значения:

Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
Значение $null. Это значение по умолчанию (без максимального количества уведомлений для предупреждения).

Тип:	Int32
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-NotifyUserThrottleWindow

Параметр NotifyUserThrottleWindow задает интервал времени в минутах, используемый параметром NotifyUserThrottleThreshold. Допустимые значения:

Параметр SyncSchedule указывает ???. Допустимые значения этого параметра:
Значение $null. Это значение по умолчанию (без периода для регулирования количества уведомлений).

Тип:	Int32
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Operation

Параметр Operation указывает действия, отслеживаемые политикой оповещений. Список доступных действий см. на вкладке Проверенные действия в разделе Проверенные действия.

Хотя этот параметр технически способен принимать несколько значений, разделенных запятыми, несколько значений не работают.

Этот параметр можно использовать, только когда параметру ThreatType задано значение Activity.

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypes

{{ Fill PrivacyManagementScopedSensitiveInformationTypes Description }}

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesForCounting

{{ Fill PrivacyManagementScopedSensitiveInformationTypesForCounting Description }}

Тип:	MultiValuedProperty
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-PrivacyManagementScopedSensitiveInformationTypesThreshold

{{ Fill PrivacyManagementScopedSensitiveInformationTypesThreshold Description }}

Тип:	System.UInt64
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Severity

Параметр Severity задает серьезность обнаруженного действия. Допустимые значения:

Низкий (это значение по умолчанию)
Средняя
Высокая

Тип:	RuleSeverity
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-Threshold

Параметр Threshold указывает количество обнаружений, которые активируют политику оповещений (в течение периода времени, заданного параметром TimeWindow). Значение должно быть целым числом не менее 3.

Этот параметр можно использовать, только когда параметру AggregationType задано значение SimpleAggregation.

Тип:	Int32
Position:	Named
Default value:	None
Обязательно:	False
Принять входные данные конвейера:	False
Принять подстановочные знаки:	False
Применяется к:	Security & Compliance

-TimeWindow

Параметр TimeWindow задает период в минутах для количества обнаруженных действий, указанного параметром Threshold. Значение должно быть целым числом больше 60 (один час).